【网络安全】iptables

最新推荐文章于 2023-12-12 09:39:29 发布
最新推荐文章于 2023-12-12 09:39:29 发布
阅读量798 收藏
点赞数
分类专栏: linux基础 文章标签: TCP Wrappers
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keaihuilang/article/details/40784451
版权
网络安全

安全体系概览:
Firewalls --> TCP Wrappers --> Xinetd --> PAM -- > SELinux --> Server specific

Firewalls: netfilter/iptables
     netfilter组件 内核空间,是内核一部分
     iptables组件  用户空间,提供管理防火墙的手段,通过iptables插入、删除、修改规则

OSI七层模型:
应用层         ftp http smtp pop3
表示层      上三层,一般操作系统和应用的功能
会话层

传输层      源端口2222/tcp ---> 目的端口 80/tcp           传输协议TCP,UDP

网络层      源IP x.x.x.x  --->  目的IP y.y.y.y           下四层,数据流层

数据链路层   源MAC 00:50:fc:12:34:56 ---> 目的MAC(网一段主机,网关) 00:50:fc:12:34:59
物理层

TCP: 面向连接,可靠的传输协议     类似于三次握手,window...
UDP: 非面向连接,不可靠的传输协议

A (封装)---------- (解封装)B

============= =iptables ================
语法:
iptables [-t 要操作的表] <操作命令> [要操作的链] [规则号码] [匹配条件] [-j 匹配后的动作]
              小写         大写      大写                 小写           大写

示例:
iptables -L               //查看,默认filter表
iptables -t filter -L    
iptables -t nat -L
iptables -t raw -L
iptables -t mangle -L
===========================================================
常见的操作命令:
-L     查看,v详细,n不反解   --line-number
-A     追加,放置最后一条
-I     插入,默认插入成第一条
-D     删除
-F     清空flush

匹配的条件:
-s 192.168.2.0/24   源地址
-d 192.168.2.1         目标地址
-p tcp|upd|icmp         协议
-i eth0                   input 从eth0接口进入的数据包
-o eth0             output 从eth0出去的数据包
-p tcp --dport 80   目标端口是80,必须和-p tcp|udp 连用
===========================================================
iptables -t filter -L INPUT
iptables -L INPUT
iptables -F INPUT
iptables -F
iptables -t nat -F


操作示例:
iptables -F
iptables -A INPUT -j REJECT          //拒绝所以进入filter表INPUT链的所有数据包
iptables -I INPUT -p tcp --dport 5900 -j ACCEPT
iptables -I INPUT -p tcp --dport 80 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -nL

针对FTP:连接追踪模块
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j ACCEPT  //打开控制端口
modprobe ip_conntrack_ftp     加载连接追踪模块(临时)
lsmod |grep ftp
[root@station230 ~]# vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_conntrack_ftp"

标准流程
================================================================
[root@station230 ~]# iptables -F
[root@station230 ~]# iptables -A INPUT -i lo -j ACCEPT
[root@station230 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@station230 ~]# iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -j REJECT
[root@station230 ~]# service iptables save
将当前规则保存到 /etc/sysconfig/iptables:                 [确定]
[root@station230 ~]# chkconfig iptables on
[root@station230 ~]# iptables -vnL INPUT
[root@station230 ~]# vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_conntrack_ftp"
[root@station230 ~]# service iptables restart


