iptables火墙服务

最新推荐文章于 2020-05-19 01:23:39 发布
最新推荐文章于 2020-05-19 01:23:39 发布
阅读量161 收藏
点赞数
分类专栏: Linux rhce 文章标签: iptables服务的配置 iptables火墙伪装功能 iptables火墙端口转发 selinux端口标签的添加、删除、查看 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/llllyr/article/details/99778253
版权
Linux 同时被 2 个专栏收录
37 篇文章 0 订阅
订阅专栏
rhce
6 篇文章 0 订阅
订阅专栏

文章目录

1.iptables火墙服务

1.1 iptables服务的启动

yum list iptables-services
systemctl stop firewald
systemctl distable firewalld
systemctl mask  firewalld
systemctl start iptables.service
systemctl enable iptables.service

1.2 iptables 常用参数

  • man iptables 查看各种参数含义
参数含义
-t指定表格
-L列出所有规则
-nL列出所有规则带解析
-A添加规则 不能指定添加位置
-D删除规则
-C检测 一般不使用
-I指定位置插入规则
-R指定策略修改
-S列出策略 更为详细
-P更改链条的默认动作 只有DROP
-N添加新链
-E链重命名
-X删除链
-F刷新iptables
-Z清空iptables数据

在这里插入图片描述
在这里插入图片描述

命令添加的规则如果不保存默认都是临时的,再次刷新或重启服务规则会被清理

保存的两种方式
(1)srvice iptables save
(2)iptables-save > /etc/sysconfig/iptables 将策略保存文件内容倒入策略文件策略算是永久保存
在这里插入图片描述
清空策略:
对保存了的策略需要到文件中删除

 > iptables-save
 iptables-save >    /etc/sysconfig/iptables

1.3iptables服务策略

(1)iptables给特定ip指定特定服务:

1) iptables -t filter -A INPUT -p tcp --dport 22 -s 172.25.254.101 -j REJECT

在这里插入图片描述
在这里插入图片描述

2)! 表示除…之外…

iptables -A  INPUT ! -s 172.25.254.1  -p tcp --dport 22 -j REJECT   ## 除1号主机外拒绝其他主机连接ssh服务

(2)iptables 添加火墙服务并检测标签提高效率(以开放squid代理服务、ssh服务、DNS服务)
由于系统读取策略都是在表中从上置下依次读取,且读取到符合要求的策略就不再向下读取;NEW标签的主机检测过后标签就变为ESTABLSHED或RELAED 下次连接就不用检测,提高效率

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  对ESTABLSHED和RELAED标签的ip直接通过检测
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT 对NEW标签内部接口的ip也直接通过检测
iptables -A INPUT -m state --state NEW -p tcp --dport 3128 -j ACCEPT NEW标签ip连接squid服务 检测3128端口 
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT 检测22端口
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT  检测53端口
iptables -A INPUT -j REJECT  其余的服务连接都拒绝不用检测

在这里插入图片描述

1.4 iptables火墙的伪装与端口转发功能

实验准备:
服务端:双网卡,eth0ip为:172.25.254.201 ;eth1ip为: 192.168.0.201
客户端: 单网卡 eth0ip为:192.168.0.101 GATEWAY:192.168.0.201
必须开启内核路由功能,否则SNAT实验将失败!
(1)iptables 火墙的伪装——路由之后SNAT源地址转换

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.201 (ip为所写网卡对应ip)
##在nat表中的路由之后链POSTOUTING中添加规则:对通过eth0网卡出去的ip做源地址转换 ip转换为172.25.254.201
iptables-save > /etc/sysconfig/iptables

(2)iptables 连接端口的转发——路由之前 DNAT目的地址的转换(ssh服务连接为例)
DNAT实验前提为:SNAT

iptables -t nat -A PREROUTING -i eth0 -p  tcp  --dport 22 -j DNAT --to-dest x.x.x.x:22 

##在nat表中的路由之前链PREROUTING中添加规则:对连接eth0网卡ip的主机做目的端口转发,目的主机为x.x.x.x 只有通过设定的网卡进入服务端的客户机才能发生跳转!!!

