Linux iptables工具

最新推荐文章于 2024-06-13 10:16:15 发布
最新推荐文章于 2024-06-13 10:16:15 发布
阅读量115 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43178138/article/details/114936086
版权

目录

Linux防火墙基础

Linux中,防火墙是链型的。一个表就是一套链。数据包在Linux网络子系统的各部分移动时,内核就会对包应用某套规则。
例如,从物理层接收到一个新的包之后,内核就会根据输入的数据激活对应的规则。这些数据由内核来维护,整系统叫做iptables。

还有一个叫nfttables的新系统,用于取代iptables

规则表有很多,表里的规则也有很多。
filter表,控制基本的包流动,该表里有三个基本的链:包输入INPUT、包输出OUTPUT、包转发FORWARD

iptables

iptables是一款基于命令行的防火墙策略管理工具。

iptables命令可以根据流量的源地址、目的地址、传输地址、服务类型等信息进行匹配,一旦匹配成功,iptables就会根据策略规则所预设的动作来处理这些流量。

参数作用
-P设置默认策略
-F清空规则链
-L查看规则链
-A在规则链的末尾加入新规则
-I num在规则链的头部加入新规则
-D num删除某一条规则
-s匹配来源地址IP/MASK,加叹号"!",表示除这个IP外
-d匹配目标地址
-i 网卡名称匹配从这块网卡流入的数据
-o 网卡名称匹配从这块网卡流出的数据
-p匹配协议,如TCP、UDP、ICMP
–dport num匹配目标端口号
–sport num匹配来源端口号

查看当前的设置:iptables -L

设置链的策略:iptables -P FORWARD DROP

防火墙策略

防火墙的基本应用场景有两种:
一种是保护单台机器(在每台机器的INPUT链插入规则),另一种是保护整个网络里的机器(在路由器的FORWARD链插入规则)。

例如,如果有一个SSH服务在TCP端口22,那就不应该让别人连到22以外的端口。要做到这样,首先将INPUT链策略设置为DROP:

iptables -P INPUT DROP

但可以通过以下命令,允许ICMP通信(给ping或其他工具使用)

iptables -A INPUT -p icmp -j ACCEPT

确保你能收到自己发给自己的包,包括自己的IP地址和localhost127.0.0.1。

iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -s my_addr -j ACCEPT

如果控制着整个子网(并信任其中所有东西),可以将my_addr替换为你的子网地址和掩码,比如10.23.2.0/24。

虽然想阻止所有TCP连接请求,但是还要确保自己能对外界发出TCP连接请求。而因为所有由外而内的TCP请求都只有SYN位是被置位的,所以用以下命令可以做到只屏蔽接收的请求:

iptables -A INPUT -p tcp '!' --syn -j ACCEPT

如果用的是基于UDP的DNS,必须允许接收域名服务器发来的包,这样机器才能借助DNS查找域名。例如,允许接收/etc/resolv.conf中所有DNS服务器的数据包的话,用以下命令:

iptables -A INPUT -p udp --source-port 53 -s 域名服务器地址 -j ACCEPT

允许所有SSH连接:

