Linux下的iptables防火墙管理方法

最新推荐文章于 2023-04-17 09:45:12 发布
最新推荐文章于 2023-04-17 09:45:12 发布
阅读量472 收藏 1
点赞数 1
分类专栏: rhcsa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigar_/article/details/107993149
版权

Linux下的iptables防火墙管理方法

文章目录

1.什么是iptables?

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统 如果 Linux 系统连接到因特网或
LAN、服务器或连接 LAN 和因特网的代理服务器 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中
在数据包过滤表中,规则被分组放在我们所谓的链(chain)中 而netfilter/iptables IP
数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则 虽然 netfilter/iptables IP
信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成 netfilter
组件也称为内核空间(kernelspace),是内核的一部分 由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易 除非您正在使用Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它

2.iptables命令参数

参数功能
-t指定表名称
-n不作解析
-L列出指定表中的策略
-A增加策略
-p网络协议
--dport端口
-s数据来源
-j动作:ACCEPT允许;REJECT拒绝;DROP丢弃
-N增加链
-E修改链名称
-X删除链
-D删除指定策略
-I插入
-R修改策略
-P修改默认策略

3.iptables策略

实验环境:

systemctl stop firewalld #关闭firewalld防火墙
systemctl start iptables #开启iptables防火墙

策略查看:

iptables -nL	#查看所有链,不作解析(默认查看filter表格里面的链)
iptablde -L		#查看所有链,作解析(默认查看filter表里面的链)
iptables -t filter -nL	#查看filter表格里面的链,不做解析
iptables -t nat -nL		#查看nat表里面的链
iptables -t mangle -nL	#查看mangle表里面的链

策略清除:

iptables -F		#清除所有策略
service iptables save	#将之前的策略保存到/etc/sysconfig/iptables中

策略配置:

iptables -t filter -A INPUT -i lo -j ACCEPT	#将lo回环接口加入INPUT链
iptables -nL		#查看策略
iptables -D INPUT 1	#删除INPUT链下第一条策略

iptables -t filter -A INPUT -s 172.25.254.1 -j ACCEPT	#接受指定ip的数据来源
iptables -t filter -A INPUT -s 172.25.254.1 -j REJECT 	#拒绝指定ip的数据来源
iptables -R INPUT 2 -S 172.25.254.1 -j REJECT			#修改策略(修改INPUT链下的第二条策略,动作改为拒绝)
iptables -I INPUT 2 -s 172.25.254.1 -p tcp --dport 22 -j ACCEPT	#插入策略(在INPUT链下的第二条策略后插入策略,接受该ip通过22端口tcp协议)

iptables -P INPUT DROP		#修改INPUT链默认策略为DROP	
iptables -P INPUT ACCEPT	#修改INPUT链默认策略为ACCEPT	

iptables -N nigar	#添加nigar链
iptables -E nigar NIGAR	#修改链的名字(nigar---NIGAR)
iptables -X NIGAR	#删除链NIGAR

4.iptables地址转发

地址转发的过程其实是当外网访问内网时,不知道内网的真实地址,由地址转发功能将其转发到真实的地址

实验环境:
真机:nigar:172.25.254.36
虚拟机:
server1 eth0:172.25.254.1 eth1:1.1.1.11
server2 ech0:1.1.1.22 网关:1.1.1.11

添加地址转发功能:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.22:22
iptables -t nat -nL	#查看策略

注释:

PREROUTING (PREROUTING链 路由前)
-i(input) 
-p(协议类型) tcp 
--dport 22 (端口)
-j DNAT (修改目的ip地址)
--to-dest 1.1.1.22:22(转发到这个地址)

测试:用真机nigarssh root@172.25.254.1 连接server1,实际连接的是server2

5.iptables端口伪装

端口伪装的过程简单来说,就是当本地主机需要访问外网时,开启伪装功能将数据包中的内网源IP转换为外网IP

实验环境:
真机:nigar:172.25.254.36
虚拟机:
server1 eth0:172.25.254.1 eth1:1.1.1.11
server2 ech0:1.1.1.22 网关:1.1.1.11

