用iptables管理防火墙

最新推荐文章于 2024-06-01 07:38:55 发布
最新推荐文章于 2024-06-01 07:38:55 发布
阅读量262 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42241932/article/details/81808655
版权

 什么时iptables?

 概念:iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过],DROP[删除],QUEUE[排队],或者 RETURN[返回]。

防火墙处理数据包的四种方式:

1.ACCEPT 允许数据包通过
2.DROP 直接丢弃数据包,不给任何回应信息
3.REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息。
4.LOG在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则

iptables的四表五链

Filter表:过滤数据包
NAT表:用于网络地址转换(IP、端口)
Mangle表:修改数据包的服务类型、TTL、并且可以配置路由实现QOS
Raw表:决定数据包是否被状态跟踪机制处理 

五条链分别存放什么链路的规则?

INPUT链——进来的数据包应用此规则链中的规则
OUTPUT链——外出的数据包应用此规则链中的规则
FORWARD链——转发数据包时应用此规则链中的规则
PREROUTING链——对数据包作路由选择前应用此链中的规则
POSTROUTING链——对数据包作路由选择后应用此链中的规则

iptables的基本命令

-A 在指定链的末尾添加(append)一条新的规则
-D删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
-I在指定链中插入(insert)一条新的规则,默认在第一行添加
-R修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
-L列出(list)指定链中所有的规则进行查看
-F清空(flush)
-N新建(new-chain)一条用户自己定义的规则链
-X删除指定表中用户自定义的规则链(delete-chain)
-P设置指定链的默认策略(policy)
-n使用数字形式(numeric)显示输出结果
-v查看规则表详细信息(verbose)的信息
-V查看版本(version)
-h获取帮助(help)

iptables命令的使用

  1. 开启服务                                                                                                                                                               
    systemctl stop firewalld
systemctl musk firewalld
yum install iptables-services
systemctl start iptables
systemctl enable iptables

  2. 清空规则(-F)

  3. iptables的配置文件 
    vim /etc/sysconfig/iptables

  4. 开放指定文件的端口 

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT               #允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT    #允许已建立的或相关连的通行
iptables -A OUTPUT -j ACCEPT         #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    #允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT    #允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT    #允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT    #允许FTP服务的20端口
iptables -A INPUT -j reject       #禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT     #禁止其他未允许的规则访问
屏蔽IP

iptables -I INPUT -s 123.45.6.7 -j DROP       #屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP    #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP    #封IP段即从123.45.6.1到123.45.6.254的命令是

查看已经添加的iptables规则

地址伪装

 在desktop中设置两个网卡,ip分别为eth0:172.25.254.117和eth1:192.168.0.117

在server中设置ip为192.168.0.217,网关设置为192.168.0.117

在desktop上

[root@localhost Desktop]# iptables -F
[root@localhost Desktop]# iptables -t nat -nL
[root@localhost Desktop]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.117
[root@localhost Desktop]# iptables -t nat -nL
[root@localhost Desktop]# vim /etc/sysctl.conf 
加入:net.ipv4.ip_forward = 1
[root@localhost Desktop]# sysctl -p
net.ipv4.ip_forward = 1

这里写图片描述

在server上

在ping主机172.25.254.17

地址转换

[root@localhost Desktop]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.0.217   ##伪装ip为217

在主机连117虚拟机时,转换到217虚拟机

 

 

 

 

 

 

 

