iptables防火墙

最新推荐文章于 2020-02-05 14:08:29 发布
最新推荐文章于 2020-02-05 14:08:29 发布
阅读量273 收藏 1
点赞数
分类专栏: IPtables 文章标签: 防火墙 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36357820/article/details/76522159
版权

LOG 记录日志
MARK 标记 –set mark 值
REJECT 拒绝
SNAT 修改源IP地址
DNAT 修改目标IP地址
MASQUERADE 地址伪装

管理选项:
编辑规则:
-A:在指定链末尾添加新规则
-I: 在指定链首部或指定位置插入规则
-R: 修改、替换指定链中的某一条规则,按规则的序号或内容确定
-P:设置指定链的默认规则
-N:新建一条用户自定义的规则链
清除规则:
-D:删除指定链中的某一条规则,按规则的序号或内容确定
-F:清空指定链中的所有规则
-X:删除指定表中用户自定义的规则链(链中不允许有规则)
查看规则:
-L:列出指定中所有的规则进行查看,若未指定链名,则列出表中所有链的内容
-n:使用数字形式显示输出结果
-v:插卡规则列表时显示详细信息
–line-numbers:查看规则列表时,同时显示规则在链中的序号
-h:查看命令的帮助信息
-V:查看iptables命令工具的版本信息

条件匹配:
通用条件匹配:
-p 协议名称: 常用的有ip、tcp、udp、icmp等 !取反 如:-p !icmp(除了icmp协议)
-s 源IP地址或-s 源网络/子网掩码
-d 目标IP地址或-d 目标网络/子网掩码
-i 接口名称: 如 -i eth0(数据从网卡eth0进入)
-o 接口名称: 如 -o eth2(数据从网卡eth2出去)

隐含条件匹配:
–sport:源端口号 端口号1:端口号2(表示连续的端口)
–dport:目标端口号
–tcp-flags:
格式:–tcp-flags 检查的标志位范围 设置的标志位
说明:
标志位的范围:SYN,RST,ACK,FIN
设置的标志位:该标志位为1,则匹配规则
例如:iptables -A INPUT -s 192.168.100.20 -p tcp –tcp-flags SYN,ACK,RST,FIN SYN -j ACCEPT

iptables -A INPUT -s 192.168.100.20 -p tcp –syn -j ACCEPT
! –syn:
–icmp-type: icmp消息的类型
echo-request/8: 请求
echo-reply/0: 回应

显示条件匹配:
-m limit:
–limit 速度:n/s:每秒n个数据包 n/m:每分钟n个数据包 n/h:每小时n个数据包
–limit-burst 峰值: 默认是5
-m connlimit:
–connlimit-above n: 运行建立n个以上的连接
!–connlimit-above n: 只允许连接小于等于n个连接
-m state:
–state:
new(发起连接请求)、established(连接建立成功)、related(连接相关联)、invalid(无效)、none(无)
-m iprange:
–src-range IP地址范围:
–dst-range IP地址范围:使用“-”表示连续
-m mulitport:
–sports 源端口范围:
–dports 目标端口范围:使用“:”表示连续;多个不连续的端口使用“,”分割
-m mac:
–source-mac 源MAC:

规则的保存:
service iptables save:将编辑的好的规则保存至/etc/sysconfig/iptables中,iptables服务重启时会自动应用保存在该文件中的规则
iptables-save:将编辑好的规则导出至指定位置 例如:iptables-save > /tmp/defaultrule
iptables-restore:导入编辑好的规则 如:iptables-restore < /tmp/defaultrule

SNAT:
典型应用:局域网内的主机共享单个公网IP地址访问Internet
实现的原理:
修改源IP地址

实验环境:
局域网(winXP) 网关防火墙(RHEL6.5) Internet web服务器(RHEL5.5)
IP:192.168.200.10 eth1:192.168.200.254 eth0:202.99.192.66
网关:192.168.200.254 eth2:202.99.192.67 gw:202.99.192.67

实现步骤:
1、配置IP地址及网关
2、在网关防火墙上开启路由转发功能
3、在NAT表的POSTROUTING链上实现SNAT转换(网关防火墙上配置)
4、测试

DNAT:
典型应用:发布内网服务器
原理:
修改数据包中的目标IP地址

实验环境:
局域网(RHEL6.5) 网关防火墙(RHEL6.5) Internet client(RHEL5.5)
IP:192.168.200.10 eth1:192.168.200.254 eth0:202.99.192.66
网关:192.168.200.254 eth2:202.99.192.67 gw:202.99.192.67

