Linux运维之(十六)iptables命令

最新推荐文章于 2024-03-22 16:38:58 发布
最新推荐文章于 2024-03-22 16:38:58 发布
阅读量2k 收藏
点赞数
分类专栏: Linux运维 文章标签: iptables linux 安全 centos 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39682037/article/details/105631420
版权

iptables命令

构建防火墙的步骤

  • 清除所有规则
    为了避免新建的防火墙与系统中已经运行的防火墙相互干扰,一般应该先清除所有规则。
  • 设置防火墙策略
    设置当数据包没有匹配到链中的规则时应该如何对待(是拒绝还是放行)。
  • 设置防火墙规则
    设置数据包的匹配规则以及匹配后的处理动作(指
    定目标)。

防火墙策略的设置方法

没有明确允许的都被拒绝

方法1:

  1. 首先配置策略禁止所有的包
  2. 然后再根据需要的服务设置规则允许特定的包通过
  3. 最安全,但不太方便

方法2:

  1. 首先配置策略允许所有的包
  2. 然后再根据需要的服务设置规则允许特定的包通过
  3. 最后在链中添加一-条可捕捉一切的拒绝规则
  4. 当捕捉一切的拒绝规则被误删除将导致门户的全面开放

iptables服务

#安装iptables服务
yum -y install iptables-services
yum -y install system-config-firewall-{base,tui}

#屏蔽firewalld服务并开启iptables服务
systemctl stop firewalld
systemctl mask firewalld
systemctl start iptables
systemctl enable iptables

iptables命令语法规则

格式:

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

COMMAND :

-A 追加规则
-D 删除规则
-R 修改规则
-I 插入规则
-L 查看规则
-N 新的规则

CRETIRIA :

-p 协议
-s源地址
-d目的地址
-sport源端口
-dport目的端口
-i指定入口网卡
-o指定出口网卡

ACTION:

DROP:丢弃
REJECT:明示拒绝
ACCEPT:接受
SNAT:基于原地址的转换
DNAT:目标地址转换
source:指定原地址
MASQUERADE:动态伪装

示例

列出防火墙所有规则

[root@google ~]# iptables -L -nv
# 列出所有规则,并显示行号
[root@google ~]# iptables -L -nv --line-num

清楚防火墙规则(下列两条同样的效果)

[root@google ~]# iptables -F
[root@google ~]# iptables --flush

拒绝其他所有主机访问

# 此条应为防火墙策略的最后一条规则
[root@google ~]# iptables -A INPUT -j DROP

允许某个ip访问

[root@google ~]# iptables -I INPUT -p tcp -s 192.168.139.1 -j ACCEPT

日志记录

[root@google ~]# iptables -A INPUT -m state --state INVALID -j LOG
# 同时要将无效访问拒绝,避免资源浪费
[root@google ~]# iptables -A INPUT -m state --state INVALID -j DROP

自定义链

[root@google ~]# iptables -N LAN
[root@google ~]# iptables -A INPUT -j LAN
[root@google ~]# iptables -A LAN -j ACCEPT

大致流程如下
在这里插入图片描述
设置访问端口

# 允许访问22 ssh服务端口
[root@google ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
# 一次性同时添加80,443端口
[root@google ~]# iptables -A INPUT -p tcp -m multiport --dport 80,443 -j ACCEPT

#处理IP碎片数量,防止攻击,允许每秒100个

[root@google ~]# iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT

设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包

[root@google ~]# iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT

设置地址伪装,内网可以访问外网

[root@google ~]# iptables -t nat -A POSTROUTING -s 192.168.139.128 -j MASQUERADE

允许内网访问外网某台机器

[root@google ~]# iptables -t nat -A POSTROUTING -s 192.168.139.128 -j SNAT --to-source 192.168.91.128

