防火墙iptables规则配置

最新推荐文章于 2023-04-14 18:58:53 发布
最新推荐文章于 2023-04-14 18:58:53 发布
阅读量436 收藏 1
点赞数
分类专栏: linux服务 Iptables 文章标签: linux 防火墙 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jccodecode/article/details/100068424
版权

文章目录

1. 概述:

  • 分类:
  1. 硬件防火墙:思科ASA,H3C的Sepath
  2. 软件防火墙:iptables等
  • 按假设位置分类:
  1. 主机防火墙
  2. 网关防火墙
  • iptables防火墙:
  1. netfilter:位于linux内核中的包过滤功能体系,称为防火墙的“内核态”
  2. iptables:位于/sbin/iptables,用来管理防火墙规则的工具,成为linux防火墙的“用户态”
  • 包过滤的工作层次:
    主要是网络层,针对IP数据包,体现在对包内IP,端口等信息的处理

2. iptables规则:

  • 规则链:每个规则链下,可以添加规则,链下的规则优先级高于规则链的默认规则
    INPUT入站,OUTPUT出站,FORWARD转发
    PREROUTING路由选择前,POSTROUTING路由选择后
  • 其中,转发链默认关闭,需要开启:
    将/etc/sysctl.conf转发参数改为1,7x版本文件内容为空,需要添加此参数
    net.ipv4.ip_forward=1
    使用sysctl -p使得文件内容立即生效
  • 规则表:容纳各种规则链
    raw:确定是否对数据包进行状态跟踪
    mangle:为数据包设置标记
    nat:修改数据包中的源,目标IP,端口
    filter:确定是否放行该数据包(过滤)
    匹配流程:raw–>mangle–>nat–>filter

3. iptable安装与命令:

3.1 安装:

CentOS 6x 中有iptables服务,而7x版本中需要安装:
yum -y install iptables-services

3.1 命令格式:

iptables [-t 表名] 选项 [链名][条件][-j 控制类型]

  • 注意:
    不指定表名时,默认filter
    不指定链,默认表内所有链
    选项,链名,控制类型需要大写,其他小写
    指定序号,是在链名后加数字,例:-D INPUT 2

3.2 常用选项:

  1. 增加新规则
    -A :在链末尾追加规则
    -I :在开头插入规则(或指定序号)
  2. 查看规则:
    -L : 列出表中所有规则(默认filter)
    -n :以数字形式(不属于选项,应该放在链名后)
    -v :详细信息(同上)
  3. 删除规则:
    -D :删除链内指定序号的一条规则
    -F :清空链下所有规则,不清空链本身默认规则(不指定表,默认清空表中所有链的链下规则)
  4. 替换规则:
    -R :替换某条规则,序号指定
    例:iptables -R INPUT 1 -p icmp -j ACCEPT
  5. 设置默认规则:
    -P :为指定链设置默认规则

3.3 常见控制类型:

使用参数 -j 指定
ACCEPT:允许通过
DROP:丢包,不回应
REJECT:拒绝通过,必要时会给提示
LOG:记录日志信息,然后传给下条规则继续匹配

4 规则匹配类型:

4.1 通用匹配:

包括网络协议,IP,网络接口

  • 常见匹配条件:
  1. 协议匹配:
    -p 指定协议,如tcp,udp,icmp(用于ping的协议)
  2. 地址匹配:
    -s 源地址
    -d 目标地址
  3. 接口匹配:
    -i 入站网卡
    -o 出站网卡

4.2 隐含匹配:

  1. 端口匹配:多个端口用:隔开
    –dport:目标端口
    –sport:来源端口
  2. TCP标记匹配:–tcp-flags
    例:
    iptables -I INPUT -i eth0 -p tcp --tcp-flags SYN,RST,ACK SYN -j DROP
    丢弃SYN请求包,放行其他的包

5 SNAT与DNAT

5.1 SNAT

作用:局域网主机共享单个公网IP地址接入网络
原理:出网关(路由)时,进行源地址转换
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o ens34 -j SNAT --to-source 192.168.100.100
修改路由选择后规则链,筛选进入网关的源IP,然后指定这些IP发来的数据包,从ens34发出去,控制类型为SNAT,发出去的时候,修改源地址为ens34的IP=192.168.100.100

5.2 DNAT

作用:提供给公户固有的外部公网IP,隐藏内网IP,保护后方服务器的安全
范例:
在192.168.200.200上,搭建一个nginx,监听8080端口
在192.168.200.200的网关服务器上,修改路由选择前的规则:
iptables -t nat -A PREROUTING -i ens34 -d 192.168.100.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.200.200:8080
网卡ens34接收的TCP请求数据,当目标IP为网关本地,端口为80时,修改控制类型为DNAT,进行目标地址转换,转换为192.168.200.200:8080(nginx服务器,也可以指定负载均衡服务器)

6 防火墙备份与还原

6.1 导出(备份)防火墙规则

cat /etc/sysconfig/iptables
iptables-save > /etc/sysconfig/iptables
将已设置好的防火墙规则,导入到防火墙配置文件中

