iptable 基础

最新推荐文章于 2023-11-11 15:43:26 发布
最新推荐文章于 2023-11-11 15:43:26 发布
阅读量146 收藏
点赞数
分类专栏: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24230149/article/details/115522876
版权

文章目录

iptables

清理防火墙:

iptables -F
iptables -X
iptables -Z

iptables命令选项输入顺序:

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
表名包括:
raw:高级功能,如:网址过滤。
mangle:数据包修改(QOS),用于实现服务质量。
net:地址转换,用于网关路由器。
filter:包过滤,用于防火墙规则。

永久关闭iptables

chkconfig iptables off

删除规则

 -- 查找所有规则
iptables -L INPUT --line-numbers
-- 删除一条规则
iptables -D INPUT 11 (注意,这个11x是行号,是iptables -L INPUT --line-numbers 所打印出来的行号)

规则链名包括:

INPUT链:处理输入数据包。
OUTPUT链:处理输出数据包。
PORWARD链:处理转发数据包。
PREROUTING链:用于目标地址转换(DNAT),路由前。
POSTOUTING链:用于源地址转换(SNAT),路由后。

指令和相关配置文件

启动指令:service iptables start
重启指令:service iptables restart
关闭指令:service iptables stop
然后是相关配置:/etc/sysconfig/iptables
如何操作该配置呢?
vim /etc/sysconfig/iptables

指令用法

-A:指定链名
-p:指定协议类型
-d:指定目标地址
–dport:指定目标端口(destination port 目的端口)
–sport:指定源端口(source port 源端口)
-j:指定动作类型

全局DROP规则

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
这个步骤是把所有不符合自己配置的规则ACCEPT的连接全部DROP掉,执行完以后如果咱SSH还没掉,那么谢天谢地,安全了,重启下iptables后继续下面的配置!

可能有时候需要删除规则,使用指令完成的命令删除规则的方法

语法是: iptables -D chain rulenum [options]
其中: chain 是链的意思,就是INPUT FORWARD 之类的
rulenum 是规则的编号。从1 开始。可以使用 –line-numbers 列出规则的编号
所以,例如上面要删除一个INPUT链的规则的话可以这样:iptables -D INPUT 3
意思是删除第3条规则。

对某IP进行单独开放端口可以如下配置

如果我需要对内网某机器单独开放mysql端口,应该如下配置:
iptables -A INPUT -s 192.168.2.6 -p tcp -m tcp –dport 3306 -j ACCEPT
iptables -A OUTPUT -s 192.168.2.6 -p tcp -m tcp –sport 3306 -j ACCEPT

