CentOS8 iptables 防火墙配置

最新推荐文章于 2023-10-23 17:55:38 发布
最新推荐文章于 2023-10-23 17:55:38 发布
阅读量8.7k 收藏 11
点赞数 2
分类专栏: Linux学习笔记 文章标签: linux iptables 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46327721/article/details/107814096
版权

CentOS8 iptables配置防火墙

iptables 防火墙简介

  1. 在操作系统中防火墙在内网和外网中充当保护的屏障,防火墙有软件防火墙和硬件防火墙之分。
  2. 在Linux系统中有多种防火墙管理工具,例如:iptables、firewall-cmd、 firewall-configTCP-Wrapper防火墙管理工具。这些都只是定义防火墙策略的防火墙管理工具。iptables服务将配置好的防火墙策略交由内核中的netfilter网络过滤器处理。firewalld配置好的防火墙策略交由内核中的nftables包过滤框架来处理。
  3. 防火墙策略可以基于流量的原目的地址、端口号、协议、应用等信息来定制。

iptables匹配规则

  1. 防火墙从上至下顺序读取配置的策略规则,在找到匹配项之后立即结束匹配工作并执行匹配项中定义的行为。
  2. iptables中用于处理或过滤流量的策略条目称之为规则。多条规则组成一个规则链。
  3. 基于以上原因,应当把规则按重要性的顺序配置,同时把允许动作放到拒绝动作之前。
  4. 如果防火墙默认策略是"放行(阻止)",则设置规则为“阻止(放行)”

规则链依据数据包处理位置的不同分类

类型含义
PREROUTING在进行路由选择之前处理数据包
INPUT处理流入的数据包
OUTPUT处理流出的数据包
FORWARD处理转发的数据包
POSTROUTING在进行路由选择后处理数据包

一般从内网向外网发送的流量一般都是可控且良性的,所以使用最多的就是配置 INPUT 规则链

针对策略规则类型采取不同动作

类型含义
ACCEPT允许流量通过
REJECT拒绝流量通过
LOG记录日志信息
DROP拒绝流量通过

REJUECT和DROP的区别:

  • REJECT在拒绝流量后再回复一条“您的信息已收到,但是被扔掉了”
  • DROP直接将流量丢弃且不响应。
  • 规则链默认拒绝动作只能是DROP,而不能是REJECT。个人猜测:当黑客想要探明是否某个主机是否在线时,如果使用REJECT则即使信息被拒绝了,也能知道主机是在线的。但是如果使用DROP则,无法探出是真的不存在该主机还是该主机将信息DROP了没有回应。

iptables常用命令参数

参数作用
-P设置默认策略
-F清空规则链
-L查看规则链
-A在规则链末尾加入新规则
-I num在规则链头部加入新规则
-D num删除某一条规则
-s匹配来源地址IP/MASK,加"!"表示除这个IP外
-d匹配目标地址
-i 网卡名称匹配从这块网卡流入的数据
-o 网卡名称匹配从这块网卡流出的数据
-p匹配协议,如TCP、UDP、ICMP
–dport num匹配目标端口号
–sport num匹配来源端口号

iptables 实践

将INPUT默认策略改为DROP

[root@MyCentOS ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  
[root@MyCentOS ~]# iptables -P  INPUT DROP
[root@MyCentOS ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

向某种类型中添加允许某种协议进入

[root@MyCentOS ~]# iptables -I INPUT -p icmp -j ACCEPT
[root@MyCentOS ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

第一条命令中的含义是

  • -I INPUT在INPUT头部添加一条规则
  • -p icmp匹配ICMP协议
  • -j ACCEPT 跳转执行ACCEPT操作,因为INPUT的默认操作时DROP

删除某条规则

[root@MyCentOS ~]# iptables -D INPUT 1
[root@MyCentOS ~]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

