Linux中的iptables防火墙

最新推荐文章于 2023-11-27 18:13:48 发布
最新推荐文章于 2023-11-27 18:13:48 发布
阅读量256 收藏 1
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/even160941/article/details/90733951
版权

iptables

实验准备:
  • 需要两台虚拟机,分别给两台虚拟机修改主机名,配置网络,搭建yum源,

一台server 双网卡 eth0 172.25.254.224
eth1 1.1.1.224
一台client 单网卡 eth0 172.25.254.124

在server虚拟机上设置防火墙为如下:

systemctl stop firewalld
systemctl mask firewalld
systemctl start iptables.service
systemctl enable iptables.service
参数含义:
-t指定表名称,不加默认指filter
-n不作解析
-L列出指定表中的策略
-A增加策略,不能指定加的位置,默认加到最后
-p网络协议
–dport端口
-s数据来源
-j动作
ACCEPT允许
REJECT拒绝
DROP丢弃
-N增加链
-E修改链名称
-X删除链
-D删除指定策略
-F刷掉原有策略
-I插入,默认插入到最前面,可以指定位置
-R修改策略,更改,刷新
-P修改默认策略
Filter表的设定举例:
iptables -t filter -nL  查看filter表 = iptables -nL
iptables -t nat -nL  查看nat表
iptables -t mangle -nL  查看mangle表
vim /etc/sysconfig/iptables   保存策略的表
iptables -F  刷掉原有的策略
service iptables save  保存当前策略到文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

iptables -t filter -A INPUT -i lo -j ACCEPT 给filter表中加回环接口,动作是accept
iptables -nL  查看有没有添加成功

在这里插入图片描述

iptables -t filter -A INPUT -s 172.25.254.10 -j ACCEPT 给filter表添加这个ip,这个ip可以访问all prot
iptables -nL  查看有没有添加成功

在这里插入图片描述

iptables -t filter -A INPUT -s 172.25.254.10 -j REJECT  给filter表添加ip这个ip禁止reject
但是2,3只会读取2,2是匹配的,就生效了,3就不被执行了。

在这里插入图片描述
在这里插入图片描述

iptables -D INPUT 3  删除第三条
iptables -nL

在这里插入图片描述

iptables -R INPUT 2 -s 172.25.254.10 -j REJECT  修改第二条的accept为reject
iptables -nL

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

iptables -I INPUT 2 -s 172.25.254.10 -p tcp --dport 22 -j ACCEPT
将端口为22的ip为10的插入到第二条,指定位置
iptables -nL

此时真机可以连接
其他主机能不能连接取决于此时的policy是accept还是reject还是drop
除了设定的主机之外的其他主机都走的是默认的设定。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

iptables -P INPUT DROP  将默认的动作设置为drop,其他主机此时连接不上
iptables -nL

在这里插入图片描述
在这里插入图片描述

iptables -P INPUT ACCEPT  将默认动作设为accept,又连上了。
iptables -nL

在这里插入图片描述
在这里插入图片描述

iptables -N westos 增加链westos
iptables -E westos WESTOS  修改连名称为WESTOS
iptables -X WESTOS  删除WESTOS
iptables -nL

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Nat表的设定

iptables -t nat -nL 查看
地址伪装 从外面进来 ,伪装成别人理的地址 ,路由之后,不经过内核
端口转发 从里面出去
地址转换,编辑nat表。
dnat 目的地址转换
snat 源地址转换
-o出去

地址伪装:
sysctl -a | grep ip_forward 首先要开启路由转发功能

iptables -t nat -A POSTOUTING -o eth0 -j SNAT --to-source 172.25.254.224    ##出去,源地址转换
路由后地址伪装,将1.1.1.124的地址伪装成172.25.254.224来访问172网段的ip
任何地址从nat出去都会转化为172.25.254.224
此时client的eth01.1.1.124可以ping通172.25.254网端的ip,而且连接真机发现伪装了。

在这里插入图片描述
测试:client可以连接其他172.25.254.0/24网段的主机,w -i可以看到他伪装成172.25.254.224了。
在这里插入图片描述