下面咱就不细说了,具体就是看自己服务器要开放哪些端口或者是要访问哪些端口来做具体的配置,下面是我自己的机器的配置:
/etc/sysconfig/iptables文件配置如下:
# Generated by iptables-save v1.4.7 on Fri Mar 2 19:59:43 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [8:496]
-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
#ping使用的端口
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
#允许服务器自己的SSH(对外部请求来说服务器是目标所以使用–dport)
-A INPUT -p tcp -m tcp –dport 22 -j ACCEPT
#80端口不用说了吧,服务器网站访问端口
-A INPUT -p tcp -m tcp –dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 3306 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 11211 -j ACCEPT
-A INPUT -p tcp -m tcp –dport 11212 -j ACCEPT
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
#53端口是DNS相关,TCP和UDP都要配置
-A INPUT -p tcp -m tcp –dport 53 -j ACCEPT
-A INPUT -p udp -m udp –dport 53 -j ACCEPT
#允许服务器SSH到其他机器(使用外部端口就使用–dport)
-A OUTPUT -p tcp -m tcp –dport 22 -j ACCEPT
#允许服务器自己的SSH(自已为源输出就使用–sport)
-A OUTPUT -p tcp -m tcp –sport 22 -j ACCEPT
#访问外部网站80端口(使用外部端口就使用–dport)
-A OUTPUT -p tcp -m tcp –dport 80 -j ACCEPT
#如果服务器需要访问外部网站,那么OUTPUT也需要配置53端口(使用外部端口就使用–dport)
-A OUTPUT -p tcp -m tcp –dport 53 -j ACCEPT
-A OUTPUT -p udp -m udp –dport 53 -j ACCEPT
#如果有访问外部邮箱,那么打开邮箱相关端口(使用外部端口就使用–dport)
-A OUTPUT -p tcp -m tcp –dport 465 -j ACCEPT
-A OUTPUT -p tcp -m tcp –dport 25 -j ACCEPT
-A OUTPUT -p tcp -m tcp –dport 110 -j ACCEPT
#服务器网站访问端口(自已为源输出就使用–sport)
-A OUTPUT -p tcp -m tcp –sport 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp –sport 3306 -j ACCEPT
-A OUTPUT -p tcp -m tcp –sport 11211 -j ACCEPT
-A OUTPUT -p tcp -m tcp –sport 11212 -j ACCEPT
COMMIT
# Completed on Fri Mar 2 19:59:43 2012
======================
说一下上面的 –line-numbers 选项,如下面的命令:
iptables -L INPUT –line-numbers 列出INPUT 链所有的规则
num target prot opt source destination
1 REJECT tcp — anywhere anywhere tcp dpt:microsoft-ds reject-with icmp-port-unreachable
2 REJECT tcp — anywhere anywhere tcp dpt:135 reject-with icmp-port-unreachable
3 REJECT tcp — anywhere anywhere tcp dpt:netbios-ssn reject-with icmp-port-unreachable
哎哟我是老孙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
超详细的iptables设置
04-28
目前所有的HOWTO都缺乏Linux 2.4.x 内核中的Iptables和Netfilter 函数的信息,于是作者试图回答一些问题,比如状态匹配。作者会用插图和例子 rc.firewall.txt 加以说明,此处的例子可以在你的/etc/rc.d/使用。最初这篇文章是以HOWTO文档的形式书写的,因为许多人只接受HOWTO文档。
Linux基础课件iptables安装与启动共12页.pd
11-19
Linux基础课件iptables安装与启动共12页.pdf.zip
Linux中iptables设置详解
zhaofuqiangmycomm的博客
02-10 997
无论如何,iptables是一个需要特别谨慎设置的东西,万一服务器不在你身边,很有可能导致无法SSH连接,这将是很认人头疼的事.以下内容是为了防止这种情况发生而写的,如果SSH端口是22(这里不建议用默认端口最好改掉SSH端口). iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT 注意要/etc/rc.d/init.d/iptables save,以下每一步都最好执行一遍此语.
菜鸟笔记--linux内核配置iptables
中华田园巨龙
08-05 3597
补充下之前排查docker安装时,iptables缺失的问题,下面介绍下iptables的内核配置 首先切换到内核源码目录,执行 make menuconfig 1、第一步,选中Networking support (按Y) 2、回车进入Networking support ,再进入Networking options 3、选中下面的选项(按Y) 4、按回车进入到core Netfilter configuration ,里面的所有选项全选(按Y) 5、进入到IP:Netfilter Config
Linux中阶—常用配置iptables(一)
亓荼的博客
04-17 2693