开启端口伪装功能:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.1
iptables -t nat -nL

注释:

POSTROUTING (POSTROUTING链 路由后)
-o(output) 
-j SNAT  (修改源ip地址)
--to-source 172.25.254.1(在172.25.254.1上面进行伪装)

测试:当使用真机nigarping 1.1.1.22时,在开启伪造功能之前,数据包无法到达,ping不通;开启伪造功能后可成功ping通

_nigar
关注
专栏目录
实验七 Linux环境下 iptables防火墙的配置
君莫hacker的博客
11-24 5926
Linux环境下iptables防火墙的配置 (1)通过iptables进行端口设置。 a. 添加规则关闭某端口(如TCP的22端口);然后,查看已有规则,并试图访问该端口。 b. 删除上述规则开放该端口;然后,查看已有规则,并试图访问该端口。 (2)通过iptables实现ICMP包的过滤。 a. 添加规则拒绝ICMP包通过;然后,查看已有规则,并试图执行ping命令。 b. 删除上述规则允许ICMP包通过;然后,查看已有规则,并试图执行ping命令。
linuxiptables防火墙
TTSuzuka的博客
11-02 1108
iptables就是经常听说的电脑防火墙,主要是防止别人恶意访问。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
iptables基本管理
weixin_42816196的博客
07-04 291
iptables基本管理  ————需要背下来 本案例要求练习iptables命令的使用,按照要求完成以下任务: 关闭firewalld,开启iptables服务 查看防火墙规则 追加、插入防火墙规则 删除、清空防火墙规则 什么是防火墙  ———— 是保护性安全屏障    保护 隔离 rhel7默认firewalld防火墙  是firewalld底层的过滤防火墙iptables li...
iptables防火墙基础
qq_59562051的博客
09-21 431
目录 前言: 一、Linux防火墙基础 1、防火墙简介 2、netfilter和iptables的主要区别如下 3、iptables的表、链结构 3.1、四个规则表 3.2、五个规则链 4、数据包过滤的匹配流程 4.1、规则表之间的优先顺序 4.2、规则链之间的匹配顺序 5、规则链内部各条防火墙规则之间的顺序 二、编写防火墙规则 1、iptabes工具安装 2、iptables防火墙基本语法 2.1、语法格式简介 2.2、数据包的常见控制类型 3、添加、查看、删除规则.
Linuxiptables防火墙的基本应用教程.docx
10-29
Linuxiptables防火墙的基本应用教程.docx
网络安全实验之《防火墙》实验报告
最新发布
7xun's space
04-17 9835
SNAT:开通内网机器的外网访问权限,是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机,MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE。解决方法:此时我的主机连接的是wifi,我把wifi关掉,然后主机连接手机的移动热点,再重启ubuntu,输入ifconfig,ens33处便能正常显示ip了。
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
Linuxiptables防火墙的设定
03-16
关于linux防火墙iptables的设置的文档,内容很详细,自己遇到的相关问题通过参考文档解决了,也希望能给大家带来帮助
论文研究-构建Linux环境下Iptables防火墙策略 .pdf
08-16
构建Linux环境下Iptables防火墙策略,赵富,,Linux操作系统的Iptables管理工具是一种基于包过滤型防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。本�
shell中的函数
nigar_的博客
02-12 7673
shell中的函数 文章目录shell中的函数1.shell函数格式2.函数的调用3.函数的参数 1.shell函数格式 shell函数的本质是一段可以重复使用的脚本代码,这段代码被提前编写好,放在指定位置,使用时直接调用即可。 shell中的函数和C++、JAVA、Python等其他编程语言中的函数类似,只是在语法中有所差别。 shell函数定义的语法格式: function name() { ...
iptables 防火墙管理
gredn的专栏
10-12 979
Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。 在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 要封停一个IP,使用下面这条命令: iptables -I INPUT -s ***.***.***
