Linux-防火墙配置-iptables命令

最新推荐文章于 2023-11-29 19:19:53 发布
最新推荐文章于 2023-11-29 19:19:53 发布
阅读量862 收藏 2
点赞数 1
分类专栏: 服务器 Linux 文章标签: linux 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40650558/article/details/104742821
版权

文章目录

1、防火墙简介

  • 防火墙功能:限制访问(限制mac、IP、port),限制访问数量,给数据包打标签,控制网速,统计流量等
    即过滤数据包

  • 防火墙分类:硬件/软件防火墙, Linux中的防火墙偏硬件(因为是调用系统内核使用的)

  • Linux(CentOS)中的防火墙:iptables、firewall、SELinux

    • Linux是通过iptables(firewall也是基于iptables的)向内核写入规则
    • 也就是说Linux下的防火墙分为内核态和用户态
      • 内核态:netfilter
      • 用户态:iptables | firewall,为指令集

2、iptables

(1)基本使用

  • 安装
yum install iptables.x86_64 iptables-devel.x86_64 iptables-services.x86_64 -y
  • 启动iptables的方法
systemctl start iptables
  • 使用
    1. 查看防火墙规则:iptables -L
    2. 清除所有防火墙规则:iptables -F

(2)防火墙的基本原理(Linux下)

  • 防火墙就是对指定条件的数据包作出指定动作,包括不限于过滤
  • Linux下,通过iptables命令将规则写入内核态,当有数据包进入或出去时,就会和我们所写的规则一条条去匹配,若匹配到特定条件的规则,则按该规则所指定的动作执行;若未匹配到特定条件,则按默认规则处理
  • iptables定义的规则
    • 表:定义的规则放到表里,有4张表
      • raw 数据包跟踪
      • mangle 标记数据包(只标记,不做其它动作)
      • nat 网络地址转换,用于修改源地址和目的地址
      • filter 数据包过滤
    • 链:链里放的是具体的规则,一张最多有5种链
      • PREROUTING 路由之前(即针对的是路由之前的数据包)
      • INPUT 数据包流入网卡
      • FORWARD 数据包流经网卡
      • OUTPUT 数据包流出网卡
      • POSTROUTING 路由之后
    • 匹配条件时按顺序匹配(raw–>mangle–>nat–>filter,链也是从上到下按顺序匹配)

(3)iptables的语法规则

  • 规则分为增删改查四种类型
  • 语法模版:iptables [-t table_name] <动作> <链名> <匹配条件> <目标动作>

<1>查看规则

  • 查看防火墙规则

    • iptables -L 查看4张表的全部规则

    • iptables -L -t table_name 查看指定表的规则

    • iptables -nL 把所有主机名用IP地址表示

    • iptables -S [-t table_name] 直接查看创建规则时的命令

      [root@192 ~]# iptables -L -t filter 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination   
...

[root@192 ~]# iptables -S -t filter 
-P INPUT ACCEPT
-P FORWARD ACCEPT
...

<2>添加规则

  • 增加规则:-A(add)或-I(insert)

    • 在指定表的最后面增加一条规则(若没有-t table_name,默认为filter表)

      iptables -t filter -A INPUT -p icmp -s IP -j REJECT
      • -A 表示动作为添加规则
      • INPUT 表示添加的规则是针对INPUT链的(即进入网卡的数据包)
      • -p icmp -s IP 匹配的条件
        • -p icmp 表示使用的协议是ICMP协议的(协议是protocol)
        • -s IP 表示指定源IP地址(源地址是source IP)
      • -j REJECT 表示拒绝匹配到的数据包(jump有快速行动的意思)
      • 该命令的效果是拒绝指定IP地址的主机ping本机

    • 在一张表中指定链的指定位置插入规则

      iptables [-t table_name] -I [n] <链名> <匹配条件> <目标动作>
      • -I [n] 不加n时,是在指定表的指定链的最前面加入规则,使用n可以指定添加到第n条
      • 同理,删除时也可以指定删除,如iptables -D INPUT 3表示删除filter表的INPUT链的第3条规则

    • 自定义链:非自定义链(即那5个链)是即写即生效的,而自定义链写好后要被调用才生效

      • 创建自定义链

        iptables -N <chain_name>
        • 若要更改自定义链的名字,使用命令iptables -E <old_name> <new_name>
        • 创建后就可以往自定义链里写规则了

