iptables防火墙技术

已于 2024-04-03 15:15:08 修改
阅读量167 收藏
点赞数
文章标签: 网络 服务器 linux
于 2023-07-29 00:11:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37749659/article/details/131989658
版权

linux防火墙功能是netfilter模块提供的
iptables是一个客户端,客户端是用来接收用户命令的

ipyables -nvL -t nat
n 数字显示 v 详细详细 L 列出规则
-t 指定要操作的表

iptables由表和链构成
具体的四表
filter表——过滤数据包 默认表
Nat表——用于网络地址转换(IP、端口)
Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
Raw表——决定数据包是否被状态跟踪机制处理

五链
INPUT:处理进入本机的数据包。
FORWARD:处理转发的数据包。
OUTPUT:处理从本机发出的数据包。
PREROUTING:在路由选择之前处理数据包。
POSTROUTING:在路由选择之后处理数据包。

添加规则
-A INPUT -s 192.168.0.123 -p tcp --dport 22 -j ACCEPT
mac规则
-A INPUT -m mac --mac-source mac地址 -p tcp --dport 22 -j ACCEPT
-m module 模块
-p 指定协议

-A INPUT -s 192.168.0.100 -j ACCEPT
命令行添加规则
iptables -t filter -A INPUT -s 192.168.0.123 -p tcp --dport 8080 -j ACCEPT
不加 -s 表示 任何
service iptables save 保存

ESTABLISHED

区域:
public 仅允许访本机sshd dhcp ping服务
trusted 允许任何访问

通过端口 ip 协议限制

iptables -t filter -A INPUT -s 192.168.1.120 -j DROP
-t 在 fiilter 表上添加
-A 添加规则 INNPUT 添加到input链 -j 丢弃

iptables -vnL --line-numbers 显示编号

Chain INPUT (policy ACCEPT 64 packets, 4994 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        1    84 DROP       all  --  *      *       101.201.116.250      0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 55 packets, 5970 bytes)
num   pkts bytes target     prot opt in     out     source               destination

