Iptables防火墙访问策略

最新推荐文章于 2024-06-01 07:38:55 发布
最新推荐文章于 2024-06-01 07:38:55 发布
阅读量740 收藏
点赞数 1
分类专栏: 安全 文章标签: IPTABLES 防火墙策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41630483/article/details/101382060
版权

IPTABLES

防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在linux内核中.数据包过滤表中,规则被分组放在我们所谓的链(chain)中.
在这里插入图片描述
iptables5个链

  • INPUT:入站规则
  • OUTPUT:出站规则
  • FORWARD:转发规则
  • PREROUTING:路由前规则
  • POSTROUTING:路由后规则
    规则链之间的顺序
  • 入站:PREROUTING–>INPUT
  • 出站:OUTPUT—>POSTROUTING
  • 转发:PREROUTING—>FORWARD–>POSTROUTING
过滤匹配流程
  • 规则链内匹配顺序
    顺序比对,匹配即停止
    若无任何匹配,则按该链的默认策略处理
基本用法
  • 指令格式
    iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]
  • 注意事项
    • 可以不指表,默认filter表
    • 可以不指链,默认对应表的所有链
    • 如果没有匹配规则,默认使用防火墙默认规则
    • 选项/链名/目标操作用大写字母,其余都小写

目标操作

  • ACCEPT:允许通行
  • DROP:直接丢弃,不作出任何回应
  • REJECT:拒绝通过,必要时给出提示
  • LOG:记录日志,然后传给下一条规则(不遵循"匹配即停止")

常用管理选项

类别选项用途
添加规则-A在链的尾部追加一条规则
------I在链头(或指定序号)插入一条规则
查看规则-L列出所有规则条目
-n以数字形式显示地址,端口信息
–line-numbers查看规则时,显示规则的序号
删除规则-D删除链内指定序号(或内容)的一条规则
-F清空所有规则
默认策略-P为指定链设置默认规则

过滤条件

类别选项用法
通用匹配协议匹配-p 协议名称
地址匹配-s 源地址,-d 目标地址
接口匹配-i 接收数据的网卡,-o 发送数据的网卡
隐含匹配端口匹配–sport 源端口号,–dport 目标端口号
ICMP类型匹配–icmp-type ICMP类型(echo-reply,echo-request)
iptables -nL //查看filter表中所有的规则
iptables  -nL FORWARD //查看FORWARD链中的规则
iptables -t raw -nL --line-numbers //查看raw表中规则,及序号
iptables -t filter -P INPUT DROP //设置防火墙默认规则
iptables -t filter -F //清空filter表中的所有规则 
iptables -t filter -F INPUT //清空filter表中INPUT链中的所有规则
iptables -t filter  -D  INPUT 序号 //选出第几条规则
iptables -I INPUT -p tcp -s 192.168.4.52 -j ACCEPT 
// 插入规则到INPUT链的开头,允许192.168.4.52 使用tcp协议访问本机
iptables -I INPUT 2 -P icmp -j ACCEPT
//插入规则至表中INPUT链的第二行,允许任何人使用ICMP协议
iptables -A INPUT -p udp -j ACCEPT
//掺入规则至INPUT链尾,.......
iptables -I INPUT -i eth0 -p tcp --dport 80 -j REJECT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
//echo-replyPING包的返回包
iptables-save >/etc/sysconfig/iptables
//所有的规则都是临时规则,需要save保存才会永久生效
扩展条件
  • 基本用法
    -m 扩展模块 --扩展条件 条件值
    在这里插入图片描述
iptables -A INPUT -m mac --mac-source 52:54:00:c4:44:f0 -j DROP
iptables -A INPUT -p tcp -m multiport --dport 20,22,25,80,110,16501:16800 -j ACCEPT
//16501:16800端口16501到16800
iptables  -A  INPUT  -p tcp  --dport  22  \
> -m  iprange  --src-range  192.168.4.10-192.168.4.20   -j  ACCEPT
//IP段

