Iptables防火墙

已于 2024-03-03 00:25:37 修改
阅读量226 收藏
点赞数 2
文章标签: 网络 安全 服务器
于 2024-02-28 09:38:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h2728677716/article/details/136333443
版权

防火墙基本流程

防火墙是对于访问的请求数据经过多层规则,层层过滤。

有ACCEPT(接受),DROP(拒绝)两种。任意一种匹配则说明匹配成功,那么数据包则不需要继续往下匹配。

如果没有匹配到规则,那么最终会匹配默认规则。

防火墙默认规则是所有规则都匹配后,最后匹配默认规则。

规则存放

一般拒绝的规则放在所有规则的最上面,允许的规则放在所有规则的最下面。

iptables表链

4张表:filter,nat,raw,mangle

伍个链:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

filter表

nat表

请求经过防火墙流程

防火墙命令

1.查看防火墙规则

防火墙默认是filter表,所以默认展示的是filter表规则。

#查看所有表
iptables -nL


#-t制定表

iptables -t nat -nL

#显示数字行号
iptables -nL --line-number

iptbales屏蔽地址

1.设置入网ip拒绝

-t 指定表,-I指定链(拒绝类的),-A追加规则(接受类的),-D删除规则,-s指定源ip,-j指定策略(拒绝/接受/重定向)

iptables -t filter -I INPUT -s 10.10.200.11 -j DROP

2.屏蔽整个网段

iptables -I INPUT 192.168.1.0/24 -j DROP

3.删除规则

-D 指定要删除的链,1(第几条)

iptables -D INPUT 1

iptable屏蔽端口

-s 指定网段,-p指定协议,--dport指定本地端口,-j DROP屏蔽丢弃

iptables -I INPUT -s 98.13.17.0/24 -p tcp --dport 8848 -j DROP

2.禁止98.13.17.0网段之外的其他网段连入,!表示取反。

iptables -I INPUT ! -s 98.13.17.0/24 -j DROP

3.禁止多个端口连入

-m multiport 指定多个端口

--deport 88:90 端口如果有规律,可使用:表示范围

iptables -I INPUT -m multiport -p tcp --dport 88,443,8848 -j DROP 

iptables -I INPUT -m multiport -p tcp --dport 88:90 -j DROP

iptables禁止ping

-p指定协议icmp

iptables -I INPUT -p ICMP --icmp-type 8 -j DROP

iptables保存规则

iptabels-save > /etc/sysconfig/iptables

iptables恢复默认规则

iptables-restore < /etc/sysconfig/iptables

iptables清空所有规则

iptables -F

iptables修改默认规则

iptables -P INPUT DROP

生产环境使用方式

原理:先设置规则,将需要的规则都设置上,然后修改默认规则为DROP

iptables -A INPUT -m multiport -p tcp --dport 80,443 -j ACCEPT
iptables -A INPUT -p tcp  --dport 22 -j ACCEPT


iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -o lo -j ACCEPT

iptabels -A INPUT -s 10.0.0.0/24 -j ACCEPT
iptabels -A INPUT -s 172.16.1.0/24 -j ACCEPT

#tcp连接状态
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j 

#修改默认规则,-P指定规则策略
iptables -P INPUT DROP

iptabels防火墙实现局域网通过一台服务器实现共享上网(SNAT)

场景:内网172.16.1网段,无法上网,通过一台中专服务器实现上共享上网。

注:

1.需要在防火墙服务器事先开启内核转发功能

2.需要上网的客户端(内网服务器)网管指向中专服务器。

3.通过iptables命令将内网ip经过防火墙时更改成防火墙的公网ip,(数据包出去时更改IP,也就是POSTROUTING)

-j SNAT:源地址转换。 --to-source 10.0.0.61:更改目标IP

-j MASQUERADE:不指定目标IP,随公网IP变化而变化

iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE

或者

ptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.61

iptables实现公网到内网服务器的端口映射访问(DNAT)

场景:公网服务器想访问内网某一台服务器的地址:端口

通过防火墙服务器实现端口映射

iptables -t nat -A PREROUTING -d 10.10.1.61 -p tcp --deport 9000 -j DNAT --to-destination 172.16.1.7:22