常用命令

删除规则。删除第一条
iptables -D INPUT 1   

修改规则。 REJECT 拒绝有回应
iptables -R INPUT 1 -s 101.0.0.0/24 -j  REJECT


```bash
指定协议
iptables  -A INPUT -s 192.168.1.128 -p icmp  -j REJECT

iptables -A INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -j DROP
iptables -I INPUT -i lo -j ACCEPT


拒绝第一次握手,新连接不让连, --syn:用于匹配第一次握手, 相当于:--tcp-flags SYN,ACK,FIN,RST SYN
iptables -A INPUT -p tcp --syn -jREJECT


拒绝请求  --icmp-type 8
iptables -A INPUT -s 192.168.1.128  -p icmp --icmp-type 8 -j REJECT





multiport扩展,指定多个端口
iptables -A INPUT  -s 192.168.1.128  -p tcp  -m multiport --dports 443,80,22   -j REJECT





创建自定义链
iptables -N web_chain

iptables -A WEB_CHAIN -s 192.168.1.128 -p tcp --dport 6379 -j REJECT
iptables -A INPUT -j WEB_CHAIN   #内置链关联自定义链 




保存配置
iptables-save  > iptables.txt  


iptables -F 清空防火墙规则
iptables -X 删调自定义链

 iptables-restore < iptables.txt    当清空规则后,重新恢复

写到rc.local,开机自动加载
iptables-restore </root/iptables.txt


centos的iptables规则路径/etc/sysconfig/iptables-config

在 Ubuntu 20.04 中,iptables 的配置文件路径为 /etc/iptables/rules.v4 和 /etc/iptables/rules.v6,分别用于 IPv4 和 IPv6 的 iptables 规则配置。

IPv4 规则文件路径:/etc/iptables/rules.v4
IPv6 规则文件路径:/etc/iptables/rules.v6
您可以通过编辑这些文件来配置 iptables 防火墙规则。在文件中,您可以添加 iptables 规则,指定允许或拒绝特定的网络连接和数据包。




iptales A FORWARD  -s 10.0.0.0/24 ! -d 10.0.0.0/24 -m state --state NEW -j ACCEPT
-s 10.0.0.0/24:源IP地址为10.0.0.0/24网段。
! -d 10.0.0.0/24:目标IP地址不在10.0.0.0/24网段内。
-m state --state NEW:只针对新的连接。
-j ACCEPT:接受并允许该连接通过。


内网访问外网  SNAT   源地址转换,

外网服务内网  DNAT  目标地址转换,




用6.6.6.6的公网地址,公司配置

## 转发: REDIRECT

访问本机的8080端口转给80端口


iptables -t nat -A PREROUTING -p tcp --dport 8080 -j REDIRECT --to-ports 80



iptables -A INPUT -i eth0 -p icmp --icmp-type Echo-Request -j DROP

这条规则的作用是禁止通过eth0接口进入的Ping请求,即阻止来自外部网络的Ping请求进入主机
--icmp-type Echo-Request:匹配ICMP类型为Echo-Request的数据包,即Ping请求。
inner222
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables全面详解(图文并茂含命令指南)
程序人生
08-04 1万+
iptables原理详解及操作指南
Linux防火墙之iptables详解
weixin_47669063的博客
03-08 816
正、方向代理、iptables
iptables的使用
qq_61114906的博客
05-19 389
4. 允许特定端口的流量:`iptables -A INPUT -p <协议> --dport <端口号> -j ACCEPT`6. 阻止特定端口的流量:`iptables -A INPUT -p <协议> --dport <端口号> -j DROP`iptables -A INPUT -s <IP地址> -p tcp --dport <端口号> -j ACCEPT。3. 允许特定IP地址的流量:`iptables -A INPUT -s <IP地址> -j ACCEPT`
Ubuntu永久保存iptables的设置
专栏
07-07 2548
在安装过程中,你会被要求确认是否将当前的iptables规则保存到文件中。选择"是",然后继续进行安装。现在,你的iptables设置将在系统重启后自动加载。如果你想更新iptables规则,只需编辑。安装完成后,iptables-persistent会自动加载保存的iptables规则文件。上述步骤适用于IPv4的iptables规则。如果你同时使用IPv6规则,可以将上述命令中的。,并相应地将规则保存到。
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 2751
iptables防火墙详解
iptables命令
m0_57730097的博客
12-06 1391