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制(来源于linux 内核)来管理
iptables的内核配置
阿Sir问道
05-26 2676
CONFIG_PACKET - 允许程序直接访问网络设备(译者注:最常用的就是网卡了),象tcpdump 和 snort就要使用这个功能。 严格地说,iptables并不需要CONFIG_PACKET,但是它有很多用处(译者注:其他程序需要),所以就选上了。当然,你不想要,不选就是了。(译者注:建议还是选的为好) CONFIG_NETFILTER - 允许计算机作为网关或防火墙。这个是必需的,因为整篇文章都要用到这个功能。我想你也需要这个,谁叫你学iptables呢:) 当然,你要给网络设备安装正确的
Linux基础课件iptables配置共21页.pdf.z
11-19
Linux基础课件iptables配置共21页.pdf.zip
iptable常用命令
08-03
下面的操作以 CentOS 为基础介绍,应该对不同的 Linux 发行版都差不多。在 CentOS 5.x 和 6.x 中,iptables 是默认安装的(如果没有安装,先安装 iptables 即可)。如果对 iptables 的工作流程不太了解,可以先读读...
iptable_完整版(含网络基础).zip
05-07
iptable_完整版(含网络基础).zip
Linux iptables:规则原理和基础
01-09
 iptables是Linux下功能强大的应用层防火墙工具,但了解其规则原理和基础后,配置起来也非常简单。  什么是Netfilter?  说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配置工具...
配置 Linux 内核,并利用 iptables 作端口映射
weixin_30533797的博客
07-02 183
作者:Hily 原始链接:http://hily.me/blog/2009/02/linux-kernel-iptables-port-mapping/版权声明:可以转载,转载时务必以超链接形式标明文章原始出处和作者信息及版权声明 主机 IP:192.168.1.100目标机 IP:192.168.2.101 要求将到主机 192.168.1.100:11101 的请求映射到内部网目标机的...
Linux(第二十七篇)iptables
Y_ht1209的博客
04-07 1569
Linux之iptables
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 8991
这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
iptables安装配置及使用方法
mjp18118881138
11-04 6371
文章目录一、iptables常见概念1、iptables概述2、iptables三张表介绍3、iptables五链4、表、链、规则处理的顺序二、iptables的安装和相关配置文件1、安装2、配置文件的位置3.启动服务,并设置开机自启动三、实战:iptables使用方法1、iptables命令的语法格式2、iptables命令使用方法3、匹配条件4、动作(处理方式)5、附加模块6、所有规则设定完后,默认是可以直接使用,但是不是永久使用,重启电脑后自动丢失 一、iptables常见概念 1、iptables概
干货!Linux 防火墙配置 ( iptables 和 firewalld )
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
04-14 829
????????关注后回复“进群”,拉你进程序员交流群????????来自:入门小站防火墙基本概念防火墙就是根据系统管理员设定的规则来控制数据包的进出,主要是保护内网的安全,目前 Linux 系统的防火墙类型主要有两种:分别是 [iptables] 和 firewalldIptables-静态防火墙早期的 Linux 系统中默认使用的是 iptables 防火墙,配置文件在 / etc/sysconfig/iptab...
Linux下iptables防火墙配置
asdfg___xiaobai的博客
11-02 6392
1. NEW:主机连接目标主机,在目标主机上看到的第一个想要连接的包 2. ESTABLISHED:主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进 入该状态
Linux 防火墙配置(iptables和firewalld)
热门推荐
m0_49864110的博客
02-21 1万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙的配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
iptables设置不限制yum
weixin_34387284的博客
03-31 235
iptables做了下安全设置,先做INPUT和OUTPUT方向的全部丢弃,然后在逐个开启要用的端口,发现无法使用yum安装软件,最后查询得知需要在/etc/sysconfig/iptables里确保有如下规则 # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # iptables -A ...
Linux安全防火墙(iptables)配置策略
最新发布
qq_51545656的博客
11-11 5566
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptable 全通
07-28
根据引用\[1\]中的内容,如果想要iptables全通,可以使用以下命令来放行所有流量: iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT 这样设置后,iptables将不再对任何流量进行过滤,允许所有的进出流量通过。请注意,这样的设置可能会降低系统的安全性,因为所有的流量都将被允许通过。 #### 引用[.reference_title] - *1* *2* [iptable详解](https://blog.csdn.net/qq_21816375/article/details/78210989)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [iptable防火墙命令个人整理](https://blog.csdn.net/lhs4672/article/details/68945630)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值