      • 调用自定义链,即将自定义链添加到5条链中去

        iptables -t filter -A INPUT -j test
        • 该命令是将自定义链test添加到filter表的INPUT链中去

      • 删除自定义链:注意,被调用的自定义链和写了规则的自定义链不能删除

        iptables -X <chain_name>

<3>更改规则

  • 不常用,比较麻烦,一般先删除再添加即可

    iptables [-t table_name] -R n <chain_name> <匹配条件> <目标动作>`
    • R是replace的意思
    • -R n 表示修改指定表中的指定链的第n条规则

<4>删除规则

  • 删除所有规则:iptables -F
  • 删除指定链的规则:iptables -F <chain_name>
  • 删除指定链的指定行:iptables -D INPUT 3表示删除filter(默认)的INPUT链的第3条规则

<5>关于默认规则

  • 所有数据包都会经过防火墙,当数据包匹配到了特点规则时,就按指定的动作执行;当未匹配到特点规则时,就按默认动作(规则)执行。默认规则只有ACCEPTDROP

  • 查看一下默认规则

    [root@192 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination 
...
    • 可以看到这条INPUT链的默认规则时ACCEPT

  • 修改默认规则

    iptables -P INPUT DROP
    • 该命令是将INPUT链的默认规则都改为DROP(丢弃)

<6>补充

  • iptables还可以查看流量

    iptables -nL -v
# 查看流量
iptables -Z [chain_name n]
# 清空流量,可以指定链和链中第n条规则的流量

(4)iptables的匹配条件

  • iptables可以匹配的条件非常多,可以在需要的时候查看手册,如查看设定一个范围的IP地址的用法

    [dream@192 ~]$ iptables -m iprange --help
[dream@192 ~]$ iptables -m iprange --help
iprange: Could not determine whether revision 1 is supported, assuming it is.
iptables v1.4.21
...
iprange match options:      # 这就是iprange的用法
[!] --src-range ip[-ip]    Match source IP in the specified range
[!] --dst-range ip[-ip]    Match destination IP in the specified range
    • -m range m表示match,即扩展匹配
    • 另外可以使用命令man iptables -extensions查看所有用法

  • iptables有三个基本匹配条件:IP地址,协议protocol,端口port

    • IP地址匹配

      -s IP_address[/mask] [, IP_address[/mask], ...]  # 指定源IP地址,可以同时指定多个
-d IP_address[/mask] [, IP_address[/mask], ...]  # 指定目的IP地址,可以同时指定多个
      • -s --source -d --destination
      • mask 即子网掩码,可写可不写,可以写出数字,也可以写成掩码,如24 = 255.255.255.0
      • 也可以指定一个IP范围,如-m iprange --src-range 192.168.1.1-192.168.1.10表示匹配条件为源IP地址在指定范围内

    • 端口匹配

      -sport port_num     # 匹配源端口(source port)
-dport port_num			# 匹配目的端口(destination port)

      • 也可以多端口匹配

        [dream@192 ~]$ iptables -m multiport --help
multiport: Could not determine whether revision 1 is supported, assuming it is.
iptables v1.4.21
...
multiport match options:
[!] --source-ports port[,port:port,port...]
 --sports ...
				match source port(s)
[!] --destination-ports port[,port:port,port...]
 --dports ...
				match destination port(s)
[!] --ports port[,port:port,port]
				match both source and destination port(s)

      • 例子:

      [dream@192 ~]$ sudo iptables -A INPUT -p tcp -m multiport --dports 22,21,80 -j REJECT
[sudo] dream 的密码:
[dream@192 ~]$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target   prot   opt   source     destination         
REJECT   tcp    --    anywhere   anywhere       multiport dports ssh,ftp,http reject-with icmp-port-unreachable

(5)iptables的目标动作

  • 当匹配到了条件后,就要执行特定的动作

  • 常用的动作如下

    • DROP 丢弃

    • REJECT 拒绝

    • ACCEPT 接收

    • SNAT 修改源IP地址,必须按如下格式书写

      iptables -t nat -A POSTROUTING -s <old_IP> -j SNAT  <old_IP> to <new_IP>

      • 理解:计算机只能修改已经路由后,准备发出去的数据包的源IP(如果修改目标IP,就找不到了)