=======================================================
小知识:
常见协议的端口 /etc/services
[root@station230 ~]# grep ^http /etc/services
服务          协议          端口/传输协议
ssh               ssh               22/tcp
http          http          80/tcp
               https          443/tcp
dns               domain          53/udp,53/tcp
mail          smtp          25/tcp          发信协议
               smtps         465/tcp         # SMTP over SSL (TLS)
               pop3          110/tcp          收信协议
               pop3s          995/tcp
               imap          143/tcp
               imaps          993/tcp
dhcp          bootps        67/udp          # BOOTP server
nfs               nfs               2049/tcp
samba                         137,138,139/tcp
                              445/tcp
ftp               ftp               21/tcp
               ftp-data     20/tcp
ntp               ntp          123/udp
syslog          syslog     514/udp
=======================================================================
真实iptables实例
一些常见允许外网访问的服务:
网站 http 80/tcp; https 443/tcp;
邮件 mail     smtp          25/tcp          发信协议
               smtps    465/tcp         # SMTP over SSL (TLS)
               pop3          110/tcp          收信协议
               pop3s          995/tcp
               imap          143/tcp
远程管理: ssh 22/tcp

一些常见不允许外网访问的服务:
文件服务器:
NFS
SAMBA
FTP
[root@station230 ~]# iptables -A INPUT -i lo -j ACCEPT
[root@station230 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@station230 ~]# iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@station230 ~]# iptables -A INPUT -j REJECT