端口转发:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.124:22   ##进来,目的地址转换
从eth0进,把要连接双网卡主机eth0网卡的ip172.25.254.224的端口22,目的地址转化称到1.1.1.124的22端口 -i input
##路由前端口转发,连接 172.25.254.224 的22端口会转到1.1.1.124 的22端口
iptables -t nat -nL  查看

在这里插入图片描述
测试:真机连接eth0172.25.254.224 会自动转化为client端的eth0 1.1.1.124
在这里插入图片描述

如果未设定好,可以用命令
iptables -t nat -D PREROUTING 1 进行删除
iptables -t nat -D POSTROUTING 1   删除

在这里插入图片描述

且听风吟zyw
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RHEL5.7下iptables防火墙配置(上)
weixin_34337381的博客
11-13 191
iptables是与最新的 2.6.x 版本Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。iptables 的一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。您可以定制自己的规则来满足您的特...
iptables超全详解
三口酥屋
04-10 2316
数据包先经过PREOUTING,由该链确定数据包的走向:    1、目的地址是本地,则发送到INPUT,让INPUT决定是否接收下来送到用户空间,流程为①--->②;    2、若满足PREROUTING的nat表上的转发规则,则发送给FORWARD,然后再经过POSTROUTING发送出去,流程为: ①--->③--->④--->⑥主机发送数据包时,流程则是⑤---&gt...
规则 防火墙 iptables input accept
【设计改变世界】github地址:https://github.com/guochunyang2004
11-16 1034
由于 mangle 这个表格很少被使用,如果将图 9.3-3 的 mangle 拿掉的话,那就容易看的多了: 图 9.3-4、iptables 内建各表格与链的相关性(简图) 透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUT 与 OUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机...
防火墙 iptables input accept
wumingchao_1993的博客
08-10 4796
chwling2008.blog.sohu.com/265396232.html
Linux 防火墙iptables 的基本使用
程序员大佬超的博客
05-18 3902
防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。 在比较新的系统,firewalld 防火墙取代了 iptables 防火墙,其实 firewalld 和 iptables 都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙工具而已,或者说,它们只是一种服务。 iptables 服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,而 firewa.
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
LINUXIPTABLES防火墙的基本使用教程
01-20
这里可以使用Linux防火墙netfilter的用户态工具 iptables有4种表:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个表可以配置多个链: * 对于filter来讲一般只能做在3个...
实验12Linuxiptables防火墙设置201911181
08-04
1.列出iptables当前所有的规则 2.列出iptables当前所有的规则,使数字形式显 3.列出所有INPUT链的规则 4.打印出所有OUTPUT链
linuxiptables防火墙怎么设置.docx
09-26
linuxiptables防火墙怎么设置.docx
Firewalld防火墙(二)
玩IT的川
07-07 360
Firewalld防火墙 一.Firewalld高级配置: 1.IP伪装与端口转发: 随着IPv4地址的缺乏,地址的分配不均匀,虽然在原有的IPv4地址空间的基础上划分出来三段私网地址空间:10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。虽然这些地址可以在企业或者公司内部重复使用,但是不能用于互联网,因为这三个范围的地址是无法在Internet上路由的。 于...
linux系统防火墙iptables命令规则及配置的示例
weixin_45697341的博客
11-14 776
linux系统防火墙iptables命令规则及配置的示例(本机IP为172.16.63.7): 1、清空当前系统的防火墙规则的命令,清空规则; #iptables -F 注:当前策略一定要是ACCEPT,不然会被阻断(你可以试试),任何清空删除规则前,都要保证自己不会被阻断!!! 2、允许172.16网段内的主机访问: #iptables -t filter -A INPUT -s 172.16....
iptables 基础部分】【iptables高级部分】【iptables操作方法案例】