实验现象:规则中设定通过eth0进入服务端的主机会发生目的端口跳转,所以在客户端实验是不会发生跳转的,因为客户端是通过eth1连接的服务端,在ip为172网段的主机上实验,可以看到实验现象;如果将规则该为 -i eth1 ,则只有在客户端实验能发生跳转,并且不管客户端ssh连接172网段哪一主机都会发生跳转,因为客户端在连接除服务端之外的172网段主机时,首先会通过服务端的eth1进入服务端,只要通过eth1进入服务端都会发生DNAT跳转
在这里插入图片描述
在这里插入图片描述
目的端口转发必须开启火墙的伪装功能,否则会出现如下效果:

在这里插入图片描述

lllyr(ฅ>ω<*ฅ)
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxselinux强制访问控制
Ying_smile的博客
05-16 5028
selinux selinux是强制访问控制的一种策略,可以指明某一个进程访问哪些资源,在传统的linux中,一切皆文件,由用户、组和权限来控制访问,在selinux中,一切皆对象,由存放在扩展属性领域的安全元素控制访问,所有文件、端口、进程都具备安全上下文 selinux影响着:(1)程序访问文件(2)程序访问功能(微信),进程本身功能,开关 查询selinux状态 命令:g...
iptables火墙
weixin_43357497的博客
08-16 972
iptables 1. 防火墙种类及使用说明 硬件 华为 华三 深信服 软件 iptables firewalld 云防火墙 阿里云:安全组(默认的是白名单,防火墙规则是拒绝) 2. 必须熟悉的名词 容器:瓶子 存放东西 表(table):存放链的容器 链(chain):存放规则的容器 规则(poliy) :准许或拒绝规则 ACCEPT DROP 3. iptables执行过程 工作流程 防火墙是层层过滤的,实际是按照配置规则的顺序从上到下从前到后进行过滤的。 如果匹配上规则,明
selinux端口标签的管理
llllyr的博客
05-19 1237
我们在部署服务时会遇到如下问题:当selinux为强制模式时,修改服务端口号(如:apache服务端口为8888 vim /etc/httpd/httpd.conf)当我们重启服务时发现重启失败(重启apache服务时 无法重启服务,)这是因为selinux端口标签中不存在我们所修改的端口号(不存在8888端口) 这是我们需要为selinux端口标签添加新的端口号或者将服务端口修改为selinux标签中存在的端口,方可解决问题! (为selinux添加8888端口标签,再次重启服务,重启成功) 管理.
规则 防火墙 iptables input accept
【设计改变世界】github地址:https://github.com/guochunyang2004
11-16 1034
由于 mangle 这个表格很少被使用,如果将图 9.3-3 的 mangle 拿掉的话,那就容易看的多了: 图 9.3-4、iptables 内建各表格与链的相关性(简图) 透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUT 与 OUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机...
iptables只允许指定ip访问本机的指定端口
热门推荐
赵英超的博客
06-15 4万+
只允许指定的ip访问本机的指定端口50070: 例如允许的的ip:192.168.1.123,192.168.1.124, 192.168.1.100,其他ip都禁止访问。   切换到root用户 iptables -F#清除预设表filter中的所有规则链的规则    1、在tcp协议中,禁止所有的ip访问本机的50070端口iptables -I INPUT -p tcp -
免费收录网站搜索引擎登录口大全
The Last Song 的专栏
12-28 4223
>> 搜索引擎网站收录地址大全 360搜索引擎登录入口:http://info.so.360.cn/site_submit.html百度搜索网站登录口:http://www.baidu.com/search/url_submit.html百度单个网页提交入口:http://zhanzhang.baidu.com/sitesubmitGoogle网站登录口:http://www.go
iptables及firewalld加固服务器安全思维导图
05-05
iptables及firewalld加固服务器安全思维导图
web服务iptables配置脚本实现代码
09-15
主要介绍了web服务iptables配置脚本实现代码的相关资料,需要的朋友可以参考下
Debian iptables服务工作脚本
11-12
附件为Debian的iptables服务脚本,脚本有详细描述脚本的用法,主要作用时讲iptables像CentOS一样,注册成Linux服务,方便iptables管理