NAT表应用

目的:源地址为私有地址,服务器如何正确给出回应
1.DNAT:目标地址转换
2.SNAT:源地址转换
3.REDIRECT:重定向针对本机地转发

  • 修改数据包源地址
  • 仅用于nat表的POSTROUTING链
  • 外部地址只能用DNAT
  • 局域网共享公网IP上网
    在这里插入图片描述
1>局域网设置默认网关
route add default gw 192.168.4.5
2>配置SNAT共享上网
echo 1 > /proc/sys/net/ipv4/ip_forward 
//开启路由转发
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -p tcp --dport 80 -j SNAT --to-source 192.168.2.5
//源地址转换
iptables -t nat -A PREROUTING -p tcp --dport 63306 -j DNAT --to-destination 192.168.1.2:3306
//路由前目标地址转化
iptables -t nat -A POSTROUTING -d 192.168.1.2 -p tcp --dport 3306 -j SNAT --to 192.168.1.1
//路由后源地址转换
 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 // 本机端口转发80转发到8080
 保存
 service iptables save
地址伪装策略
  • 共享动态公网ip地址实现上网
    –针对外网接口ip地址不固定的情况
    –将SNAT改为MASQUERADE即可
    –对于ADSL宽带拨号连接,网络接口可写为ppp+
iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j MASQUERADE
//不用指定SNAT目标IP,不管eth1的出口获得怎样的动态ip,MASQUERADE会自动获取eth1的ip地址,然后SNAT转发出去
鲸落南北_yls
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Iptables防火墙策略
Liu_Fang_Hong的博客
06-14 1136
Linux 系统的防火墙——netfilter/iptablesIP信息包过滤系统,它实际上由两个件netfilter 和 iptables成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
防火墙访问控制策略
weixin_57193107的博客
06-01 5680
防火墙访问控制策略、时间、服务
Linux安全防火墙iptables配置策略
最新发布
qq_53058639的博客
06-01 745
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux操作系统下IPTables配置方法详解
weixin_34128501的博客
07-25 651
如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (po...
iptables增加、删除、修改、查询、保存防火墙策略教程
u012242646的博客
11-23 1828
一.查看现有防火墙策略 二.增加防火墙策略(以22端口为例) 说明: 1.-A代理在末尾追加,如果要在开头插入使用 -I 2.多IP使用逗号(半角)相隔,多端口添加-m multiport然后端口使用逗号(半角)相隔 3.对于连续IP合用–src-range iptables -I INPUT -m iprange --src-range 192.168.220.128-192.168.22...
iptables访问策略
热门推荐
宁静而致远
08-15 2万+
iptables由3个表filter,nat,mangle成,主要实验了filter表,这个表是用来过滤数据包的,有三个链INPUT,OUTPUT,FORWARD。 配置防火墙策略有固定的格式 Iptables  表名   链名    匹配条件  动作 -t 表名 (默认为filter) -A 链名(在该链末尾append追加策略) -I 链名 数字 -I (insert)插
防火墙策略添加linux,通过iptables设置Linux防火墙INPUT策略
weixin_28954623的博客
05-09 667
原标题:通过iptables设置Linux防火墙INPUT策略小白电脑课堂开课啦!游戏团战就死机,多半是废了。大家好我是小白。说到防火墙,同学们都会想到开了防火墙就会卡的Windows。而在Linux中,防火墙是个很重要的服务。虽然现在已经有了新的firewalld服务,但新的防火墙配置工具也没有完全取代iptables,而且很多企业还在iptables服务。今天小白就用iptables来演示如何...
Linux上iptables防火墙的应用教程
10-16
Linux 上的 iptables 防火墙是一种常用的防火墙软件,能够控制访问 Linux 系统的流量。iptables 防火墙的基本应用包括安装、清除规则、开放指定端口、屏蔽指定 IP、删除已添加的规则等。 安装 iptables 防火墙 若...
iptables防火墙设置
05-13
本文档详细介绍了iptables防火墙的设置和配置,包括iptables的基本概念、防火墙配置原则、iptables基础语法、ip和网卡接口设置、设定端口访问、模块调用等方面的知识点。 一、iptables基本概念 iptables是Linux...