        ​ 机理和网络地址转换协议NAT是一样的

    • DNAT 修改源目标P地址,必须按如下格式书写

      iptables -t nat -A PREROUTING -d <old_IP> -j DNAT  <old_IP> to <new_IP>
      • 理解:计算机只能修改路由前,刚收到的数据包的目标IP,机理同NAT协议

  • 参考教程
    B站视频:千峰

dream_135
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux系统之防火墙(iptables)
bread_winner的博客
08-20 5513
注意:firewalld和iptables不能同时打开,一定要关闭firewalld,再打开iptables,不然会对下面的实验有影响 防火墙的工作机制(三表五链) 链: 链就是位置,共有五个 : 数据包进路由之前(PREROUTING)、目的地址为本机,进系统(INPUT) 、转发(FORWARD)、原地址为本机,向外发送,出系统(OUTPUT)、发送到网卡之前,出路由(POSTROUTING)...
android linker加载
zkuili的博客
06-03 2207
linker是android的加载器和连接器,同时也是其自身的加载器。bionic/linker/arch/arm64/begin.S29#include &lt;private/bionic_asm.h&gt;3031ENTRY(_start)32  mov x0, sp33  bl __linker_init3435  /* linker init returns the _entry add...
iptables-services-1.4.21-17.el7.x86_64.rpm 下载
06-18
centos7 iptables-services-1.4.21-17.el7.x86_64.rpm 安装包 下载
iptables
qq_65844169的博客
11-06 397
root@localhost ~]# iptables -t filter -A INPUT -s 192.168.233.0/24 -p tcp --dport 80 -j REJECT #禁止整个网段访问80端口。[root@localhost ~]# iptables -A INPUT -p icmp --icmp-type 0 -j REJECT #拒绝回显,本机ping不了其他的主机,且没有任何显示。
29 Linux 防火墙
YANYI99的博客
12-23 912
文章目录Linux 防火墙本章内容防火墙的概念iptables的基本认识iptables的组成iptables的基本语法iptables之forward的概念iptables之地址转换法则SNAT源地址转换的具体实现DNAT目标地址转换的具体实现firewalld介绍firewalld配置命令rich规则1 安全技术和防火墙1.1 安全技术1.2 防火墙的分类按保护范围划分:按实现方式划分:按网络...
教你设置疯狗都咬不烂的防火墙
最新发布
2301_76288258的博客
11-29 546
防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.设置默认策略(-般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP,并设置白名单.需要注意的是,当使用管理选项“-F”清空链时,默认策略不受影响。
Linux防火墙iptables命令详解
下一个艺术家
12-01 1408
本篇博客对Linux防火墙及一些命令进行解释,并展示现象。
Linux--iptables内置防火墙
j_Lawrencee的博客
08-15 515
*****************************************************************************************************************************************************************************************     电脑在办公使用过
Linux下防火墙配置实例
01-09
 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。 IPTABLES的设置情况  iptables -L -n  删除已有规则  iptables -F  屏蔽指定ip 有时候我们发现某个ip不停的往服务器发包,这时我们...
linux-一键部署deployKubernetesv1150
08-13
开发者需要熟悉基本的Linux命令行操作,如包管理器的使用(如apt或yum)、防火墙配置等。 4. **一键部署脚本**: "deploy_Kubernetes-v1.15.0-master"很可能是一个包含了所有必要步骤的自动化脚本,用于简化...
2-linux系统笔记之Iptables防火墙
10-15
该文档是linux系统详细...2-linux系统笔记之Iptables防火墙篇.doc 3-linux系统笔记之lamp网站环境搭建.doc 4linux系统笔记之lNMP网站环境搭建.doc 5linux系统笔记之apache高级服务篇.doc 6linux系统笔记之服务器篇.doc
Linux防火墙iptables入门教程
01-10
一、关于iptables Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会...配置iptables的规则时要特别小心,特别是在你远程登陆服务器的时候。
linux-memo-Linux备忘手册
05-16