也可以实现公网IP到内网IP的映射,上面的的规则去掉端口就是IP映射。

海滩上的那乌克丽丽
关注
IPTables应用
qq_56414082的博客
11-23 849
IPTables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过IPTables这个代理,将用户的安全设定执行到对于的“安全框架”中,这个“安全框架”才是真正的防火墙,这个框架的名字叫netfilter,netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。(2)iptables -A INPUT -j DROP //关闭所有入站流量,全部丢弃,包括SSH请求,先关闭在进行设置允许进入的规则,防火墙这样才有用。
iptables 实战】02 iptables常用命令
程序员笔记
10-02 671
既将INPUT链的默认策略设置为了ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了”iptables -F”操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是ACCEPT。注意DROP规则是用的A,append,即在ACCEPT之后,添加一条规则。假设,我想要放行ssh远程连接相关的报文,也想要放行web服务相关的报文,那么,我们在INPUT链中添加如下规则。
iptables防火墙)详细教程
菜鸟学安全的博客
04-14 2890
iptables防火墙详解
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5336
本文介绍Linux的iptables命令的用法。
iptables系列教程(二)| iptables语法规则
Dragon的博客
05-15 1864
目录 iptables 命令基本语法 -t table command参数 条件匹配参数 目的动作 iptables 常用附加模块: iptables 规则备份和恢复 iptables 命令基本语法 “ iptables [-t table] command [链名] [条件匹配] [-j 目标动作] 以下是对 iptables 命令的拆分讲解: -t table 用来指明使用的表,有三种选项:filter,nat,mangle。若未指定,则默认使用filter表。 com.
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
### 一键配置CentOS iptables防火墙Shell脚本解析 #### 概述 本文将详细介绍一个用于一键配置CentOS系统中的iptables防火墙的Shell脚本。该脚本可以帮助用户简化新装系统的iptables配置过程,使其更加高效且易于...
iptables防火墙
博客
09-15 938
iptables
Linux上iptables防火墙的基本应用教程.docx
10-29
iptables 是 Linux 上常用的防火墙软件,本教程将介绍 iptables 的安装、清除 iptables 规章、iptables 只开放指定端口、iptables 屏蔽指定 IP、IP 段及解封、删除已添加的 iptables 规章等 iptables 的基本应用。...
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
iptables常用规则
qq_37369726的博客
01-17 2378
1.服务器能ping其他主机,其他主机不能ping通它: iptables -I INPUT -p icmp -d 192.168.247.100 --icmp-type 8 -j REJECT ping别人发出的icmp类型为8,INPUT是在流入的时候过滤,所以我们能ping通他人。 2.除了192.168.247.100的22端口能访问,其他端口都禁止访问: iptables -I INPUT -d 192.168.247.100 -p tcp ! --dport 22 -j REJECT 3.m
linux iptables
ZiquotZai的博客
07-15 165
命令配置: iptables -I INPUT -p tcp --dport 80 -j ACCEPT开启80端口 iptables -I INPUT -p tcp --dport 514 -j ACCEPT 开启514端口 文件配置: /etc/sysconfig/iptables -A INPUT -p tcp -m tcp --dport 8999 -j ACCEPT 执行: /etc/init.d/iptables restart /etc/rc.d/init.d/iptables save 关闭所
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables里面的dport和sport(转帖)
yes1983的专栏
06-06 502
首先先来翻译一下dport和sport的意思: dport:目的端口 sport:来源端口 初学iptables比较容易迷糊,但是我尽量用通俗的语言给你讲解。 dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。 但是在使用的时候要分具体情况来对待,这个具体情况就是你的数据包的流动行为方式。(INPUT还是OUTPUT) 比如你的...
iptables详解
fanzhang1990的专栏
06-23 892
(2)SNAT 改变包的源地址,这在极大程度上可以隐藏你的本地网络或者DMZ等。内网到外网的映射。 (3)MASQUERADE 的作用和SNAT完全一样,只是计算机的负荷稍微多一点。因为对每个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。当然,这也有好处,就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址,这些地址可是由ISP的D
iptables
Syx834722207的博客
05-31 301
###########iptables###### 1.关闭firewalld火墙,开启iptable systemctl stop firewalld systemctl disable firewald systemctl start iptables systemc    enable iptables 2.iptable          -t        ##指定
教你设置疯狗都咬不烂的防火墙
最新发布
2301_76288258的博客
11-29 627
防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.设置默认策略(-般在生产环境中设置网络防火墙、主机型防火墙时都要设置默认规则为DROP,并设置白名单.需要注意的是,当使用管理选项“-F”清空链时,默认策略不受影响。
Ceph入门到精通-iptables 限制多个ip 的多个端口段访问
隔壁老瓦的专栏
10-08 2707
是指你要限制的IP范围,例如:192.168.1.100-192.168.1.200表示限制从192.168.1.100到192.168.1.200之间的IP。这将阻止这个IP范围内的主机访问这个端口范围内的端口。你可以根据需要修改IP范围和端口范围来适应你的具体情况。上面的命令将添加一条规则到INPUT链中,该规则将禁止指定IP范围访问指定的端口段。是指你要限制的端口范围,例如:80:100表示限制80到100的端口范围;
iptables防火墙配置与规则管理详解
iptables防火墙是Linux系统中一个强大的网络包过滤工具,其主要功能包括网络安全保护和网络流量隔离。它通过配置规则来控制进出系统的网络数据包,确保系统的安全性。本文档将详细介绍iptables的安装与配置过程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值