关于Linux下的iptables

最新推荐文章于 2023-03-08 14:43:57 发布
最新推荐文章于 2023-03-08 14:43:57 发布
阅读量685 收藏
点赞数
分类专栏: liunx liunx防火墙 iptables 文章标签: iptables linux防火墙

(1)查看本机关于iptables的设置情况

    iptables -L -n

    启动防火墙,并且开放了22,80,25端口是这样的

     Chain INPUT (policy ACCEPT)

     target       prot opt source                 destination         

     Chain FORWARD (policy ACCEPT)
     target       prot opt source                 destination         
     Chain OUTPUT (policy ACCEPT)
     target       prot opt source                 destination         
     Chain RH-Firewall-1-INPUT (0 references)
     target       prot opt source                 destination         
     ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0           
     ACCEPT       icmp --    0.0.0.0/0              0.0.0.0/0             icmp type 255 
     ACCEPT       esp    --    0.0.0.0/0              0.0.0.0/0           
     ACCEPT       ah     --    0.0.0.0/0              0.0.0.0/0           
     ACCEPT       udp    --    0.0.0.0/0              224.0.0.251           udp dpt:5353 
     ACCEPT       udp    --    0.0.0.0/0              0.0.0.0/0             udp dpt:631 
     ACCEPT       all    --    0.0.0.0/0              0.0.0.0/0             state RELATED,ESTABLISHED 
     ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:22 
     ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:80 
     ACCEPT       tcp    --    0.0.0.0/0              0.0.0.0/0             state NEW tcp dpt:25 
     REJECT       all    --    0.0.0.0/0              0.0.0.0/0             reject-with icmp-host-prohibited 
     没有启动防火墙,是这样的
     Chain INPUT (policy ACCEPT)
     target       prot opt source                 destination         
     Chain FORWARD (policy ACCEPT)
     target       prot opt source                 destination         
     Chain OUTPUT (policy ACCEPT)
     target       prot opt source                 destination
(2)清除原有规则
     如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
     iptables -F        清除预设表filter中的所有规则链的规则
     iptables -X        清除预设表filter中使用者自定链中的规则
     这样还不行如果机器重启了又会恢复到以前的状态,这个时候就要进行保存操作。
     /etc/rc.d/init.d/iptables save 这样就可以写到/etc/sysconfig/iptables文件里了。写入后使用命令service iptables restart把防火墙重起。
(3)设定预设规则
      iptables -p INPUT DROP
     iptables -p OUTPUT ACCEPT
     iptables -p FORWARD DROP
     上面的意思是,不在两个链规则(INPUT,FORWARD)里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包。
     对于OUTPUT链,也就是流出的包我们不做太多限制,而是采取ACCEPT,也就是说,不在这个规则里的包怎么办呢,那就是通过。
     可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过。
     也可以三个链都DROP,但是要写的规则就会增加,如只做WEB服务器.还是推荐三个链都是DROP.
(4)添加规则
     首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
     为了能采用远程SSH登陆,我们要开启22端口.
     iptables -A INPUT -p tcp --dport 22 -j ACCEPT
     iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 果你把OUTPUT 设置成DROP的就要写上这一句)

     如果做了WEB服务器,开启80端口.
      iptables -A INPUT -p tcp --dport 80 -j ACCEPT

     如果做了邮件服务器,开启25,110端口.
     iptables -A INPUT -p tcp --dport 110 -j ACCEPT
     iptables -A INPUT -p tcp --dport 25 -j ACCEPT

     如果做了FTP服务器,开启21端口
     iptables -A INPUT -p tcp --dport 21 -j ACCEPT

     如果做了DNS服务器,开启53端口
     iptables -A INPUT -p tcp --dport 53 -j ACCEPT

     需要开启哪个端口,照写就行了,上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
     允许icmp包通过,也就是允许ping。
     iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
     iptables -A INPUT -p icmp -j ACCEPT    (INPUT设置成DROP的话)

    允许loopback!(不然会导致DNS无法正常关闭等问题)
     iptables -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
     iptables -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)

     下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.
     减少不安全的端口连接
      iptables -A OUTPUT -p tcp --sport 31337 -j DROP
      iptables -A OUTPUT -p tcp --dport 31337 -j DROP

     有些木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。合法服务都不使用这些非标准端口来通信.
     下面写一下更加细致的规则,就是限制到某台机器
     如:我们只允许192.168.0.3的机器进行SSH连接
     iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT

     如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP,24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这      一行删了. -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.或采用命令方式:
        iptables -D INPUT -p tcp --dport 22 -j ACCEPT
      /etc/rc.d/init.d/iptables save 写入到/etc/sysconfig/iptables文件
   
     在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
    开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
    iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
   
   丢弃坏的TCP包
   iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

   处理IP碎片数量,防止攻击,允许每秒100个
   iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

  设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
  iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

 二、配置一个NAT表放火墙
         1、查看本机关于NAT的设置情况
               iptables -t nat -L

          2、清除命令
                iptables -F -t nat
        iptables -X -t nat
        iptables -Z -t nat

     3、添加规则(防止外网用内网IP欺骗
                
        iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
                iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
                iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP

           3、禁止与IP的所有连接
                 iptables -t nat -A PREROUTING    -d ip -j DROP

           4、禁用FTP(21)端口
                iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP
                禁止某ip与21端口的连接:iptables -t nat -A PREROUTING    -p tcp --dport 21 -d ip -j DROP

          5、 drop非法连接
                 iptables -A INPUT     -m state --state INVALID -j DROP
                 iptables -A OUTPUT    -m state --state INVALID -j DROP
                  iptables-A FORWARD -m state --state INVALID -j DROP