6.2 导入(还原)规则

先清空已有的规则
iptables -t nat -F
然后导入
iptables-restore < /etc/sysconfig/iptables

重定向出的文件也可以是自定义文件,若将规则保存到/etc/sysconfig/iptables中,iptables启动时,会自动还原规则

jccodecode
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙规则
qq_44276884的博客
03-27 430
linux防火墙@[TOC](linux防火墙) 一、iptables介绍:iptablesLinux中对网络数据包进行处理的一个功能组件,就相当于防火墙,可以对经过的数据包进行处理,例如:数据包过滤、数据包转发等等,一般例如Ubuntu等Linux系统是默认自带启动的。 二、iptables结构在这里插入图片描述 **开机自检补**保存iptables规则 一、iptables介绍: ipta...
iptables防火墙规则操作
peidongyao的博客
07-13 615
一、查看防火墙规则iptables -L -n 或者iptables -nvl二、配置默认规则iptables -P INPUT DROP   不允许进iptables -P FORWARD DROP  不允许转发iptables -P OUTUPT ACCEPT  允许出三、增加规则iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT//允许源ip地址为19...
Iptables 防火墙常用规则
小陈的博客
09-10 220
安装ip tables-service*.rpm 关闭selinux #设置开机启动 Systemctl enable ip tables.service #保存iptables Service iptables save #删除原有的规则 Iptables -F Iptables -X #允许所有 iptables -P INPUT ACCEPT iptables -P O...
配置一个生产的iptables防火墙规则
pur_e的专栏
01-16 1048
注意执行顺序,-A表示Append,是在所有规则之后添加新的规则iptables是从上往下匹配规则,成功后则不继续匹配,所以建议匹配量最大的规则放在最上面。一、规则配置1.清空原有规则iptables会有一些初始规则配置iptables -F #清空所有规则 iptables -X #清空用户自定义的空链(iptables -N xx创建) iptables -Z #清空计数2.添加正常
防火墙配置详解
qq_34208467的博客
10-27 3127
目录   一、首先了解一下查询防火墙的各种状态的命令: 二、iptables命令 实验一、实现让自己可以ping别人,而别人却无法ping自己。 实验二、网络防火墙 实验三、实现日志记录功能 一、首先了解一下查询防火墙的各种状态的命令:   1、查看防火墙状态: [root@localhost ~]# systemctl status firewalld.service 2...
iptables防火墙规则配置
07-23
iptables防火墙规则配置
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
Linux Ubuntu系统iptables防火墙配置
11-11
在Ubuntu 16.04中,不能直接使用iptables相关的systemctl命令进行管理,但可以通过其他方式配置和启用iptables规则。 3. 远程工具 远程访问服务器可以使用MobaXterm、Xshell、Putty等工具,这里以MobaXterm为例。...
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
android流量防火墙iptables原理详解
08-27
Android 流量防火墙 Iptables 原理详解 Android 流量防火墙是...由于 Iptables 已经有了完善的防火墙规则,我们只需要设计一个基于 Iptables 的 Android 前台即可,通过运行脚本,调用 iptables 设置防火墙规则即可。
iptables设置防火墙规则
weixin_33736048的博客
01-03 235
iptables设置防火墙规则防伪码:学而不思则罔,思而不学则殆!前言:大家都知道Michael Rash这个人吧!世界级的安全技术专家,以防火墙、***检测系统等方面的造诣享誉安全界。所以可以看出防火墙的重要性!下面为大家说一下防火墙策略的使用!理论知识:1.Linux防火墙:netfiler :位于linux内核中...
Linuxiptables防火墙概述及相关规则
qq_42327944的博客
04-23 4111
保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。 防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5290
iptables功能及配置
Linux添加防火墙iptables的安装和配置(亲测)
weixin_30787531的博客
09-28 166
iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规 则匹配时,iptables就根据规则所定义的方法来处理这些数据包...
iptables防火墙用法及说明
weixin_43046446的博客
02-14 460
iptables 表与链 iptables是4表伍链 4表:filter表 nat表 raw表 mangle表 伍链:INPUT OUTPUT FORWARD PREROUTING POSTROUTING 表的说明 filter表 防火墙:屏蔽或准许 端口 ip filter表 强调:主要和主机自身相关,真正负责主机防火墙功能(过滤流入流出主...
iptables的备份、恢复及防火墙脚本的基本使用
程序狗的成长之路
05-06 743
一:规则的导出、导入: 规则的备份及还原: 防火墙规则的批量备份、还原用到两个命令 iptables-save、iptables-restore,分别用来保存(Save)和恢复(Restore)。 1、iptables-save 命令: iptables-save命令用来批量导出Linux防火墙规则。 直接执行iptables-save:显示出当前启用的所有规则,按照raw、mangl
iptables防火墙)详细教程
菜鸟学安全的博客
04-14 2759
iptables防火墙详解
Centos7.0-iptables linux出站入站端口维护
lee528066的专栏
10-27 9616
#先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级iptables yum update iptables #安装iptables-services yum install iptables-services ——————————————————————————————
iptables 模拟网络丢包
Dai Yuwen的专栏
01-15 9012
有时候我们需要模拟网络丢包,可以用一台Linux 作为网络通信的一方或网关, 在Linux上用 iptables 创建防火墙规则, 阻止某些包,而规则的有效时间是一个随机值,到了预期时间,把规则删除。 如此循环。 用脚本语言很容易实现。  #! /bin/sh # # drop some packets to simulate network traffic jam # Yuwen Dai
OpenEulerlinux防火墙iptables配置
最新发布
01-18
以下是OpenEuler Linux防火墙iptables配置的方法: 1. 查看iptables状态: ```shell sudo iptables -L ``` 2. 清空iptables规则: ```shell sudo iptables -F ``` 3. 设置默认策略: ```shell sudo iptables -P ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值