web服务iptables火墙设置1
最新发布
08-08
/bin/bash# Set firewall rulesDST="192.168.1.1"# iptables rules:iptables -P INPUT
CentOS服务iptables配置简单教程
01-10
iptablesLinux服务器重要的网络安全防范系统工具,考虑到多数服务器有专门的团队托管,服务器管理员多数时间只能通过SSH进行远程管理,在安全允许的情况下,保证SSH的合法联通,需要做如下的配置iptables -P...
虚拟机的镜像安装
llllyr的博客
07-22 1713
虚拟机镜像的安装 (1)下载好虚拟机iso镜像安装包 (2)命令virt-manager 打开虚拟机管理器 点击左上角创建新虚拟机按钮 (3)选择"Local install media"这个选项 --> Forward (4)点击Browse…按钮 (5)Browse Local–>找到rhel-server-7.3-x86_64-dvd.iso 镜像安装包所在位置 -->点击...
ssh服务补充——普通用户免密登录以及白名单
llllyr的博客
10-15 1306
1.客户端对服务端普通用户ssh安全连接配置免密登录 与之前做过的对服务端root用户免密登录思路一样:在服务端对想要被免密连接的普通用户家目录下建立密钥并对服务端上锁,再将免密登录所需的钥匙发送给客户端 配置: 在服务端(ip:172.25.254.101 ##想要对westos用户设置免密登录) cd /home/westos/.ssh ##/home/westos/.ssh目录应...
DDNS 动态域名解析
llllyr的博客
08-08 951
文章目录1.DDNS定义2. DDNS的配置(1) 配置准备(2)配置(3)测试 1.DDNS定义 动态域名解析服务,是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候,客户端程序就会通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,服务程序负责提供DNS服务并实现动态域名解析。 就是说DDNS捕获用户每次变化的IP地址,然后将其与域名相对应,这样域...
网络磁盘共享iscsi服务
llllyr的博客
08-17 886
文章目录1.服务配置2.服务删除3.targetcli 的使用4.排错 服务端口:3260 服务软件:targetcli 服务优点:使分享不再通过两层文件系统,使分享更高效便捷 1.服务配置服务端: (1)yum install -y targetcli 下载磁盘分享服务配置软件targetcli systemctl start target 启动服务 systemctl en...
DNS域名解析服务
llllyr的博客
08-06 736
文章目录1.DNS解析命令2.部署DNS高速缓存2.DNS正向解析3.PTR反向解析4.CNAME解析5.MX解析6.DNS双向解析7.DNS集群8.集群域名更新同步9.用户添加dns更新 全局网关:写在==/etc/resolv.conf==文件中 所有ip都可以使用的网关 私有网关:写在网卡配置文件中 只是所对应的网卡ip能使用的网关 智能dns 114.114.114.114 DNS高...
文件管理之输入输出重定向
llllyr的博客
07-04 687
1.连wifi之前要把其他网关删除后才能连 删除命令:route del default 查看本机网络:route -n 查看本机IP地址:ip addr show br0 2.设置虚拟机的网络ip nm-connection-editor–>delect–>add–>create–>设置ethernet–>设置IPv4 Settings 3.vim的用法 1)在/e...
linux系统故障排错(含linux系统启动步骤)
llllyr的博客
08-03 548
文章目录1.linux系统启动步骤(1)POST加电自检(2)BIOS启动引导阶段(3)GRUB启动引导阶段 1.linux系统启动步骤 (1)POST加电自检 Linux系统在接通电源之后,会自动启动POST加电自检程序来对内部的各个配件进行自检;自检出现错误系统无法启动,重则停机 (2)BIOS启动引导阶段 BOIS 基本输入输出系统 加电自检后,系统会静入BIOS阶段,在该阶段系统会启动...
Linux服务配置实战:Samba到IPTABLES
6. **实验6 - IPTABLES火墙配置与应用** 这部分介绍Linux下的防火墙规则配置,保护服务器安全。 每一章都配以详细的实验步骤和环境要求,如高档PC、Windows XP、VMware等虚拟化工具,以及Red Hat Linux ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值