外网  =====> VPN =====> 内网FTP,SAMBA,NFS

========================================================================



Hayden_yang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
网络安全iptables 实验篇一
weixin_33755847的博客
03-01 383
linux下iptables的重要性大家都不陌生吧?今天就以实验的形式把iptables的基本配置简要总结一下,还请大家不吝赐教,多多斧正才好!有关iptables的具体语法和格式将在理论部分具体阐述,在这里就不赘述了。 先来回顾一下iptables的语法格式: iptables [ -t table ] COMMAND chains [ num ] match c...
网络安全iptables 防火墙
caofengtao1314的专栏
11-02 594
防火墙简介:                        要防止遭受网络攻击,掌握一种网络访问控制工具的使用是至关重要的,而netfilter/iptables是集成在Linux2.4.X版本内核中的包过滤防火墙系统。           netfilter/iptables框架可以实现数据包过滤、网络地址转换以及数据包管理功能。Linux中的防火墙系统包括两部分:netfilter和
LINUX防火墙iptables基本命令
weixin_34033624的博客
04-06 239
一、认识iptables二、Iptables命令2.1、语法:iptables -t table 命令 chain rules -j targettable:有filter、nat、mangle,默认是filter命令:-L 或 --list 查看iptables规则列表[root@appex ~]# iptables -t filter -LChain INPUT (policy ACCEPT)...
网络安全--iptables
m0_68976043的博客
08-14 1765
iptables 使用规则来定义特定的操作,例如允许或拒绝特定类型的网络流量。条件可以是源 IP 地址、目标 IP 地址、端口号等,操作可以是允许、拒绝或修改数据包。规则匹配后,根据定义的操作来处理数据包。常见的动作包括 ACCEPT(允许通过)、DROP(丢弃数据包)和REJECT(拒绝数据包并发送拒绝消息)。每个规则都包含一个或多个匹配条件,用于确定是否对数据包执行操作。iptables 包含多个表,每个表用于处理特定类型的数据包。每个表包含多个链,链是一系列规则的集合,用于处理数据包。
网络安全实验iptables
bug_maker
12-11 1076
网络安全实验之iptables 1.为了使用netstat命令需要安装 yum install net-tools 2.还有可能需要安装iptables yum install iptables 完成上述安装之后,就可以进行iptables的配置了 iptables -L -n 用于查看iptables规则 iptables -F 清除预设表filter中的所有规则链的规则
Linux之安全iptables详解
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-21 2650
IPtables概述】 谈到iptables,其实它并不是一个单独的个体,它是 netfilter/iptables IP 信息包过滤系统中两个组件 netfilter 和 iptables的其中一个。Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架简洁灵活,可实现安全策略应用中的许多功能,如:数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址...
网络安全——Iptables防DDoS攻击实验
最新发布
网络工程
12-12 1469
根据TCP协议传输的特点,攻击方向目标发送大量伪造的TCP连接请求,即目标主机在发出SYN+ACK应答报文后无法收到ACK报文,第三次握手失败,从而使目标连接资源耗尽,无法正常响应TCP的连接请求。"net.ipv4.tcp_max_syn_backlog"定义了处于SYN_RECV的TCP最大连接数,当处于SYN_RECV状态的TCP连接数超过tcp_max_syn_backlog后,会丢弃后续的SYN报文。2)变化的IP发起攻击,控制单个IP的最大并发连接数,即在一定时间内允许新建立的连接数。
网络安全实验7 防火墙 & Iptables应用
一半西瓜的博客
02-01 6167
赞赏码 & 联系方式 & 个人闲话 【实验名称】防火墙 & Iptables应用 【实验目的】 1.了解防火墙的含义与作用 2.学习防火墙的基本配置方法 3.理解iptables工作原理 4.熟练掌握iptables包过滤命令及规则 【实验原理】 一.防火墙 在古代,人们已经想到在寓所之间砌起一道砖墙,一旦火灾发生,它能够...
服务器安全之iptables iptables
ZRJ142098的博客
01-13 1929
[iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好 Iptables是Linux2.4及2.6内核中集成的服务。其功能与安全性比其ipfwadm,ipchains强大的多,iptables主要工作在OSI七层的二、三、四层,如果重新编译内核,iptables
iptables防火墙网路安全
a568804062的博客
04-15 505
01:iptables防火墙网路安全前言介绍 学好iptables的基础:  OSI7层模型以及不同层对应哪些协议?  TCP/IP三次握手,四次断开的过程,TCP HEADER,状态转换  常用的服务端口要非常清楚了解。  常用服务协议原理http协议,icmp协议。 企业中安全配置原则:  尽可能不给服务器配置外网IP,可以通过代理转发或者通过防火墙映射。  并发不是特别大情况有外...
企业级网络安全架构-iptables
08-05
企业级网络安全架构-iptables,企业级网络安全架构-iptables,
iptables详细命令
06-17
iptables详细命令
Linux网络安全Netfilter机制与iptables工具
10-21
可以针对特定使用者、群组、PID 等限制网络连结的过滤存取。 可以设定封包在 Routing Table 进出前时先预先处理。 可以针对外面自动建立、与现有联机有关这类联机过滤处理。 可以针对 Mac 卡号直接处理。
iptables防火墙打造安全网络
10-30
iptables防火墙打造安全网络,利用linux打造小型防火墙
查看麒麟操作系统版本
热门推荐
一醉轻王侯的技术博客
11-30 2万+
查看麒麟操作系统版本
kernel.sem 参数设置
一醉轻王侯的技术博客
02-25 1万+
参考: http://yusy1116.blog.163.com/blog/static/6467259220106821116449/ http://blog.csdn.net/leshami/article/details/8766256   sem其实是semaphores的缩写,查看当前设置 [oracle@test oracle]$ cat /proc/sys/kernel/s
关于Public key for *.rpm is not installed 的解决方法
一醉轻王侯的技术博客
02-08 4735
今天在用yum 安装httpd的时候出现了一下错误: warning: rpmts_HdrFromFdno: Header V3 DSA signature: NOKEY, key ID e8562897 update/gpgkey                                            | 1.8 kB     00:00 Public key for
ibm阵列管理webBIOS/MegaCli
一醉轻王侯的技术博客
01-23 3284
http://home.51.com/chenjianghui1987/diary/item/10051836.html [root@ijxdg2 ~]# dmesg |grep -i raid dracut: rd_NO_DM: removing DM RAID activation dracut: rd_NO_MD: removing MD RAID activation me
网络安全linux命令
08-22
网络安全是一个重要的话题,Linux系统提供了许多有用的命令和工具来增强安全性。以下是一些常用的网络安全相关的Linux命令: 1. `iptables`:用于配置防火墙规则,限制网络流量。 2. `fail2ban`:用于防止暴力破解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值