4. **网络配置**:了解网络接口的配置(`ifconfig`)、路由规则(`route`)、网络服务(`sshd`, `httpd`等)的管理和防火墙规则(`iptables`)设置。 5. **软件安装与管理**:学习使用包管理器(如`apt`或`yum`)...
Unity Mask 遮罩无效 解决方案
sakuya_miku的博客
09-28 8153
Unity Mask 遮罩无效 解决方案 前言 本人开发的APP有着需要发布到手机、Pico一体机、华为Glass眼镜上的需求,因此项目是一个多合一的工程。由此在制作如文字滑动的效果时,遇到了一个问题,Unity自带的Mask无法实现全平台遮罩。针对这点,进行了探索测试。 Unity 开发版本 2018.4.26f1 一、Mask 解决方案 尝试 Mask方案:使用Unity 自带的Mask + 遮罩图片不能为全透明。 该方案由友人提出,在其工程上实现了PC、手机、一体机等多平台的遮罩效果。 但
iptables详解
miner_k的博客
06-12 1653
iptables 详解
iptables的基础学习笔记
迷逝
04-28 1776
iptables的基础学习 前言 在早期的 Linux 系统中,默认使用的是 iptables 配置防火墙。尽管新型 的 firewalld 防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptables。 iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 iptables 简介 什么是iptables? iptables 是 Linu
iptables源码分析(1)
venoy4806的专栏
01-07 1588
一、规则的显示选择先来说明规则的显示,因为他涉及到的东东简单,而且又全面,了解了规则的显示,对于其它操作的了解就显得容易了。 iptables version 1.2.7 iptables有两条线:ipv4 和ipv6,这里只分析v4的,因为v6偶暂时还用不着,没有去看。 iptables_standardone.c主函数:int m
iptables防火墙用法及说明
weixin_43046446的博客
02-14 460
iptables 表与链 iptables是4表伍链 4表:filter表 nat表 raw表 mangle表 伍链:INPUT OUTPUT FORWARD PREROUTING POSTROUTING 表的说明 filter表 防火墙:屏蔽或准许 端口 ip filter表 强调:主要和主机自身相关,真正负责主机防火墙功能(过滤流入流出主...
vim的使用(超详细)
qq_40650558的博客
02-28 1664
目录 文章目录一、vim模式二、打开文件三、插入命令四、查找命令五、替换命令六、撤销和重做七、删除命令八、复制粘贴九、剪切粘贴十、退出保存十一、移动命令十二、排版功能十三、注释命令十四、调整视野十五、区域选择十六、窗口控制十七、文档加密十八、执行命令十九、帮助命令二十、宏的使用二十一、vim查找与替换的扩展补充 一、vim模式 回到目录 1、正常模式:按Esc或者Ctrl+[进入 左下角显示文件名...
linux配置防火墙命令
05-23
在Linux系统中,常用的防火墙软件有iptables和firewalld。以下分别介绍它们的基本命令。 1. iptables iptables是Linux系统上最常用的防火墙软件,它可以用来过滤、转发、修改数据包。下面是一些常用的iptables命令: - 查看规则:iptables -L - 清空规则:iptables -F - 允许所有流量通过:iptables -P INPUT ACCEPT、iptables -P FORWARD ACCEPT、iptables -P OUTPUT ACCEPT - 禁止所有流量通过:iptables -P INPUT DROP、iptables -P FORWARD DROP、iptables -P OUTPUT DROP - 允许某个IP地址通过:iptables -A INPUT -s 192.168.1.100 -j ACCEPT - 允许某个端口通过:iptables -A INPUT -p tcp --dport 80 -j ACCEPT - 禁止某个IP地址通过:iptables -A INPUT -s 192.168.1.100 -j DROP - 禁止某个端口通过:iptables -A INPUT -p tcp --dport 80 -j DROP 2. firewalld firewalld是CentOS 7和RHEL 7中默认的防火墙软件,它可以管理网络端口、服务和防火墙规则。下面是一些常用的firewalld命令: - 启动firewalld服务:systemctl start firewalld - 停止firewalld服务:systemctl stop firewalld - 重启firewalld服务:systemctl restart firewalld - 查看firewalld状态:systemctl status firewalld - 查看所有可用的服务:firewall-cmd --get-services - 查看当前防火墙规则:firewall-cmd --list-all - 开放某个端口:firewall-cmd --zone=public --add-port=80/tcp --permanent - 移除某个端口:firewall-cmd --zone=public --remove-port=80/tcp --permanent - 重新加载防火墙规则:firewall-cmd --reload 以上是iptables和firewalld的一些基本命令,更多的用法和选项可以通过man手册或者网络搜索获得。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值