Linux - iptables

最新推荐文章于 2022-07-21 19:23:37 发布
最新推荐文章于 2022-07-21 19:23:37 发布
阅读量194 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37168026/article/details/77407964
版权

什么是iptables

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。

iptables 有三张表(filter nat表 mangle 表) 和五条链(INPUT 链 、OUTPUT 链、PORWARD 链、PREROUTING链、POSTROUTING链)

一 安装并启动iptable 服务

yum install iptables
然后关闭防火墙 ,打开iptables

查看iptables列表


iptables -F                          刷掉filter表中的测量,当没有用-t指定表名称时默认为filter

service iptables save         保存当前策略



filter表丢弃所有,



设置之后我们可以发现其他的主机无法与本机连接

filtre 表设置通过所有的连接


我们再次尝试从其他的主机连接 可以连通


设置允许lo


允许访问22端口


允许访问80端口



iptable -D INPUT 1    删除INPUT链中的第一条策略



删除允许接入80端口的策略

iptables -D INPUT  -p tcp --dport 80  -j REJECT



修改第一条策略

iptables -R INPUT 1 -s 172.25.254.228-p tcp --dport 80 -j ACCEPT



.iptables -N TEST     增加链TEST



改变链的名称


iptables -X 链名   删除链


数据包状态策略

iptables -A INPUT -m state --state RELATED,ESTABLISHED  -j ACCEPT                  #允许RELATED,ESTABLISHED状态通过

iptables -A INPUT -i lo -m state --state NEW -j ACCEPT                             #允许lo 回环接口状态为NEW 的通过

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT                 #允许访问端口22状态为NEW通过

iptables -A INPUT -j REJECT                                                        #拒绝所有的数据来源

vsftp 在iptables 开启下的设置

ftp 在使用的时候会产生随机大于1024的端口这样就会导致新产生的端口无法通过防火墙

我们可以将端口固定

vim /etc/vsftpd/vsftpd.conf


systemctl restart vsftpd

添加iptables允许通过6700端口策略


关闭selinux

setenforce 0

然后在另外一台主机上尝试可以登陆ftp



iptables 的伪装


iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.128      #源地址转换

iptables -t nat -A PREROUTING  -i eth1 -j DNAT --to-dest 172.25.0.128                 #目的地址转换

