Blog26@linux网络端口安全下_iptables

最新推荐文章于 2022-10-31 17:17:44 发布
最新推荐文章于 2022-10-31 17:17:44 发布
阅读量309 收藏 1
点赞数
分类专栏: linux 文章标签: iptables 管理 安全 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mys_sunshine/article/details/78737014
版权

*********iptables********


iptables命令管理参数如下:

一、iptables的安装


为iptable创建一个纯净的环境如下操作:
    1  yum search iptables
    2  yum install iptables-services.x86_64 -y
    3  systemctl stop firewalld
    4  systemctl disable firewalld
    5  systemctl mask firewalld
    6  systemctl start iptables.service
    7  systemctl enable iptables.service
    8  iptables -t filter -L
    9  iptables -t filter -nL
   10  iptables -F    ##刷新策略
   11  service iptables save    ##将iptables表内容永久保存

二、iptables 的基本管理命令


策略的查看与刷新:
iptables -vnL:查看iptables表中策略
iptables -t nat -nL:查看nat策略
iptables -t nat -L PREROUTING:查看nat表PREROUTING链的规则
iptables -F:刷新策略
iptables -t nat -F:清空nat策略(-F仅仅是清空链中规则,并不影响-P设置的默认规则)
iptables -t nat -F PREROUTING:清空nat表PREROUTING链的规则

策略的添加、删除与更改:
iptables -A INPUT -s 192.168.0.4 -p tcp --dport 23 -j REJECT:
iptables -A INPUT -s 192.168.0.4 -p tcp --dport 23 -j DROP:(访问
拒绝,无任何提示)
iptables -I INPUT 2 -p tcp --dport 23 -j DROP:插入到第二条策略
iptables -D INPUT 3:删除filter表中的第三条规则
iptables -D INPUT -s 192.168.0.1 -j DROP:按内容删除
iptables -R INPUT 3 -j ACCEPT:将原来编号为3的规则内容替换为-j
ACCEPT

规则链的设置:
iptables -N redhat:添加自定义链名
iptables -D redhat 1:删除自定义链下的策略
iptables -X redhat:删除自定义链
iptables -E allowed disallowed:修改规则链名称

iptables -P INPUT DROP: 设置filter表INPUT链的默认规则 ,当数据包没有被规则列表里的任何规则匹配到时,按此默认规则处理

三、地址的伪装与转发


POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则;

SNAT就是改变转发数据包的源地址 --to-source:



PREROUTING:(外部访问内部)可以在这里定义进行 目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT;
DNAT就是改变转发数据包的目的地址 --to-dest:


SNAT示例:

将内网从eth0网卡流入的数据包原地址修改为172.25.254.118

#iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.118

#sysctl -a | grep ip_forward
#vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
#sysctl -p

DNAT示例:

将从eth0网卡进来的要访问172.25.18.118 的数据包目的地址改为172.25.254.18

iptables -t nat -A PREROUTING -i eth1 -d 172.25.18.118 -j DNAT --to-dest 172.25.254.18

四、基于状态的匹配扩展


每个网络连接包括以下信 息:源地址、目标地址、源端口、目的端口,称为套接字对(socket pairs);协议类型、连接状态(TCP协议)和超时时间等。防火墙把这些信息称为状态(stateful)。状态包过滤防火墙能在内存中维护一个跟踪状态的表,
命令格式如下:
iptables -m state --state

»NEW: 该包想要开始一个新的连接(重新连接或连接重定 向)
»RELATED:该 包是属于某个已建立的连接所建立的新连接。举例:FTP的
数据传输连接和控制连接之间就是RELATED关系。
»ESTABLISHED:该包属于某个已建立的连接。
»INVALID:该 包不匹配于任何连接,通常这些包被DROP。

我们一般设置服务器策略如下:
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -m state --state NEW -i lo -j ACCEPT
#iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
#iptables -A INPUT -j REJECT