设置指定网段的主机访问本机某端口,拒绝其他所有主机的流量

[root@MyCentOS ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@MyCentOS ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@MyCentOS ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.10.0/24      anywhere             tcp dpt:ssh
REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
  • 上述第一条命令含义是:
  1. -I INPUT 在INPUT规则链中头部添加规则
  2. -s 192.168.10.0/24 匹配192.168.10.0-192.168.10.24中的所有主机IP地址
  3. -p tcp 匹配tcp协议
  4. --dport 22 匹配访问本机端口号为22的流量
  5. -j ACCEPT 跳转至执行ACCEPT操作
  • 上述第二条命令含义是:
  1. -A INPUT 在INPUT规则链末尾添加规则
  2. -p tcp匹配tcp协议
  3. --dport 22 匹配访问本机端口号为22的流量
  4. -j REJECT 跳转至执行REJECT操作

根据上述iptables匹配规则中所说,需要把匹配规则中允许规则放置在拒绝规则之前。

保存iptables 配置设置

iptables的防火墙设置感觉还行,再多的实践就不再写了。但是配置的防火墙策略默认会在系统下一次重启时生效,永久生效还要执行保存命令

 [root@MyCentOS ~]# service iptables save
young_monkeysun
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS7 安装iptables防火墙配置
IceStreamLab
04-10 1383
文章目录一)、关闭,禁用系统默认的firewall防火墙二)、安装iptables防火墙1)、先检查是否安装了iptables2)、安装iptables3)、升级iptables4)、安装iptables-services5)、编辑防火墙文件6)、重启防火墙使配置文件生效7)、设置iptables防火墙为开机自启 centos7默认是使用firewalld作为防火墙 查看iptables防火墙现有...
CentOS防火墙配置
lhd85的博客
05-27 528
CentOS 配置防火墙操作实例(启、停、开、闭端口):注:防火墙的基本操作命令: 查询防火墙状态: [root@localhost ~]# service iptables status<回车>停止防火墙: [root@localhost ~]# service iptables stop <回车>启动防火墙: [root@localhost ~]# service iptab
Linux CentOS 8(iptables配置与管理)
最新发布
正月十六工作室
10-23 1714
iptables其实不是真正的防火墙,它只是一个命令行工具,位于用户空间,可以把它理解成一个客户端代理。用户通过 iptables 这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙,名字叫netfilter,位于内核空间,以实现网络数据包的过滤管理(查看、记录、修改、丢弃、拒绝)。普遍应用于Rhel6、CentOS6及之前。netfilter / iptables 组成Linux平台下的包过滤防火墙
Centos8防火墙关闭和启用iptables操作
hwj2004dhc的空间
01-03 4908
#ufw是针对Ubuntu系统发行的,是一种管理netfilter规则的简单方法,针对Centos可以关闭防火墙 # 扩展命令 # 查看防火墙状态:sudo systemctl status firewalld # 关闭防火墙: systemctl stop firewalld.service # 开启防火墙: systemctl start firewalld.service # 关闭开机启动: systemctl disable firewalld.service # 打开防火墙开机启动: syst
CentOS8防火墙相关命令
zhoupenghui168的博客
03-11 4993
一、下面是red hat/CentOs7关闭防火墙的命令! 1:查看防火状态 systemctl status firewalld service iptablesstatus 2:暂时关闭防火墙 systemctl stop firewalld service iptablesstop 3:永久关闭防火墙 systemctl disable firewalld chkconfig iptables off 4:重启防火墙 systemctl enable firewalld ...
CentOS8安装iptables
RougeK的博客
09-19 5485
文章目录关闭防火墙yum安装iptables启动配置iptables详解规则的写法详解COMMAND链管理命令(这都是立即生效的)规则管理命令查看管理命令 “-L”详解匹配标准通用匹配:源地址目标地址的匹配扩展匹配隐含扩展:对协议的扩展显式扩展(-m)详解-j ACTIONSNAT和DNAT的实现SNAT基于原地址的转换DNAT目标地址转换 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 关闭
Centos8-防火墙设置
weixin_43398098的博客
05-11 6790
1,查看防火墙状态 systemctl status firewalld firewall-cmd --state 2,开启防火墙 systemctl start firewalld 3,关闭防火墙 systemctl stop firewalld 4,放行指定端口 firewall-cmd --zone=public --add-port=端口号/tcp --permanent #例如 firewall-cmd --zone=public --add-port=80/tcp..
阿里云Centos配置iptables防火墙教程