阿里云Centos配置iptables防火墙.docx
11-01
阿里云CentOS配置iptables防火墙是一项重要的安全措施,尽管阿里云提供了云盾服务,但额外的防火墙层能提供额外的安全保障。以下是配置iptables防火墙的详细步骤: 1. **检查iptables服务状态**: 首先,通过运行`...
Linux CentOS上用iptables设置防火墙遇到的问题
01-09
 开始的安全策略:默认拒绝所有、只允许所需  操作命令:  允许入站ssh连接 iptables -A INPUT -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT  允许针对eth0网卡的入站8092端口访问 ...
iptables相关配置详情.docx
10-18
关于linux系统的iptables详解,介绍了关于linux里的防火墙配置详解,包括防火墙的查看,清除,以及预设添加防火墙规则。
iptables防火墙策略
qq_41037606的博客
12-05 1198
firewalld和iptables两个管理工具,通过这两个插件管理防火墙。只能同时使用其中的一个 打开防火墙: systemctl start firewalld firewall-config   &     图形界面管理 watch -n 1 firewall-cmd --list-all  监控这个策略 permanent:永久,需要重启/重新加
iptables防火墙策略,黑白名单添加方式
看着博客敲代码
03-01 4446
iptables防火墙策略,黑白名单添加方式 查看iptablesiptables-services服务是否安装 rpm -qa | grep iptables iptables-1.4.21-28.el7.x86_64 安装iptables-services yum -y install iptables-services 查看firewalld运行状态,如果启动请关闭 firewall-cmd --state running #返回值为running为启动状态 not running #返回值为n
iptables 防火墙策略
xixlxl的博客
02-27 3519
##一.iptables iptable是用来设置,维护检查内核的ip包过滤规则的,就是规则设置工具。配置防火墙的主要工作就是添加,修改删除一些规则,规则就是网络管理员预定义的一些条件。 三表五链: filter表:过滤数据包,内核模板,含三个链INPUT,OUTPUT,FORWARD nat表: 非内核模板主要作网络地址转换,含三个链,PREROUTING,POSTROUTIN...
使用iptables配置访问规则
Sdianti的博客
08-15 869
执行iptables -L 或 iptables -L -n命令,查看iptables默认规则,发现在默认规则下,INTPUT链允许来自任何主机的访问。首先,我们需要清空所有已经存在的iptables规则,然后设置默认策略为DROP,这样我们就可以开始设置我们自己的规则了。如果之前已经设置过规则,建议执行如下命令,备份原有的iptables文件,避免之前设置的规则丢失。执行如下命令,查看iptables是否成功启动。执行如下命令,设置iptables开机启动。执行如下命令,启动iptables
iptables规则的查看、添加、删除和修改IP及其端口
无欲则刚
08-12 3655
iptables规则的查看、添加、删除和修改 http://www.cszhi.com/20120717/iptables-sample.html http://blog.csdn.net/zht666/article/details/17505789 iptables 禁止端口和开放端口 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面...
iptables安全访问防火墙
weixin_75101141的博客
04-06 314
iptables -A INPUT -p icmp -m iprange --src-range 192.168.233.20-192.168.233.30 -j REJECT#禁止网段内的ip地址ping主机。--line-numbers 规则带编号 iptables -t nat -L -n --line-number iptables -t nat -L --line-number。-L 查看 iptables -t nat -L (查看)
iptables 访问策略笔记
u010264957的专栏
04-11 127
Linux 2.4之后的防火墙iptablesiptables由3个表filter,nat,mangle成,主要实验了filter表,这个表是用来过滤数据包的,有三个链INPUT,OUTPUT,FORWARD。 配置防火墙策略有固定的格式iptables 表名 链名 匹配条件 动作 -t 表名 (默认为filter) -A 链名(在该链末尾append追加策略) -I 链...
iptables防火墙
06-09
iptables是Linux操作系统中的一种防火墙软件,它可以根据用户定义的规则来过滤、转发和修改网络数据包。iptables可以保护网络免受攻击,防止未经授权的访问和保护数据的机密性。以下是一些iptables的基本命令: 1. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值