Linux_iptables防火墙学习笔记

最新推荐文章于 2024-10-04 21:58:42 发布
最新推荐文章于 2024-10-04 21:58:42 发布
阅读量655 收藏 19
点赞数 23
分类专栏: Linux学习笔记 文章标签: linux 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liujinbao8000/article/details/137795005
版权

文章目录

iptables 概述

  1. 主机型
    1. 对主机进行保护
  2. 网络型
    1. 系统当作路由时使用,对网络进行保护
  3. iptables是一个用户空间的应用,用来设置内核空间的netfilter
  4. iptables没有守护进程,不能算是真正意义上的服务,应该算是内核提供的功能

四表五链

  1. 数据经过防火墙的流程
    在这里插入图片描述

  2. 四表

    1. filter表
      1. 负责过滤功能,防火墙;内核模块:iptables_filter
    2. nat表
      1. network address translation,网络地址转换功能;内核模块:iptable_nat
    3. mangle表
      1. 拆解报文,做出修改,并重新封装的功能;内核模块:iptable_mangle
    4. raw表
      1. 关闭nat表上雇用的连接追踪机制;内核模块:iptable_raw

  3. 五链

    1. PREROUTING(路由前)
    2. INPUT(数据包入本机)
    3. FORWARD(数据转发)
    4. OUTPUT(数据包出本机)
    5. POSTROUTING(路由后)

  4. 规则

    1. 处理运作
      1. ACCEPT
        1. 允许数据包通过
      2. DROP
        1. 直接丢弃数据包,不给任何回应信息
      3. REJECT
        1. 拒绝数据包通过,返回拒绝的回应信息
      4. SNAT
        1. 源地址转换,解决内网用户用同一个公网地址上网的问题
      5. MASQUERADE
        1. 伪装,是SNAT的一种特殊形式,适用于动态的、临时会变的IP上
      6. DNAT
        1. 目标地址转换
      7. REDRECT
        1. 在本机做端口映射
      8. LOG
        1. 在/var/log/message文件中记录日志信息,继续进行下一条规则

iptables 安装启动

  1. 以CentOS7为例
  2. 禁用selinux和firewalld
    systemctl stop firewalld;systemctl disable firewalld;setenforce 0;sed -i '/^SELINUX=/cSELINUX=disabled' /etc/selinux/config
  3. 安装启动iptables服务
    yum -y install iptables-services;systemctl enable iptables --now;systemctl status iptables
  4. 查看内核是否支持iptables
    lsmod|egrep "nat|filter"

iptables 配置详解

iptables配置文件

  1. ipv4
    vi /etc/sysconfig/iptables
  2. ipv6
    vi /etc/sysconfig/ip6tables

iptables配置语法

  1. 语法
    iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 运作]
  2. 管理选项
    选项功能备注
    -t 表指定要操作的表默认为filter表
    -A向规则链中添加条目在最后添加
    -D从规则链中删除条目指定条目内容
    -I向规则链中插入条目默认在最前插入
    -R替换规则链中已有的条目
    -L显示规则链中已有的条目
    -F清空规则链中所有条目注意,可能会断SSH
    -Z清空规则链中的数据包计数器和字节计数器
    -N创建新的用户自定义规则链
    -P定义规则链中的默认目标
    -h显示帮助信息
    -p指定要匹配的数据包协议类型
    -s指定要匹配的数据包源ip地址
    -d指定要匹配的数据包目的ip地址
    -j 目标指定动作
    -i 网络接口指定数据包进入本机的网络接口
    -o 网络接口指定数据包要离开本机所使用的网络接口