01-20
虽说阿里云推出了云盾服务,但是自己再加一层防火墙总归是更安全些,下面是我在阿里云vps上配置防火墙的过程,目前只配置INPUT。OUTPUT和FORWORD都是ACCEPT的规则 一、检查iptables服务状态 首先检查iptables服务的...
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
主要介绍了一键配置CentOS iptables防火墙Shell脚本分享,可保存到一个脚本文件中,在新安装的CentOS系统时一条命令搞定iptables配置,需要的朋友可以参考下
CentOS配置iptables防火墙.docx
10-29
CentOS配置iptables防火墙.docx
阿里云Centos配置iptables防火墙.docx
11-01
阿里云CentOS配置iptables防火墙是一项重要的安全措施,尽管阿里云提供了云盾服务,但额外的防火墙层能提供额外的安全保障。以下是配置iptables防火墙的详细步骤: 1. **检查iptables服务状态**: 首先,通过运行`...
centos8安装iptables
桑海田
11-02 1561
关闭默认防火墙firewalld 禁止开机启动: systemctl disable firewalld 停止运行: systemctl stop firewalld 安装iptables yum -y install iptables-services #启动服务 systemctl start iptables.service #查看状态 systemctl status iptables.service #设置iptables的开机自启动 systemctl enable iptables.
CentOS 如何重启iptables防火墙
lgxzzz的博客
04-22 8801
centos 防火墙重启生效的相关配置,有需要的朋友可以参考下。 1)、重启后永久性生效: 开启:chkconfigiptableson 关闭:chkconfig iptables off 2)、即时生效,重启后失效: 开启:service iptables start 关闭:service iptables stop需要说明的是对于Linux下的其它服务都可以用以上命令执行开启和关闭操作。 在开启了防火墙时,做如下设置,开启相关端口, 修改/etc/sysconfig/iptables 文件..
linux iptables防火墙中的工作常用命令
sinat_40572875的博客
11-12 731
报错:The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.对于其他操作,请尝试使用systemctl。-L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数。
linux防火墙centos7、centos8)
renfeigui0的博客
11-07 7242
一、防火墙服务 二、配置防火墙
linuxiptables防火墙
weixin_55609813的博客
05-25 288
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络型防火墙规则链内的匹配顺序iptables的安装iptables防火墙配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
Linux(17)Centos5、6、7、8版本的防火墙常用命令
我其实什么都不会
02-28 2971
Linux(17)Centos5、6、7、8版本的防火墙常用命令
Linuxiptables防火墙
zhangchang3的博客
03-29 584
iptables 防火墙 四表五链 端口匹配
centos8下安装iptables报错
熊博主
06-11 900
centos8配置appstream的repo源
centos安装iptables防火墙
05-10
以下是在 CentOS 上安装 iptables 防火墙的步骤: 1. 首先,使用 root 用户登录您的 CentOS 服务器。 2. 打开终端,执行以下命令安装 iptables: ``` yum install iptables-services ``` 3. 安装完成后,启动 iptables 服务: ``` systemctl start iptables ``` 4. 接着,将 iptables 服务设置为开机自启动: ``` systemctl enable iptables ``` 5. 确认 iptables 服务已经启动: ``` systemctl status iptables ``` 如果状态为 active(运行中),则表示 iptables 服务已经成功启动。 6. 配置 iptables 规则: 在 CentOS配置 iptables 规则有两种方式,一种是手动配置,另一种是使用防火墙配置工具。 手动配置: 编辑 /etc/sysconfig/iptables 文件,添加相应的规则。例如,开放 SSH 连接的端口: ``` -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT ``` 配置完毕后,保存文件并重启 iptables 服务使配置生效: ``` systemctl restart iptables ``` 防火墙配置工具: CentOS 提供了防火墙配置工具 firewalld,您可以使用以下命令安装: ``` yum install firewalld ``` 安装完成后,启动 firewalld 服务并设置开机自启动: ``` systemctl start firewalld systemctl enable firewalld ``` 然后,使用 firewall-cmd 命令添加防火墙规则。例如,开放 SSH 连接的端口: ``` firewall-cmd --zone=public --add-port=22/tcp --permanent ``` 配置完毕后,重新加载防火墙规则使其生效: ``` firewall-cmd --reload ``` 以上就是在 CentOS 上安装 iptables 防火墙的步骤,您可以根据需要进行配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值