注:iptables 不会打开内核智能,做NAT SANT 为内核路由功能
MYS_Sunshine
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux iptables禁止端口,Linuxiptables 禁止端口和开放端口示例
weixin_29284657的博客
05-14 5334
1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。下面是命令实现:iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP再用命令iptables -L -n查看 是否设置好, 好看到全部 DROP 了这样的设置好了,我们只是临时的, 重启服务器还是会恢复原来没有设置的状态还要使用 ...
linux 添加udp端口映射,iptables下udp端口转发
weixin_39819283的博客
05-04 1684
KVM下新建虚拟机,为了节省公网IP地址,将公网IP配在了物理主机上,内部的虚拟机通过nat端口映射来共用公网IP。由于平时像tomcat、nginx等应用都是监听的tcp端口 ,一般在iptables做映射时只需一条目的地址转换就OK了。今天突然一位开发的同事使用的公网上的一台测试机需要udp端口映射 。本以为也像tcp一样,只需要将命令中的tcp改为udp就OK了,增加后却发现无效。具体如下一...
常用端口
ppby2002的专栏
02-06 2592
端口号码 / 层 名称 注释 1 tcpmux TCP 端口服务多路复用 5 rje 远程作业入口 7 echo Echo 服务 9 discard 用于连接测试的空服务 11 systat 用于列举连接了的端口的系统状态 13 daytime 给请求主机发送日期和时间 17 qotd 给
linux 常用端口
wdsfup的专栏
05-03 4188
下面的表格中列举了包括在红帽企业 Linux 中的服务、守护进程、和程序所使用的最常见的通信端口。该列表还可以在 /etc/services 文件中找到。要查看由互联网号码分派局(IANA)制定的“著名的已注册动态端口”官方列表,请参考以下 URL: http://www.iana.org/assignments/port-numbers   注记
linux下用iptables关闭端口,通过Linux系统下iptables防火墙开启/关闭指定端口方法
weixin_42356659的博客
04-30 2647
一般情况下iptables已经包含在Linux发行版中.运行iptables --version来查看系统是否安装iptables启动iptables:service iptables start查看iptables规则集:iptables --list下面是没有定义规划时iptables的样子:Chain INPUT (policy ACCEPT)target prot opt sour...
iptables 端口转发_使用iptables转发端口
cuma2369的博客
07-21 2116
iptables 端口转发Port forwarding is simple to do with iptables in a Linux box which may probably already being used as the firewall or part of the gateway operation. In Linux kernels, port forwarding is a...
Linux下通过iptables开放端口
Shyllin的博客
07-13 4029
Linux下通过iptables开放端口 # 检查是否安装 @shylin:/etc# sudo whereis iptables iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz # 安装 sudo apt-get install iptables 2.查看防火墙的配置信息 root...
linux记录端口访问日志,iptables+rsyslog(syslog)+logrotate访问日志分析
weixin_32593879的博客
04-30 1233
最近,因为相应的业务需求需要对服务器的相应服务做访问分析,在做之前大致思考了下,可以利用iptables的log日志功能用来做相应的日志分析,在此就以做ssh端口访问做日志分析来简单讲解下,在实际生产环境下也可以根据实际情况调整,可以用来做WEB服务等等的相应的访问日志分析。首先,在使用日志分析之前最重要的就是iptables的log功能,至于iptables中的log功能使用 也很简单,在开启后...
linux 端口重定向,Linuxiptables实现网站访问重定向
weixin_31354669的博客
05-01 1422
因为某些原因需要把访问10.0.3.49上的httpd服务重定向到10.0.3.26上.所以研究了一下用iptables的NAT实现IP与端口的重定向,其实很简单,只需要两步。1、首先需要确保linux服务器10.0.3.49开启了数据转发功能:echo 1 > /proc/sys/net/ipv4/ip_forward2、10.0.3.49做NAT的ip和端口80的重定向。iptables...
Linuxiptables关闭(ssh)端口22
Android系统攻城狮
10-31 5634
【代码】Linuxiptables关闭(ssh)端口22。
Linuxiptables 禁止端口和开放端口示例
09-15
本篇文章主要介绍了Linuxiptables 禁止端口和开放端口示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
利用iptables配置linux禁止所有端口登陆和开放指定端口的方法
09-15
下面小编就为大家带来一篇利用iptables配置linux禁止所有端口登陆和开放指定端口的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Linux服务器利用防火墙iptables策略进行端口跳转的方法
09-14
主要介绍了Linux服务器利用防火墙iptables策略进行端口跳转的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
LinuxIPTABLES配置详解
01-30
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.如果你在安装linux时没有选择启动防火墙,是这样的什么规则都没有.不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在...
Test2@关于用户权限设定及更改的练习
MYS_Sunshine的博客
10-12 1177
摘要:关于Blog5 & Blog6 知识点的实战练习。
SHELL脚本中的常用语句_(2)(expect及语句控制器)
MYS_Sunshine的博客
06-30 994
1. expect expect 是一个免费的编程工具语言,建立在 tcl 基础上的一个工具,它可以让一些需要交互的任务自动化地完成。相当于模拟了用户和命令行的交互操作。 1.1 expect 安装及基本介绍 安装 expect 依赖于 tcl,所以需要首先安装 tcl 再安装 expect yum install tcl -y yum insta...
Blog17@linux关于lvm
MYS_Sunshine的博客
11-08 688
本节主要介绍关于lvm的建立、拉伸、缩小、删除、即快照的建立还有一些基本问题的解决方法
Blog16@linux存储设备的管理(2)—分区
MYS_Sunshine的博客
11-08 661
分区 一、关于分区的一些基本信息 1.关于设备分区信息 一个扇区大小:512byte >> mbr主引导记录446byte ---主引导分区安装引导加载程序的地方 >> mpt主引导分区表64byte   >> 硬盘的有效性标识"55aa"(更改后硬盘无法启动) >> 一个主分区占用16个字节记录分区信息 >> 一块硬盘上如果用mbr的分区方式最多可以存在4个主分区
Blog15@linux介绍kickstart、dhcp
MYS_Sunshine的博客
11-02 629
本节摘要:主要介绍kickstart、dhtp安装以及可自动回答问题的虚拟机安装脚本编辑方式
linux iptables端口转发
最新发布
08-23
- *1* *2* [Linux端口转发的几种常用方法](https://blog.csdn.net/u010680373/article/details/124779749)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值