iptables常用实例

查看规则
  1. 默认为netfilter表,不解析,显示行号
    iptables -nL --line-numbers
修改默认规则
  1. 默认为netfilter表,修改INPUT链默认规则为"DROP"
    iptables -P INPUT DROP
保存和备份规则
  1. 修改的规则临时生效
  2. 如果要永久生效需要保存配置
  3. 命令
    1. 保存配置
      iptables-save
    2. 备份配置
      iptables-save > /mnt/iptables_bak_$(date "+%Y-%m-%d_%H:%M")
恢复备份的规则
  1. 命令
    iptables-restore 备份的文件名
清空规则
  1. 默认为netfilter表,清空规则,如果默认规则不是ACCEPT,会造成SSH立即断开
    iptables -F
放行SSH服务
  1. 源IP:192.168.86.2
  2. 目的IP:192.168.99.202
  3. SSH端口:22
  4. 命令
    iptables -I INPUT -s 192.168.86.2 -d 192.168.99.202 -p tcp --dport 22 -j ACCEPT
iptables -I OUTPUT -s 192.168.99.202 -d 192.168.86.2 -p tcp --sport 22 -j ACCEPT
在ubuntu14.04中iptables规则持久化
  1. 修改规则–保存规则为文件–制作开启启动脚本,自动载入文件中规则
  2. 脚本
    #!/bin/bash
# 修改规则(略)
# 查看规则
iptables -nL --line-numbers
# 保存规则到文件
sudo mkdir /etc/iptables
sudo iptables-save > /etc/iptables/rules.v4
# 制作开机脚本
sudo iptables-save > /etc/iptables/rules.v4
cat >> /etc/network/if-pre-up.d/iptables << EOF
#!/bin/sh
/sbin/iptables-restore < /etc/iptables/rules.v4
EOF
sudo chmod +x /etc/network/if-pre-up.d/iptables
```![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/dc4e35de8b4143d5b023fd88c9864e8b.png#pic_center)
liujinbao8000
关注
专栏目录
2024年最新2024整理 iptables防火墙学习笔记大全_modepro iptables,2024年最新最新Linux运维高级面试题汇总
2401_83621004的博客
05-04 580
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
linux_防火墙[iptables][firewalld]使用.txt
08-28
笔记由博主本人亲自整理撰写,介绍以及各方面的操作都进行了简化提示,很适合linux的萌新进行学习,内容大致:【命令介绍】【使用介绍】【简化记忆】
2024整理 iptables防火墙学习笔记大全_modepro iptables
2401_85191843的博客
09-06 1170
Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。如果希望telnet ip address 3306连通,可以把ACCEPT规则中的-A改为-I,即iptables -I INPUT -p tcp --dport 3306 -j ACCEPT,把允许规则放于INPUT链的第一行生效。3、iptables的表又是链的容器。
2024整理 iptables防火墙学习笔记大全_modepro iptables(3)
2401_86394227的博客
09-03 601
如果希望telnet ip address 3306连通,可以把ACCEPT规则中的-A改为-I,即iptables -I INPUT -p tcp --dport 3306 -j ACCEPT,把允许规则放于INPUT链的第一行生效。把主机C的gateway设置为B的内网卡192段的网卡ip,即192.168.1.19。iptables -A INPUT -p icmp -s 192.168.80.0/24 -m icmp --icmp-type 8 -j ACCEPT #允许内网ping。
2024整理 iptables防火墙学习笔记大全_modepro iptables(1)
2401_86401473的博客
09-09 856
如果希望telnet ip address 3306连通,可以把ACCEPT规则中的-A改为-I,即iptables -I INPUT -p tcp --dport 3306 -j ACCEPT,把允许规则放于INPUT链的第一行生效。iptables -A INPUT -p icmp -s 192.168.80.0/24 -m icmp --icmp-type 8 -j ACCEPT #允许内网ping。Centos6.4版本:iptables -t filter -A INPUT -i eth0!