实现端口转发

[root@google ~]# iptables -t nat -A PREROUTING -s 192.168.91.141 -p tcp --dport 80 -j DNAT --to 192.168.129.129:80
qq_39682037
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables基本概念及操作
Error_404notFound的博客
05-31 719
定义 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。对于TCP/IP
LINUXiptables防火墙
ZFX20001123的博客
02-16 1500
一、iptables概述 netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情是内核的一部分,由一些信息
Linux常用命令——iptables命令
AI的博客
04-21 1331
当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。为了让这些功能交替工作,我们制定出了“表”这个定义,来定义、区分各种不同的工作功能和处理方式。策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,是Linux上常用的防火墙软件,是netfilter项目的一部分。比如,我们要过滤所有TCP连接中的字符串。
iptables命令详解和举例(完整版)
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
Linux 操作系统防火墙之iptables配置(centos系列)02
ZhouGuo520的博客
12-15 1065
常规配置方案1(默认只允许ssh,删除默认增加明细) 方法1 iptables -L -nv --line-numbers iptables -D INPUT 4 #删除默认SSH那条 iptables -I INPUT 4 -p tcp -s 192.168.11.1 --dport 22 -j ACCEPT #zgpc iptables -I INPUT 4 xxxxx 增加其他的 service iptables save 方法2 cat > /etc/sysconfig/ip..
Linux运维中级面试题
06-30
Linux运维中级面试题】是针对有一定经验的Linux系统管理员设计的一套试题,旨在考察候选人在实际工作中对Linux系统的管理、优化以及问题解决能力。这些题目涵盖了从基础命令操作到高级服务配置,从系统安全到性能...
Linux运维工程师实战脚本.zip
08-24
在“Linux运维工程师实战脚本.zip”这个压缩包中,我们很显然会发现一系列与Linux系统管理和运维相关的脚本。这些脚本对于那些已经具备一定Linux基础,希望深入到高级运维领域的工程师来说,是非常宝贵的资源。Linux...
Linux 高端运维工程师1
08-03
4. **远程连接与故障排查**:Linux运维中,远程连接是常态。通过xshell等工具可以方便地管理和维护远程Linux服务器。了解SSH协议、端口、IP的概念,以及如何排查远程连接问题,是运维工程师必备技能。 5. **Linux...
linux企业运维实战资源 python自动化运维
最新发布
06-11
在IT行业中,Linux系统因其稳定性、安全性以及开源特性,在企业级服务器运维中占据了主导地位。而随着业务量的增加和复杂度的提升,手动运维已无法满足高效的需求,因此Python自动化运维应运而生。本资源集合正是...
iptables - 防火墙常用规则与使用方式记录
m0_51777056的博客
06-21 3150
iptables常用记录
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
Iptables命令大全
qq_42975225的博客
11-11 1万+
1、/etc/init.d/iptables stop #关闭iptables命令 2、iptables -nL #查看iptables详细策略信息 3、iptables -A INPUT -p tcp --dport 8080 -j ACCEPT #放通入方向的8080端口 4、iptables -A OUTPUT -p tcp --sport 8080 -j ACCEPT #放通出方向的8080端口 ...
Linux iptables命令详解
一口Linux的专栏
03-22 15万+
iptablesLinux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。下面良许小编就将从几个方面对于Linux iptables命令进行详述,希望对大家有所帮助。 iptables简介 iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和
iptables命令详解
ZBraveHeart的博客
03-22 3912
Netfilter框架在Linux内核中通过一系列的钩子(hooks)实现数据包处理的不同阶段,iptables就可以通过这些钩子来插入自定义的规则,从而实现对数据包的控制。在Linux环境下,iptables就是一款强大而灵活的防火墙工具,它为系统管理员提供了广泛的配置选项,能够有效地控制数据包的流动,实现网络访问的控制和安全性增强。这个命令将通过本机出口的TCP数据包的目标端口为80的流量转发到192.168.1.200,而不改变目标端口。它可以用于改变数据包的目标地址,源地址,目标端口或源端口。
iptables命令
m0_57730097的博客
12-06 1395
#### 选项 iptables -h 获取帮助 iptables -V 显示版本信息 iptables -L 列出链详细信息,可指定链 iptables -vL 显示更详细链信息 iptables -vnL 显示更详细链信息,并以数字化显示 iptables -vnL --line-number 列出信息时,显示规则序号 iptables -F 清除所有规则,不包括默认规则,可指定链 iptables -D 链名 规则序号 删除指定规则 iptables -I...
linux系统中查看己设置iptables规则
热门推荐
chengxuyuanyonghu的专栏
07-13 18万+
1、iptables -L 查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。 说明:-L是--list的简写,作用是列出规则。 2、iptables -L [-t 表名] 只查看某个表的中的规则。 说明:表名一共有三个:filter,nat,m
Iptables详解
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
Linux运维面试精要:命令操作与RAID知识
"这是一份关于Linux运维工程师面试题的总结,涵盖了文件操作、网络配置、计划任务设置、脚本编程以及RAID存储技术等多个方面。" 这份PDF文档旨在帮助Linux运维工程师准备面试,其中包含了多个关键技能的实战题目。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值