实现步骤:
1、配置IP地址及网关
2、在网关防火墙上开启路由转发功能
3、在NAT表的PREROUTING链上实现DNAT转换(网关防火墙上配置)
4、测试

三支烟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 防火墙设计与实现
05-02
在Linux下 用java语言 开发的防火墙
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
防火墙iptables
WEI的博客
02-05 158
1.临时关闭防火墙: 命令:/etc/init.d/iptables stop 出现三个OK,关闭成功,此时防火墙已经关闭,不许重启已经生效。 2.关闭后查看状态,命令: /etc/init.d/iptables status应该显示 firewall is not running 3.永久性关闭防火墙: 命令:#chkconfig --level 2345 iptables off 或者 #ch...
iptables实现网络防火墙
aryoyo的博客
12-30 654
测试环境,建立3个虚拟机器: A机器使用bridged模式:hostname是demo,ip地址是 192.168.0.106 B机器2个网卡:hostname是rhel64-64bit,bridged的网卡地址:192.168.0.101                                                                   host-only的网卡地...
iptables防火墙操作
LLH
10-24 268
CentOS 默认的防火墙不是iptables,而是firewalle.# 先检查是否安装了iptables service iptables status # 安装iptables yum install -y iptables # 升级iptables yum update iptables # 安装iptables-services yum install i
linux 防火墙 iptables
weixin_34194087的博客
01-23 71
2019独角兽企业重金招聘Python工程师标准>>> ...
Kylin-Iptables防火墙配置方法
最新发布
11-09
Kylin_Iptables防火墙配置方法
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
Linux Ubuntu系统iptables防火墙配置
11-11
配置iptables防火墙的主要目的是保护服务器安全,防止未经授权的访问和恶意攻击,以及避免不必要的服务暴露,提高系统的稳定性和安全性。通过制定精确的规则,可以阻止非法探测,确保只有指定的主机能够访问特定的...
iptables防火墙应用指南
05-31
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
iptables防火墙规则练习
weixin_34248118的博客
05-23 183
一、iptables的filter表之网络防火墙规则练习: 1.给一台Linux安装三块网卡,提供三个网络接口; 2.内网中用户主机所在的网段为172.16.0/16,所有服务器所在的网段为172.18.0.0/16,外部网络为192.168.4.0/24网段;服务器所在网络中,可以使用一台服务器实现多个服务,也可以使用多台...
教你十分钟写一个软件防火墙
n5xxxx__zy的博客
05-30 5553
首先在记事本中写入想禁止的清单 注:只输入程序名,不输入文件后缀 ,一个程序一行 这里以火狐为例 代码如下: $process_name = type "black.txt" #需要关闭的进程 while ($true) { #死循环 $processes = Get-process ...
linux防火墙iptables常用命令与基础知识
热门推荐
pingweicheng的博客
05-28 3万+
1.iptables常用命令1.1查看是否已经安装了iptables以及iptables版本号iptables -V (注意:V是大写字母V)1.2 关闭iptablesservice iptables stop1.3 启动iptablesservice iptables start1.4重启iptablesservice iptables restart1.5保存命令行中设置的ipt...
iptables的tcp扩展模块,multiport扩展模块
ystyaoshengting的专栏
11-11 6539
注意,与之前的选项不同,--dport前有两条"横杠",而且,使用--dport选项时,必须事先指定了使用哪种协议,即必须先使用-p选项,示例如下 上图中,我们就使用了扩展匹配条件--dport,指定了匹配报文的目标端口,如果外来报文的目标端口为本机的22号端口(ssh默认端口),则拒绝之。 而在使用--dport之前,我们使用-m选项,指定了对应的扩展模块为tcp,也就是说,如果想要使用...
iptables防火墙原理详解
weixin_34226706的博客
02-06 577
1. netfilter与iptables Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控...
iptables防火墙规则的添加、删除、修改、保存
smh821025的专栏
02-26 1929
摘要 本文介绍iptables这个Linux下最强大的防火墙工具,包括配置iptables三个链条的默认规则、添加iptables规则、修改规则、删除规则等。 一、查看规则集     iptables --list -n // 加一个-n以数字形式显示IP和端口,看起来更舒服 二、配置默认规则     iptables -P INPUT DROP  /
用一台linux主机做iptables防火墙
weixin_33923148的博客
08-25 181
一台linux主机干这么多活:iptables+DHCP+squid+samba 最近公司扩建了一个新的办公区,规模也就100人左右。 领导有几个要求: 1:不允许坐席上网,但是允许坐席上几个固定的网站(比如行政区划网)。 2:允许办公室的后勤人员上网。 3:允许坐席拨×××连接总部腾讯通。 公司拉的10M光纤,从光电设备出...
Linux在iptables教程基本应用防火墙
weixin_34351321的博客
09-19 97
iptables它是Linux防火墙软件经常使用,下面说一下iptables设备、删除iptables规则、iptables只要打开指定的port、iptables屏蔽指定ip、ip科和解锁、删除添加iptables规则iptables基本的应用程序。 1、安装iptables防火墙 假设没有安装iptables须要先安装。CentOS运行: yum install iptabl...
Iptables防火墙简述(一)
a501868354的博客
03-28 204
策略与规则链 防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置拒绝规...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值