qq_42241932
关注
Linux使用iptables管理防火墙
Wingkin的博客
12-05 407
1.安装iptables-services yum install iptables-services 2.iptables命令 启动防火墙: service iptables start 查询防火墙状态: service iptables status 停止防火墙: service iptables stop 重启防火墙: service iptables restart 永久关闭防火墙: chkconfig iptables off 永久关闭后启用: chkconfig iptables
iptables防火墙
qianluezyq的博客
08-16 233
iptables防火墙 (1)linux系统结构,在X86平台的CPU,是如何执行内核程序和用户程序的。 ring0:与硬件相关或者硬件寄存器,总线控制相关的程序------内核程序。 ring1-2 : 驱动程序或者与虚拟化相关的程序。 ring3: 用户态的程序。 (2)proc (3)sys (4)防火墙的基础 网络防火墙,主机防火墙 硬件防火墙,软件防火墙 网络安全的知名企业:深信服,思科...
如何使用netfilter/iptables构建防火墙
liangqikang的专栏
10-16 492
对 于Internet上的系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。 Linux提供了一个非常优秀的防火墙工具—netfilter/iptables。它完全免费、功能强大
Linux之iptables防火墙
qq_61657394的博客
02-16 1776
Linux之iptables防火墙
iptables防火墙管理
chuanpengmao2237的博客
09-23 111
#检查是否安装 service iptables status #安装iptables yuminstall-y iptables #升级iptables yum update iptables #安装iptables-services yum install ipt...
防火墙iptables管理
Jelly
03-21 252
1、火墙工具切换 我们知道在Linux中默认的火墙管理工具为firewalld,但其模式比较傻瓜,那如何切换到iptables工具呢?一下为切换步骤: <1> 安装iptables服务; 安装包:iptables-service <2>关闭firewalld服务; 关闭firewalld服务:system...
利用Linux自带的iptables配置防火墙
野原新之助
06-05 9111
利用Linux自带的iptables配置防火墙,完成如下配置: (1)阻止任何外部世界直接与防火墙内部网段直接通讯 (2)允许内部用户通过防火墙访问外部HTTP和HTTPS服务器 (3)允许内部用户通过防火结防问外部FTP服务器。 (4)其余功能可自行添加。
CentOS7系统中关闭firewall,并使用iptables管理防火墙
linxi7的博客
01-16 2130
在我们日常服务器管理中,经常会统一防火墙管理形式,我们常用的是关闭iptables(centos6.X),使用脚本来管理防火墙。如果有的系统是centos7的话,就要同时关闭firewall防火墙了。 1.关闭系统默认的firewall防火墙 systemctl stop firewalld.service 关闭防火墙 systemctl disable firewalld.servic
Iptables防火墙策略详解
qq_42941888的博客
03-04 2707
Iptables防火墙策略详解 一、iptables Linux 系统的防火墙——netfilter/iptables IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables 关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则
iptables防火墙设置
weixin_48190887的博客
08-05 377
netfilter 位于linux内核中的包过滤功能体系 称为linux防火墙“内核态” iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为linux防火墙“用户态” ——上述两种都可称为linux防火墙 包过滤层次 主要是网络层针对IP数据包 体现在对包内IP地址、端口信息的处理上 (端口是传输层过滤) 规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包不同时机 默认包括5种规则链 INPUT :处理入站数据包 OUT.
iptables防火墙的设置
晓太白的博客
11-29 2367
1、查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -n2、清除预设表filter中的所有规则链的规则[root@tp ~]# iptables -F 3、清除预设表filter中使用者自定链中的规则 [root@tp ~]# iptables -X 4、修改防火墙规则,打开80端口[root@tp ~]# iptables -A INPUT -p
iptables 防火墙配置
来日可期的博客
09-15 4570
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器和网络免受潜在的安全威胁。
Linux安全防火墙iptables)配置策略
最新发布
qq_53058639的博客
06-01 2161
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
linux系统防火墙拦截网络,使用iptables作为网络防火墙构建安全的网络环境
weixin_39620662的博客
05-04 418
前言一般情况下iptables只作为主机防火墙使用,但是在特殊情况下也可以使用iptables对整个网络进行流量控制和网络安全防护等功能,在本文中,我们使用iptables对三台服务器的安全进行安全防护网络防火墙的优势网络防火墙相比于主机防火墙而言,范围更大,不用对网络内的各主机各自设置防火墙规则就可以保证其安全性,但是必须在网络的进出口才能对出入数据包进行限制实验拓扑图实验环境主机IP地址功用f...
Iptables防火墙
m0_73823239的博客
12-28 1003
编写 iptables 规则时使用“--icmp-type ICMP 类型”的形式,针对的协议为 ICMP,用来检查 ICMP 数据包的类型(--icmp-type)。的顺序进行匹配和处理。编写 iptables 规则时使用“-i 接口名”和“-o 接口名”的形式,用于检查数据包从防火墙的哪一个接口进入或发出,分别对应入站网卡(--in-interface)、出站网卡(--out-interface)例如,若要丢弃从外网接口(ens33)访问防火墙本机且源地址为私有地址的数据包,可以执行以下操作。
iptables详解(12):iptables动作总结之一
aa43795381的博客
01-31 135
前文一直在介绍iptables的匹配条件,并没有对动作进行过总结,那么此处,我们就来总结一下iptables中的动作。 之前的举例中已经用到了一些常用动作,比如ACCEPTDROP、REJECT等。 其实,"动作"与"匹配条件"一样,也有"基础"与"扩展"之分。 同样,使用扩展动作也需要借助扩展模块,但是,扩展动作可以直接使用,不用像使用"扩展匹配条件"那样指定特定的模块。 ...
iptables动作总结之一
weixin_30797199的博客
03-27 319
ACCEPTDROP都属于基础动作。而REJECT则属于扩展动作。 其实,"动作"也有自己的选项,我们可以在使用动作时,设置对应的选项,此处以REJECT为例,展开与"动作"有关的话题。 动作REJECT REJECT动作的常用选项为--reject-with 使用--reject-with选项,可以设置提示信息,当对方被拒绝时,会提示对方为什么被拒绝。可用值如下 当不设置任何值时,默认值为ic...
iptables防火墙配置与规则管理详解
在命令行中,管理员通过运行`yum install iptables-services`来安装服务,并启动iptables服务,如`systemctl start iptables`,确保防火墙处于运行状态。 iptables的核心是四个表,每个表都有特定的任务: 1. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值