linux防火墙iptables-NAT 学习笔记
上善若水的博客
10-10 554
iptables是开源的基于数据包过滤的防火墙工具。其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。链 (chain)每个表都有自己的一组内置链,可以对链进行自定义,这样就可以建立一组规则,filter表中的input、output和forward链匹配(match)
Linux防火墙iptables学习笔记6
CCH2024的专栏
06-12 539
Linux防火墙学习笔记
oracle linux 防火墙 iptables,【学习笔记Linux 关闭和启动iptables防火墙和selinux的方法...
weixin_39626745的博客
04-02 314
天萃荷净分享一篇运维DBA对linux管理时常用的两个操作,关闭和启动iptables防火墙和selinux的方法1、防火墙简单管理查看状态:service iptables status1) 重启后生效开启: chkconfig iptables on关闭: chkconfig iptables off2) 即时生效,重启后失效开启: service iptables start关闭: serv...
Linux防火墙iptables学习笔记5
CCH2024的专栏
06-08 650
Linux防火墙iptables学习笔记
Linux学习笔记iptables命令管理
欢迎相互探讨交流知识呀~
08-05 1041
其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。-t:指定需要维护的防火墙规则表 filter、nat、mangle或raw。在不使用 -t 时则默认使用 filter 表。COMMAND:子命令,定义对规则的管理。chain:指明链表。CRETIRIA:匹配参数。ACTION:触发动作。1. filter表——三个链:INPUT、FORWARD、OUTPUT。
linux_linux个人学习笔记_
09-29
以下是对“Linux Linux个人学习笔记”内容的详细解释: 一、Linux指令集 在Linux中,命令行是进行日常操作的主要工具。学习Linux首先要掌握基本的命令,如ls(列出目录内容)、cd(切换目录)、pwd(显示当前工作...
Linux防火墙iptables学习笔记.pdf
11-26
Linux防火墙iptables学习笔记.pdf
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1329
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
[Linux]从零开始的网站搭建教程
c858845275的博客
10-02 1381
讲解了如何搭建运维面板安装web服务器和搭建一个自己的网站。
Linux】进程地址空间(初步了解)
最新发布
weixin_69380220的博客
10-04 1424
进程虚拟地址空间相关内容
Linux】进程+权限管理+软硬链接+其他命令
weixin_71491685的博客
10-01 1311
cat /etc/passwd 用户信息文件,用户列表(用户名、用户密码占位符、用户编号uid、用户所在组的编号gid、用户备注说明、用户家目录位置、用户的登陆方式)(8)删除软链接并不影响被指向的文件,但若被指向的原文件被删除,则相关软连接被称为死链接(即 dangling link,若被指向路径文件被重新创建,死链接可恢复为正常的软链接)。ps -aux (用户、进程编号、cpu使用率、内存使用率、虚拟内存的大小、真实内存的大小、终端、状态、启动时间、运行时长)
黑马linux笔记(转载)
pscool的博客
10-01 1958
我们所熟知的计算机是由硬件和软件组成的。计算机系统中由电子、机械和光电元件等组成的各种物理装置的总称。(看的见、摸得着的东西:CPU、内存硬盘、显示屏、鼠标等)是用户和计算机硬件之间的接口和桥梁,用户通过软件和计算机进行交流。(操作系统,就是软件的一类)学习Linux系统,就需要有一个可用的Linux系统。由于Linux系统并不适合日常办公使用,所以我们需要借助虚拟机来获得可用的Linux系统环境进行学习。借助虚拟化技术,我们可以在系统中,通过软件:模拟计算机硬件,并给虚拟硬件安装真实的操作系统。
Linux的基本指令(2)
shylyly_的博客
10-01 1065
Linux的基本指令(2) man nano cp mv which 自制指令 alias echo cat tac > >> < more less head tail |(管道)
Linux学习笔记:配置iptables防火墙与安全设置
本篇Linux学习笔记主要介绍了在Linux系统中进行网络配置和安全设置的一些关键步骤,以及使用iptables防火墙进行包过滤和策略管理。以下是对这些知识点的详细解释: 1. **网络接口设置**: 首先,脚本定义了外部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

liujinbao8000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值