首先我们将客户机的ip 设置为 172.25.16.216  真机的ip为172.25.254.16 

服务端的ip设置为 172.25.254.116 和 172.25.16.116 的双网卡

然后在服务端设置伪装



数据进入时的伪装

设置将从服务端eth1进去的数据伪装成源数据为172.25.254.116

先清空策略

添加策略


然后用客户机ping 172.25.254.16 发现可以ping 通

数据回来时的伪装

设置将从服务端eth0回来的数据伪装成源数据为172.25.16.216







山登绝顶谁为峰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux - iptables 防火墙
qq_57093716的博客
02-02 2709
iptables 四表 五链 一些命令操作
Linux-iptables(filter表)详解
qq_62311779的博客
06-12 4570
目录一、iptables简介 :(1)基本认识:(2) 四表五链: 1、“四表”是指 iptables 的功能 2、“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。每个规则表中包含 多个数据链,防火墙规则需要写入到这些具体的数据链中。 3、 iptables的结构: 4、图解:​二、安装iptables服务: 三、路由转发配置: 四、filte表: ——查看 filter 的详细规则—— INPUT 入站链(找我的:—— FORWAR
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5245
本文介绍Linuxiptables命令的用法。
Linux-iptables命令
小工匠
10-10 1万+
概述 Linux-iptables命令 Linux-SNAT和DNAT netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“...
linux-iptables nat设置路由转换
热门推荐
Coohx
04-01 1万+
DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映射。而SNAT(Source Network Address Translation,源地址转换)通常被叫做源映射。这是我们在设置Linux网关或者防火墙时经常要用来的两种方式。以前对这两个都解释得不太清楚,现在我在这里解释一下
linux 端口访问控制,linux-iptables多端口访问控制
weixin_42413624的博客
04-30 1731
前言在Linux网络应用中,我们经常需要开放一些端口给指定的IP,如果我们不对端口进行整理,就可能出现多开放一些有风险的端口,导致系统存在安全隐患。多端口限制1、连续端口,iptables默认就支持多个连续端口的规则iptables -A INPUT -s 192.168.122.0/23 -p tcp --dport 21:23 -j ACCEPT #端口21 22 232、不连续的端口,ipt...
Linux - iptables做UDP数据包转发及通道端口保持
Daopin Blog
10-31 6639
公司项目中有一项业务需要将UDP的数据包接入到服务器,并给予回复,一般像类似TCP的数据包,直接通过NGINX或者自身的Socket就可以做到上下行的通路,但是UDP的消息通路及端口,在一段时间内就会被释放掉,而无法再次使用和联通;经我们测试发现,收到一个UDP的数据,当我们解析后并回复一个特定数据回去的时候,经过NGINX时,就失败了,原因就是原来的那个端口没有被保持释放掉了。。...
linux centos iptables-config,iptables的安装和配置【Centos7】
weixin_32211243的博客
05-16 1759
Centos7默认是使用firewall作为防火墙,但大部分人习惯使用iptables。一.关闭firewall# 查看firewall状态$ systemctl status firewalld# 停止firewall$ systemctl stop firewalld.service# 禁止firewall开机启动$ systemctl disable firewalld.service二....
Linux笔记-iptables开放指定端口,开放ICMP协议,其他端口禁止访问
IT1995的博客
03-27 1万+
下面实现3个规则: ①对所有的地址开放本机的tcp(80、22、10~21)端口的访问。 ②运行对所有地址开放本机的基于ICMP协议的数据包访问。 ③其他未允许的端口则禁止访问。 #查看本机开放的端口 netstat -luntp [root@bogon ~]# netstat -luntp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address
docker的WARNING: bridge-nf-call-iptables is disabled解决
weixin_56160310的博客
10-26 4583
执行docker info出现如下警告 WARNING: bridge-nf-call-iptablesisdisabled WARNING: bridge-nf-call-ip6tables is disabled 解决办法: vim /etc/sysctl.conf 添加以下内容 net.bridge.bridge-nf-call-ip6tables = 1 net.bridge.bridge-nf-call-iptables = 1 最后再执行 sysctl -p 此时dock..
linux- 系统的延时和定时命令
peak的博客
08-01 1万+
linux中,可以设定延时执行命令,以及定时执行命令,延时任务是指在多久以后或在指定的时间系统自动执行命令,延时任务一次设定只能起效一次;定时任务是指在指定的某个时间自动执行某个命令,或程序,它与延时的区别在于定时任务可以重复的执行,例如每天的1点关机,就是定时任务。 一:延时任务 (1)创建延时任务: 命令:at 时间   从现在多久以后执行某个任务 [root@localho
linux-1 history 历史命令调用以及常用快捷键
peak的博客
07-20 5839
history历史调用 history ##显示历史 hostory -c   ##清除当前环境当中的历史命令 !数字  ##执行第多少行命令 !字母  ##执行最近一条以这个字母开头的命
linux-1 passwd 修改用户密码
peak的博客
07-19 4551
passwd 修改用户密码 ##passwd 修改用户密码 [root@foundation0 ~]# passwd Changing password for user root. ##改变超级用户密码 New password:  ##输入密码 BAD PASSWORD: The password is shorter than 8 characters Retype ne
linux- 从网卡启动自动安装系统 pxe
peak的博客
07-29 2281
在安装系统的时候,有时会遇到需要对很多的服务器安装系统,如果我们人工到每一台服务器上实地安装系统,就会很麻烦, 这时我们就可以设定服务器从网卡启动,然后服务器会通过dhcp自动获取ip ,我们可以设定dhcp的配置文件,让服务器在获取到ip 后, 自动访问一个服务器去读取pxe启动程序, (1)安装软件yum install tftp-server dhcp syslinux -y(2)文件
Linux- 分区的加密、LVM、raid、配额
peak的博客
08-05 1995
本文将介绍在linux中对磁盘的加秘密,磁盘阵列,和逻辑卷管理(LVM) 一:磁盘的加密 (1)加密磁盘,设置密码cryptsetup luksFormat /dev/vdb1 (2)打开磁盘,并将打开的磁盘命名为test cryptsetup open /dev/vdb1 test 可以看到再/dev/mapper 下,多了一个我们刚刚命名为 test的 文件
find 命令
peak的博客
08-05 1011
热改德国然后然后
linux- rhel7启动排错
peak的博客
08-09 885
开机经历的步骤: 1、BIOS自检,检查硬件; 2、激活MBR,MBR上不存在文件系统,可以视作硬件一部分,因此可以被直接读取 3、grub加载到内存,生成一个微系统,微系统内置了精简版的文件系统 4、通过这个微系统,他会去引导分区,比如默认一般是sda1上去找内核文件如vmlinuz,然后再调用grub的配置文件。 grub的主要把他的配置文件放在了3个地方。 /boot/g
linux-1 查看文件类型及统计文件容量信息
peak的博客
07-21 842
1 .查看文件的类型  命令:file   file 文件名字               ##查看文件类型 2. 文件的查看 命令:cat less head tail cat               filename                          ##显示文件的全部内容 less             file  
linux-6 文件的权限
peak的博客
07-22 751
文件的权限对于文件的信息安全是非常重要的,设置文件权限可以控制访问文件的用户身份,linux 中文件的权限时一个最基础的系统安全设置。 1. 查看文件的权限 -|rw-r--r-- |1| root| root| 0|Jul 22 01:18 |filename 1     2           3   4        5      6         7           
[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables contents are not set to 1
最新发布
05-26
这个错误提示是在使用docker时出现的,它表示你的Linux内核没有开启bridge-nf-call-iptables功能,这会导致docker网络无法正常工作。要解决这个问题,你可以按照以下步骤操作: 1. 检查你的系统是否支持bridge-nf-call-iptables功能: ``` sysctl net.bridge.bridge-nf-call-iptables ``` 如果输出为0或者不存在,则表示没有开启该功能。 2. 临时开启bridge-nf-call-iptables功能: ``` sysctl -w net.bridge.bridge-nf-call-iptables=1 ``` 这个命令可以临时开启bridge-nf-call-iptables功能,但是重启后会失效。 3. 永久开启bridge-nf-call-iptables功能: 在/etc/sysctl.conf文件最后加上一行: ``` net.bridge.bridge-nf-call-iptables = 1 ``` 然后执行命令: ``` sysctl -p ``` 这样就可以永久开启bridge-nf-call-iptables功能了。 完成上述步骤后,重新启动docker服务,就不会再出现这个错误提示了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值