           6、允许所有已经建立的和相关的连接
                    iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
                    iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
                    /etc/rc.d/init.d/iptables save

           7、 防火墙重起
                   service iptables restart
                
            

           
   

niu_hao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxiptables手册
01-18
iptables手册
linuxiptables的用法,LinuxIPtables命令的使用方法
weixin_27875131的博客
05-14 1549
LinuxIPtables命令的使用方法发布时间:2020-05-26 14:16:15来源:亿速云阅读:208作者:鸽子LinuxIPtables命令图解LinuxIPtables命令剖析1.命令:-A 顺序添加,添加一条新规则-I 插入,插入一条新规则 -I 后面加一数字表示插入到哪行-R 修改, 删除一条新规则 -D 后面加一数字表示删除哪行-D 删除,删除一条新规则 -D 后面加一数...
Linux安装iptables防火墙
superSubfn
04-13 3318
1. 查询是否有安装 打开/etc/sysconfig/目录,查看是否有 iptables文档 2. 安装iptablesiptables-service service iptables status // 检查是否安装了iptables yum install -y iptables // 安装iptables yum update iptables // 升级iptables yum install iptables-services // 安装ipt
Linux安装Iptables
Peter_paker的博客
07-19 3006
Iptables的安装方法
linux iptables禁止端口,Linuxiptables 禁止端口和开放端口示例
weixin_29284657的博客
05-14 5320
1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。下面是命令实现:iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP再用命令iptables -L -n查看 是否设置好, 好看到全部 DROP 了这样的设置好了,我们只是临时的, 重启服务器还是会恢复原来没有设置的状态还要使用 ...
linuxiptables的使用
D_R_L_T的博客
06-19 7173
1、iptables -L查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。说明:-L是--list的简写,作用是列出规则。2、iptables -L [-t 表名]只查看某个表的中的规则。说明:表名一共有三个:filter,nat,mangle,如果没有指定表名,则默认查看filter表的规则列表(就相当于第一条命令)。...
linux 防火墙 iptables 命令详解
探索者的博客
03-08 4924
上述的iptables命令示例可以帮助管理员学习如何使用iptables命令来保护不同服务。是Linux操作系统上的一个防火墙工具,它可以控制进入、离开、转发的数据流,是Linux服务器安全性的重要保障。这个命令将iptables规则保存到文件中,以后可以通过cat命令查看或加载这些规则。这两条命令将允许SSH流量的进入,但拒绝来自特定IP地址的连接。这条命令将允许一个特定的IP地址来访问服务器的端口。这个命令会清空之前iptables定义的所有规则。这条命令将删除之前添加的规则。
Linuxiptables详解
wangjie72270的博客
01-09 4872
iptables详解
LinuxIptables 详解与实战案例
康师傅没有眼泪
07-03 3257
​ netfilter/iptables(简称为iptables)组成 Linux 平台下的网络数据包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。...
linuxiptables端口转发设置
程序员的一天
09-04 1249
linux下利用iptables规则配置端口转发 1、需求 将所有80端口的访问流量转发到本机8080端口。 2、iptables规则 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 参数解释: -t:指定规则表,端口转发需要在nat表中匹配。 -A:在规则链尾部添加规则。端口重定向需要在PREROUTING链添加。 -p:指定匹配协议。 --dport:匹配目标端口。 -j:指定动作,REDI.
linux下用iptables关闭端口,通过Linux系统下iptables防火墙开启/关闭指定端口方法
weixin_42356659的博客
04-30 2640
一般情况下iptables已经包含在Linux发行版中.运行iptables --version来查看系统是否安装iptables启动iptables:service iptables start查看iptables规则集:iptables --list下面是没有定义规划时iptables的样子:Chain INPUT (policy ACCEPT)target prot opt sour...
LinuxIPTABLES配置详解
01-30
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定...
Linuxiptables配置申明.doc
11-30
Linuxiptables配置申明.doc
LinuxIPtables的配置全攻略
07-23
教程名称:LinuxIPtables的配置全攻略课程目录:【】Iptables学习笔记【】Iptables服务全攻略之实战配置【】Iptables配置指南【】iptables配置案例【】Linux Iptables配置文件【】LINUXIPtables的详细配置【】...
linuxIPTABLES配置详解
04-21
iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar
05-09
基于SSM+JSP的企业人事管理信息系统毕业设计(源码+录像+说明).rar 【项目技术】 开发语言:Java 框架:ssm+jsp 架构:B/S 数据库:mysql 【演示视频-编号:420】 https://pan.quark.cn/s/b3a97032fae7 【实现功能】 实现了员工基础数据的管理,考勤管理,福利管理,薪资管理,奖惩管理,考核管理,培训管理,招聘管理,公告管理,基础数据管理等功能。
node-v6.12.0-linux-ppc64le.tar.xz
最新发布
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v6.8.0-linux-ppc64le.tar.xz
05-09
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明(高分).zip
05-09
基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源主要针对计算机相关专业的学生或从业者下载使用,也可作为期末课程设计、课程大作业、毕业设计等。 基于PaddleFL框架的联邦学习医疗影像识别系统源码+GUI界面+说明.zip该项目是个人毕设项目源码,评审分达到97分,都经过严格调试,确保可以运行!放心下载使用。该项目资源
Linux防火墙iptables
09-14
1. 首先,如果你使用的是CentOS 7操作系统,默认情况下使用的是firewalld防火墙而不是iptables。如果你希望使用iptables防火墙,你需要先关闭firewalld防火墙并安装iptables。以下是一些命令示例: ``` # 关闭...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值