IT安全以及iptables

最新推荐文章于 2024-05-04 17:36:57 发布
最新推荐文章于 2024-05-04 17:36:57 发布
阅读量132 收藏
点赞数 1
分类专栏: centos 文章标签: it安全 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36327717/article/details/102920228
版权

目录:

  1. IT运维安全
  2. iptables概念及应用
  3. iptable NAT转发
IT运维安全

为了保障企业IT设备、门户网站、业务系统、应用软件&程序高效稳定的运行,需要通过一下一些方面来强化安全

安全从点滴做起

  • 硬件层面
    IDC机房门禁、设备静电、灭火器、管理人员权限、摄像头监控、操作权限、供电系统、空调、大风扇、服务器硬件等
  • 软件层面
    应用程序可读、可写、执行、控制访问权限、软件自身BUG、软件代码、网站程序代码、软件数据涉密、软件备份
  • 系统层面
    系统稳定性、系统补丁、系统用户、用户密码登录、密码复杂度、目录文件授权管理、开放端口、系统启动进程等
  • 网络层面
    网络流量、网络的连通性、网线、广域网链路、网络设备高可用、互备机制等


iptables概念及应用
  • Iptables是Linux内核级别软件级防火墙,区别于硬件设备的防火墙,IPtables是开源的、免费的。
  • Netfilter/iptables看成是统一基于Linux级别防火墙,其实基于IP数据包做过滤的,有两个组成部分:Netfilter和IPtables,其中Netfilter主要是集成在Linux内核中模块,而iptables是用于管理Netfilter模块的;(类似IP_VS和ipvsadm关系)
  • Iptables防火墙由表和链构成的,其中表是存储在Linux内核中(Netfilter模块),链是存在表中的,链中由单个规则或者多个规则组成的,规则是什么呢?规则(约定)允许访问、不允许访问等
  • Netfilter主要是作用于内核空间,属于Linux内核中一个数据包过滤模块,而Iptables是用于管理Netfilter模块的(管理Netfilter中的表和链(规则)),通常称防火墙不是Netfilter/Iptables,而是直接称为Iptables(统称)

如图所示,表示IPtables防火墙关于用户数据包的请求和流向结构图:
在这里插入图片描述
通常修改filter表
在这里插入图片描述

简单使用yum安装iptables

yum install iptables iptables-devel iptables-utils iptables-services -y

iptables 默认规则存放在/etc/sysconfig/iptables

文件内容如下:

# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter  # 使用filter表
:INPUT ACCEPT [0:0]  # 表示input链默认为接受数据包
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  # -m 表示模块
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

查看规则

[root@avazu ~]# iptables -L -n

保存规则

[root@avazu ~]# iptables-save >> /etc/sysconfig/iptables
# 或者使用
[root@avazu ~]# service iptables save

线上防火墙配置示例

# Generated by iptables-save v1.4.7 on Wed Dec 14 21:05:31 2016
*filter
:INPUT DROP [0:0]  # 默认丢弃
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [602:39593]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#########################
-A INPUT -i lo -j ACCEPT
##########################
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 8801 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10051 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
####
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

将错误密码,且访问次数大于2的ip进行封禁

for i in $(grep "Failed password" /var/log/secure|awk '{print $(NF-3)}'|sort|uniq -c|sort -nr|awk '{if($1>=2) print $2}');do sed -i "/lo/a -A INPUT -s $i -j DROP" /etc/sysconfig/iptables;done && service iptables save ; service iptables restart

回到目录



iptable NAT转发

基于NAT表实现IP地址转发或者转化,操作案例如下:

将192.168.1.126(本机)的8080端口转发至其他目标主机,主机IP:192.168.1.126,目标主机IP和端口:192.168.1.125:80,规则如下:

  1. 在nat表上添加规则,并保存
iptables -t nat -A PREROUTING -p tcp -m tcp -d 192.168.1.126 --dport 8080 -j DNAT --to-destination 192.168.1.125:80
iptables -t nat -A POSTROUTING -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.126:8080
  1. 打开内核路由转发,如果要自动打开,需要 添加到rc.local
echo 1 > /proc/sys/net/ipv4/ip_forward