#### 选项 iptables -h 获取帮助 iptables -V 显示版本信息 iptables -L 列出链详细信息,可指定iptables -vL 显示更详细链信息 iptables -vnL 显示更详细链信息,并以数字化显示 iptables -vnL --line-number 列出信息时,显示规则序号 iptables -F 清除所有规则,不包括默认规则,可指定iptables -D 链名 规则序号 删除指定规则 iptables -I...
Linux平台下iptables防火墙技术分析和实现.pdf
09-06
Linux平台下iptables防火墙技术分析和实现.pdf
论文研究-iptables防火墙技术研究及实现 .pdf
08-21
iptables防火墙技术研究及实现,丁健,杨建良,计算机网络的迅速发展给人类社会带来了前所未有的飞跃,极大的提高了工作效率,丰富了人们的精神生活,而与此同时也带来了一个日
信息安全技术:iptables防火墙.pptx
11-01
信息安全技术基础
剖析IPTables防火墙.pdf
11-04
剖析IPTables防火墙.pdf
Linux内核中NetfilterIptables防火墙的技术分析.pdf
11-04
Linux内核中NetfilterIptables防火墙的技术分析.pdf
iptables工具__过滤包—命令(-A、-I、-D、-R、-L等)、参数(-p、-s、-d、--sport、--dport、-i、-o等)、动作-j (ACCEPT、DROP、REJECT、RED
tanyjin的博客
04-25 1418
iptables 指令 语法:          iptables [-t table] command [match] [-j target/jump]          -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,           当未指定规则表时,则一律视为是 filter。 各个规则表的功能如下:  
Linux网络管理—iptables命令
gaoZhuanMing的博客
09-09 389
作用:用于 IP 包的过滤和实现 NAT. 1. 表和链 常用的表有2个:filter 和 nat. 每张表又包含多条链,每条链就是规则序列. filter 表包含 INPUT,FORWARD,OUTPUT 链. nat 表包含 PREROUTING,OUTPUT,POSTROUTING 链. 2. 处理流程 接收到数据包的处理过程 本机收到数据包,由 nat.PREROUTING 先进行处理; 如果数据包的目的地址是本机,则交由 filter.INPUT 进一步处理;然后将数据包交给本机上层协议栈.
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
linux防火墙iptables常用规则(屏蔽IP地址、禁用ping、协议设置、NAT与转发、负载平衡、自定义链)
jamlin456的博客
09-15 1万+
一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认链策略 iptables的filter表中有三种链:INPUT, FORWARD和OUTPUT。默认的链策略是ACCEPT,你可以将它们设置成DROP。 iptables -P INPUT DROP iptables -P FORWARD DRO
通过iptables的u32模块实现对应用层协议匹配
CollinXia的博客
03-23 1782
项目上做一个应用层的防火墙,而传统的防火墙匹配不到应用层内容。看了很多博客如何用layer7来做,但是layer7未免太老了些。于是尝试了用u32模块通过字匹配的方式来实现应用层的解析。欢迎各位大佬批评指正!
服务器注意防火墙不要限制端口,不要限制协议
至善 至美
10-11 1410
服务器注意防火墙不要限制端口,不要限制协议,见Linux iptable类别里说明
iptables详解(13):iptables动作总结之二
ss810540895的博客
10-21 361
阅读这篇文章需要站在前文的基础上,如果你在阅读时遇到障碍,请参考之前的文章。前文中,我们已经了解了如下动作今天,我们来认识几个新动作,它们是:在认识它们之前,我们先来聊聊NAT,如果你对NAT的相关概念已经滚瓜烂熟,可以跳过如下场景描述。NAT是Network Address Translation的缩写,译为”网络地址转换”,NAT说白了就是修改报文的IP地址,NAT功能通常会被集成到路由器、防火墙、或独立的NAT设备中。为什么要修改报文的IP地址呢?
Linux防火墙iptables
最新发布
09-14
Linux防火墙iptables是一种专为Linux操作系统设计的高度灵活的防火墙工具。它对于Linux的技术爱好者和系统管理员来说非常有用。下面是一些配置和使用iptables的常见步骤: 1. 首先,如果你使用的是CentOS 7操作系统,默认情况下使用的是firewalld防火墙而不是iptables。如果你希望使用iptables防火墙,你需要先关闭firewalld防火墙并安装iptables。以下是一些命令示例: ``` # 关闭firewalld防火墙 systemctl stop firewalld systemctl disable firewalld # 安装iptables yum -y install iptables iptables-services.x86_64 # 启动iptables防火墙并设置开机自启 systemctl start iptables.service systemctl enable iptables.service ``` 2. iptables的基本语法由以下部分组成: ``` iptables [-t 表名 管理选项 [链名 [匹配条件 [-j 控制类型] ``` - `-t 表名`:指定要操作的表的名称,可选的表包括`filter`(默认),`nat`和`mangle`。 - 管理选项:可以是`-A`(添加规则),`-D`(删除规则),`-F`(清空规则),`-I`(插入规则)等。 - `[链名]`:指定要操作的链的名称,可以是`INPUT`(接收数据包),`OUTPUT`(发送数据包)或`FORWARD`(转发数据包)等。 - `[匹配条件]`:用于匹配特定条件的规则。 - `-j 控制类型`:指定

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值