iptables -A INPUT -p tcp --destination-port 22 -j ACCPT
fhzmWJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables工具简介
qq_48626285的博客
09-12 586
       今天一下前几天学习的iptables工具,也有很多人叫它防火墙。        iptable是通过在表中定义规则链,来控制数据的流通。它有四张表,分别是filter表、raw表、mangle表、nat表。我今天主要介绍filter表,因为是它最常用到的表。        filter
Linux网络安全原理之Linux防火墙工具iptables
qq_41779533的博客
01-23 3441
一、基础的概念性东西,我就不再赘述了点击这里参考网址,netfilter/iptables全攻略 二、iptables用法说明 iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options] 1.[-t table]:指定表raw, mangle, nat, [filter]默认 2.SUBCOMMAND:子命令 ,定义如何对规则进行管理 链管理类 -N
Linux-------iptables防火墙管理工具
Z_Grant的博客
07-26 706
文章目录一,基础概念1.1防火墙的一些名词解释(针对iptables)1.2防火墙管理工具1.3 防火墙工作流程1.4 iptables防火墙构成1.5 iptables中基本的参数 一,基础概念 1.1防火墙的一些名词解释(针对iptables) 相较于内网,外部公网环境更加恶劣,罪恶丛生。在公网与内网之间充当保护屏障的防火墙,虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流...
Linux命令02 - - iptables 防火墙策略管理工具
szb521的博客
08-19 1057
Linux命令03 - - iptables 防火墙策略管理工具
Linux下使用iptables
热门推荐
renwotao2009的专栏
04-23 1万+
关于iptables什么是iptables?常见于linux系统下的应用层防火墙工具。使用iptables的人员系统管理人员:基于iptables的NAT的包转发,linux主机安全策略 网络工程人员:局域网网络控制或对员工上网行为的控制,机房中用来替换昂贵的网络设备 安全人员:利用iptables内核或策略做安全设置场景模拟用iptables控制并发的http访问 机器分配: 机器类型
iptables基础(一)
weixin_33946020的博客
04-05 364
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
Linux iptables 重定向 IP
小单的博客专栏
12-28 1098
2、主机A有2个IP(192.168.10.22、192.168.20.33),在主机B上访问 192.168.20.33 正常,但是无法访问 192.168.10.22,现在的需求是想让主机B能通过访问 192.168.10.22 来正常主机A,相当于直接访问 192.168.20.33 的效果。之所以要这样做,是因为在主机B上运行了业务服务,服务中会调用主机A的数据接口进行交互,该数据接口使用的IP的是 192.168.10.22,且很难修改。1、现有 Linux 主机A一台,Linux 主机B一台。
Linux iptables使用详解
最新发布
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
06-13 932
一、Linux系统下使用iptablesLinux中,常用的防火墙工具iptables。以下是一些基本的iptables命令,用于配置防火墙规则。查看现有的iptables规则:清除所有现有的规则(慎用,可能导致服务不可用):允许特定端口(例如,允许TCP端口80):拒绝来自特定IP的访问:# 假设要限制的IP段为192.168.1.0/24,你可以使用以下命令:允许特定IP的访问:保存规则,使其在重启后生效(可选,取决于发行版):或者在某些系统中,您可能需要使用。
Linuxiptables防火墙
T1937085011的博客
05-21 567
netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态’属于内核态的功能体系,是一个内核模块,由多个数据包过滤表组成,其中包含数据包的过滤处理规则集iptables位于/sbin/iptables,用来管理防火墙规则的工具称为Linux防火墙的“用户态”属于用户态的管理工具,如同firewalld、ufw,是一个防火墙应用管理程序,用来实现防火墙规则集的增删改査上述2种称呼都可以表示Linux防火墙iptables概述。
详解Linux iptables 命令
09-15
Linux iptables命令是Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
Linux防火墙iptables入门教程
09-15
Iptables是专为Linux操作系统打造的极其灵活的防火墙工具。对Linux极客玩家和系统管理员来说,iptables非常有用。本文将向你展示如何配置最通用的Linux防火墙
Linux Ubuntu系统iptables防火墙配置
11-11
Linuxiptables是一个静态防火墙工具,不同于动态的firewalld。在Ubuntu 16.04中,不能直接使用iptables相关的systemctl命令进行管理,但可以通过其他方式配置和启用iptables规则。 3. 远程工具 远程访问服务器...
linux24-iptables
08-10
总的来说,iptablesLinux系统中强大的网络安全工具,通过灵活的规则配置,可以实现对网络流量的精细化管理,确保系统安全,防止恶意攻击,并对网络行为进行审计和控制。正确理解和使用iptables对于任何Linux系统...
linux安全设置:限制su、sudo切换root用户权限设置,su\sudo使用,SSH远程连接密钥登录
fhzmWJ的博客
12-02 6632
1. 限制su命令切换到root用户 不希望所有用户都可以通过su命令切换身份, 启用pam_wheel认证模块 vim /etc/pam.d/su 取消注释以强制用户成为组根的成员 才能使用“su”。如果您想使用默认“root”以外的组,也可以在这行的末尾添加“group=foo”(但这可能会有拒绝“root”用户的副作用,除非她是“foo”的成员或前面明确允许的,例如“SU_WHEEL_ONLY"). (替换来自登录名.defs) 去掉这一行的# 这样执行su命令的用户都将受到限制,只有root组
Linux的文件存取权限和0644权限
fhzmWJ的博客
11-26 6457
关于0644权限 其实就是分析Linux的文件存取权限 以下为个人理解: Linux系统中采用四位八进制数组成权限,比如0644 (而不是网上流传的十进制)。 对于每个新创建的文件或目录,系统都会自动赋予一个默认的权限。 可以使用umask命令设置文件或目录的默认权限。 系统默认的权限掩码是0022 通常新建文件的默认权限值为0666,新建目录的默认权限为0777,需要与当前的权限掩码0022相减,可以得到0644和0755。 数字权限对照表如下图: --- -> 0 (no excute
Linux常用命令复习
fhzmWJ的博客
07-01 3801
目录netstatlspwdcatcut文件四件套tailpskillfindgrepdfdupingifconfigtopwget 平时光顾着用了,也没仔细总结过。一篇博客做个自己常用命令的回忆复习吧。 netstat netstat命令用于显示网络状态。 netstat -a 显示详细的网络状况 netstat -n 直接使用IP地址,不通过域名服务器 netstat -t 显示TCP传输协议的连接情况 netstat -u 显示UDP传输协议的连接情况 netstat -p 显示正在使用Sock
BIOS和grub
fhzmWJ的博客
11-06 1876
参考链接1 参考链接2 grub2可以看这篇博客 BIOS (Basic Input Output System):基本输入输出系统。它是一组固化到计算机内主板上一个ROM芯片上的程序 ,保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,它可从CMOS中读系统设置的具体信息。 BIOS分为:Legacy BIOS 和 UEFI BIOS UEFI 统一可扩展固件接口(英语:Unified Extensible Firmware Interface,缩UEFI),用来替代BIOS的
云服务器与本机之间的socket连接
fhzmWJ的博客
03-19 1598
用的华为云服务器 想把TCPserver放在服务器上,client放在本机上做个测试,自己创建的端口号都不能用。。。。。。翻了好久,才发现云服务器有一个规定死的本机windows和云服务器之间的端口号,,,,只能用这个。。。。。。 ...
服务器设置为root登录设置方案以及linux系统下的root和SSH、sshd
fhzmWJ的博客
11-25 1373
前言 这篇博客是因为使用腾讯云服务器, 腾讯云服务器ubuntu系统默认的登录用户是ubuntu而不是root, 而阿里云华为云都是root,所以有些不习惯。 实在不想配置一堆东西可以每次使用: sudo su - root 切换到root exit 退出root 想使用sudo免密码的话可以编辑/etc/sudoers文件 sudo vi /etc/sudoers 然后 会有很多类似 %sudo ALL=(ALL:ALL) 这种 给谁加NOPASSWD谁就可以免密 比如下图这种,用户ub
LinuxIptables使用资料(整理).docx
12-16
LinuxIptables使用资料(整理)详细介绍了Linux系统中重要的网络包过滤和防火墙管理工具——iptablesIptables是内置于现代Linux内核中的一个模块,它作为netfilter的一部分,提供了功能强大的包过滤和网络访问控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值