回到目录

番茄炒蛋君
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
centos防火墙(放行端口,封锁端口,放行ip,封锁ip)脚本编写
weixin_45697361的博客
10-25 787
**vim aa.sh** **#!/bin/bash echo "1)放行端口 2)封锁端口 3)放行ip 4)封锁ip" AWK(){ while true do read -ep "是否继续输入(y/n)|(Y/N)?:" yn if [ $yn == n ]||[ $yn == N ];then exit elif [ $yn ==...
linux 自启动iptable_保存iptable规则并开机自动加载
weixin_31089065的博客
12-24 4535
iptables-save利用iptables-save命令可以将iptable规则保存到一个持久化存储的目录中,不同的系统保存的目录也有所不同(IPv4):Debian/Ubuntu:iptables-save> /etc/iptables/rules.v4RHEL/CentOS:iptables-save> /etc/sysconfig/iptables保存之后,可以通过i...
Linux之firewalld和ittables的基本命令
weixin_41927237的博客
06-14 493
Firewalld 概述 动态防火墙后台程序 firewalld 提供了一个动态管理的防火墙, 用以支持网络 “ zones” , 以分配对一个网络及其相关链接和界面一定程度的信任。它具备对 IPv4 和 IPv6 防火墙设置的支持。它支持以太网桥,并有分离运行时间和永久性配置选择。它还具备一个通向服务或者应用程序以直接增加防火墙规则的接口。 系统提供了图像化的配置工具 firewa...
iptables详解
waghaiping的博客
06-19 5725
第四周作业 1,什么是FQDN,老李要访问微信,简述一下DNS解析过程。
iptables详解(图文)
热门推荐
Linux的成长历程
11-13 6万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
网络安全最新iptables深度总结--基础篇_iptables input output forward(1)
最新发布
2401_84297899的博客
05-04 573
看看iptables来自于那个包。
Linux笔记-iptables规则原理和组成
IT1995的博客
03-24 542
Netfilter Netfilter:是Linux操作系统内核层内部的一个数据包处理模块。 Hook point:数据包在Netfilter中的挂载点(PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING)。 用通俗的话解释下:数据包通过网卡,走到操作系统内核后,就会进入Netfilter中这5个挂载点。 可以在这5个挂载点进行Hook,修改数据包。 Netfilter与iptables iptables规则组成 组成部分:四张表 + 五条链
iptables详解及docker的iptables规则
五侠的博客
10-31 2万+
iptables详解及docker的iptables规则iptables处理流程iptables命令ipset的使用ftp服务规则SNAT与DNATfirewall-cmd命令docker的iptables规则docker网络类型数据包处理流程 iptables 处理流程 iptables命令 ipset的使用 ftp服务规则 SNAT与DNAT firewall-cmd命令 docker的iptables规则 docker网络类型 数据包处理流程 ...
架构-防火墙iptables
Struggle_Hard_Z的博客
12-25 1842
架构图详解 架构: 把一个整体(完成人类生存的所有工作)切分成不同的部分(分工),由不同角色来完成这些分工,并通过建立不同部分相互沟通的机制,使得这些部分能够有机的结合为一个整体,并完成这个整体所需要的所有活动,这就是架构 1.用户需求 用户带着域名提交访问请求 2.DNS 通过DNS解析域名找到该域名对应IP返回 3.防火墙(iptables) 也叫:包过滤防火墙 iptables内置4个表,即filter表、nat表、mangle表和raw表 每个表都会有相应的链 filter表
台湾IT的巨作: linux iptables/netfilter的介绍 part12
09-12
台湾IT的巨作: linux iptables/netfilter的介绍 Linux网络安全技术与实现 第二版 linux iptables/netfilter/Qos/Policy route/proxy ARP/bridge/IPsec/L2TP的详细介绍 难得的linux IP相关的详细介绍 详细的目录...
服务器安全运维1
08-08
监控SSH登录、iptables状态和进程,以及网站日志,异常情况应触发告警。运维人员应实时接收告警信息,以便快速响应。 6. **外部监控**:利用第三方服务从外部监控业务运行状态,确保服务可用性。 7. **故障预防**...
台湾IT的巨作: linux iptables/netfilter的介绍 part1
09-12
台湾IT的巨作: linux iptables/netfilter的介绍 Linux网络安全技术与实现 第二版 linux iptables/netfilter/Qos/Policy route/proxy ARP/bridge/IPsec/L2TP的详细介绍 难得的linux IP相关的详细介绍
dot-iptables
05-10
在网络安全领域,iptables作为Linux内核中的包过滤系统,是管理和控制网络流量的重要工具。然而,随着规则的增多,iptable配置文件变得越来越复杂,理解和调试变得困难。这就引出了我们的主角——"dot-iptables",一...
Linux 服务器安全技巧
09-15
在IT领域,尤其是服务器管理中,确保Linux服务器的安全至关重要。Linux服务器作为企业数据和应用程序的基石,必须采取一系列措施来防范潜在的威胁和攻击。以下是一些有助于提升服务器安全性的实用技巧: 1. **更改...
500G硬盘分区标准
番茄炒蛋君的博客
07-29 3726
Linux操作系统安装硬盘分区,500G硬盘分区的规范(不采用LVM): /boot分区 300MB 称为启动分区,主要用于Linux系统启动时加载该分区的Linux内核文件、镜像文件,此分区大小不会增加、是固定的; Swap分区 512MB 虚拟内存分区,交换分区,当物理内存不足,应用程序会使用swap分区,会导致应用程序不稳定,读写性能一般,从硬盘中划出来,比内存读写低,一般该分...
制作CentOS7启动盘(U盘)
番茄炒蛋君的博客
07-17 1362
步骤: 下载epel源 安装ntfs-3g包 使用dd命令将镜像刻录到U盘中 下载epel源 备份(当有别的epel源)# CentOS7 环境执行如下命令,使用阿里epel mv /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backup mv /etc/yum.repos.d/epel-testing.repo /etc/...
Linux基础命令(1-15)
番茄炒蛋君的博客
08-11 1074
目录: mkdir创建目录 cd切换路径 ls查看目录或文件信息 pwd列出当前目录 touch创建空白文件,或更新文件时间戳 cat查看文件 vi简单的编辑文件命令 vim复杂的文件编辑器 echo打印或编辑文件内容 ...
Linux Mysql服务启动故障排除
番茄炒蛋君的博客
10-24 571
排查过程 在启动mysql服务中,遇如下报错: Job for mariadb.service failed because the control process exited with error code. See “systemctl status mariadb.service” and “journalctl -xe” for details. 在测试环境、生产环境,应用软件、...
2小时掌握iptables企业版实战指南
iptables是Linux系统中的一个强大的网络安全工具,主要用于防火墙规则的设置,它基于内核的netfilter模块。在2.4.x和2.6.x内核中,iptables通过netfilter框架实现对数据包的处理,包括PREROUTING、ROUTE、FORWARD、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值