mingqing的博客
10-04 946
文章目录iptables 基础部分表及应用顺序![在这里插入图片描述](https://img-blog.csdnimg.cn/df19c6af3b2f42538fe0826afc429d55.png)## 常见的操作命令要操作的链基本匹配基本动作Target所有协议加端口iptables高级部分开启路由转发方法模块使用路由转发iptables操作方法案例 iptables 基础部分 一、iptables基础 iptables语法 iptables [-t 要操作的表] <操作命令> [要操作的
25个iptables常用示例
wuyy0224的博客
06-26 1204
本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。格式iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]参数-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num 删除某一条规则 -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。 -d 匹配目标
熟练应用snat和dnat,掌握公网私网之间的连通(补充防火墙规则备份以及如何Linux抓包)
qq_45773660的博客
05-25 488
snat与dnat一、SNAT1.1 原理与应用1.2 SNAT转换前提条件1.3 开启snat1.4 转换固定的公网 IP 地址非固定的公网 IP 地址(动态)1.5 补充二、DNAT2.1 原理与应用2.2 DNAT转换前提条件2.3 开启dnat2.4 转换发布内网的Web服务发布时修改目标端口2.5 补充三、防火墙规则备份和还原3.1导出备份表的规则3.2 导入规则3.3 设置自动还原规则四、抓包 一、SNAT 1.1 原理与应用 SNAT应用环境 局域网主机共享单个公网IP地址接入Intern
linux 防火墙命令详解,详解Linuxiptables配置命令及常见的生产环境防火墙规则...
weixin_33806591的博客
05-03 326
概述当前iptables的配置情况iptables -L -n清除默认的防火墙规则#首先在清除前要将policy INPUT改成ACCEPT,表示接受一切请求。#这个一定要先做,不然清空后可能会悲剧iptables -P INPUT ACCEPT#清空默认所有规则iptables -F#清空自定义的所有规则iptables -X#计数器置0iptables -Z配置防火墙规则#允许来自于lo接口的...
iptables拒绝所有端口放开特定端口方法流程,iptables允许ping和拒绝ping、hosts阻止所有ip指定放开ip方法流程、脚本检测日志异常并自动执行封堵
最新发布
崔崇鑫的博客,你linux/云运维工作中的百科全书。
11-27 3591
其实上面的iptables已经限制的死死的了,但怕iptables出意外,所以用hosts加固一下。是无法清除上面规则的,同时ping也不能使用。注:上面执行以后,看不到具体规则且。【我这就执行了这个进的】
iptables 常用使用命令
hietech的博客
08-28 9206
iptables 使用三个不同的链来允许或阻止流量:输入(input)、输出(output)和转发(forward)
防火墙顺序规则
weixin_39722409的博客
09-07 5475
总规则顺序------数据进来,进行比对判断。 一条一个动作执行,上面一条比对符合后,执行“accept”,就和下面规则没有关系了。 1.a情况 比对符合,就执行后面的动作,后面动作有三个(accept,reject,drop)。(比对通过,做动作,不理会下面规则。如被过滤后还有数据,往下走。) 1.b情况 比对不符合,又没有被rejct或drop,就继续下一条规则的比对。 2. 如此一个个规则下...
网络安全——防火墙详解
热门推荐
W981113的博客
01-16 1万+
什么是防火墙?路由策略和策略路由 在计算机防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成
linux iptables防火墙
09-13
Linuxiptables防火墙是一种基于内核的防火墙工具,可以用于配置和管理网络流量的过滤规则。在CentOS 7上,默认使用的是firewalld防火墙,但可以通过关闭firewalld并安装iptables来启用iptables防火墙。 要关闭firewalld防火墙,并禁止其在开机时自动启动,可以使用以下命令: ``` systemctl stop firewalld.service systemctl disable firewalld.service ``` 然后,安装iptablesiptables-services: ``` yum -y install iptables iptables-services ``` 启动iptables服务: ``` systemctl start iptables.service ``` 接下来,您可以使用iptables命令来配置规则。例如,如果您想对源网段的流量进行SNAT转换到公网地址,可以使用以下命令: ``` iptables -t nat -A POSTROUTING -s 源网段 -o 出站网卡 -j SNAT --to 转换的公网地址 ``` 请根据您的具体需求自行修改源网段、出站网卡和转换的公网地址。 通过这些步骤,您可以在CentOS 7上启用并配置iptables防火墙。请注意,iptables的配置非常灵活,您可以根据需要进行更多的配置和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值