User space(用户空间)和 Kernel space(内核空间)
weixin_34315485的博客
02-06 1577
学习 Linux 时,经常可以看到两个词:User space(用户空间)和 Kernel space(内核空间)。 简单说,Kernel space 是 Linux 内核的运行空间,User space 是用户程序的运行空间。为了安全,它们是隔离的,即使用户的程序崩溃了,内核也不受影响。 Kernel space 可以执行任意命令,调用系统的一...
企业级监控系统zabbix---zabbix proxy分布式监控
nigar_的博客
03-19 370
企业级监控系统zabbix—zabbix-proxy分布式监控 文章目录企业级监控系统zabbix---zabbix-proxy分布式监控1.什么是zabbix-proxy?2.实验环境3.创建proxy4.配置数据库5.编辑proxy的zabbix-proxy的配置文件6.查看相应日志看是否接收正常7.在agent端重新指向ip到proxy8.在web ui界面添加proxy 1.什么是zabb...
网络安全实验7 防火墙 & Iptables应用
一半西瓜的博客
02-01 6599
赞赏码 & 联系方式 & 个人闲话 【实验名称】防火墙 & Iptables应用 【实验目的】 1.了解防火墙的含义与作用 2.学习防火墙的基本配置方法 3.理解iptables工作原理 4.熟练掌握iptables包过滤命令及规则 【实验原理】 一.防火墙 在古代,人们已经想到在寓所之间砌起一道砖墙,一旦火灾发生,它能够...
shell中if语句---test之字符串比较
nigar_的博客
02-12 1万+
shell中if语句—test之字符串比较 1.字符串比较 比较 说明 str1 = str2 检查str1是否和str2相同 str1 != str2 检查str1是否和str2不同 str1 < str2 检查str1是否比str2小 str1 > str2 检查str1是否比str2大 -n str1 检查str1的长度是否非0 -z str1...
Linux下的FTP安全优化
nigar_的博客
11-12 444
Linux下的FTP安全优化 1.ftp服务的部署 首先要配置好yum源,并安装ftp服务 yum install vsftpd.x86_64 lftp.x86_64 -y ##安装vsftpd和lftp systemctl start vsftpd ##启动ftp服务 systemctl enable vsftpd ##设置ftp服务开机启动 firewal...
Failed to start SYSV: MySQL database server..的解决方法
nigar_的博客
03-10 7265
Failed to start SYSV: MySQL database server…的解决方法 问题: 在虚拟机中安装MYSQL,重启虚拟机后MYSQL启动报错 错误信息如下: [root@server1 ~]# systemctl start mysqld Job for mysqld.service failed because the control process exited wit...
mysql练习
nigar_的博客
01-30 296
mysql练习 随机生成100个人名和对应的密码; 人名由三个汉字或者2个汉字组成, 姓 = [许, 张, 赵, 钱, 孙, 李, 朱, 杨] 名 = [彬, 群, 宁, 盼, 龙, 欢, 丹] 密码统一6位, 由字母和字符组成; 存储上述用户信息到数据库中,保存在数据库users中的userinfo表中; import random from random import choice as ...
使用ftp服务上传文件时553报错的解决(绝对有用)
热门推荐
nigar_的博客
11-13 2万+
使用ftp服务上传文件时553报错的解决 在使用ftp上传本地文件时,会遇到553的报错,以下是我总结的解决方法 1.使用本地用户登陆时 在使用本地用户登陆ftp服务上传文件时,如果遇到553的报错,一般来说可能有两种原因 原因1:本地文件系统权限问题 解决方法: chmod +w /home/student ##给对应的本地用户添加一个可写的权限 如果权限设置好后,还是不能上传,看看...
详解Linux iptables防火墙配置与规则管理
Linux系统中的iptables防火墙配置是一个关键的安全组件,它负责管理和控制网络数据包的进出,确保系统的安全性和网络通信的可控性。自2.4版内核起,netfilter取代了之前的ipfw和ipchains,成为Linux内核的包过滤机制...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值