34. linux中防火墙iptables的使用

最新推荐文章于 2024-02-17 19:26:10 发布
最新推荐文章于 2024-02-17 19:26:10 发布
阅读量394 收藏
点赞数
分类专栏: Linux运维基础知识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43687755/article/details/99705293
版权

Lesson34 linux中防火墙iptables的使用

文章目录

1. 什么是iptables

iptables(网络过滤器)是一个工作于用户空间的防火墙应用软件,是与3.5版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。
Iptables是用来设置、维护和检查Linux内核的IP包过滤规则的。它可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配,每条规则指定应当如何处理与之相匹配的包。这被称作"target"(目标),也可以跳向同一个表内的用户定义的链。

2. iptables的基本命令管理

实验准备:
1. desktop作为服务器端,配置为双网卡主机:
eth0:172.25.254.114
eth1: 192.168.0.114
2. server测试端:eth0: 192.168.0.214
3. 真机测试端:ip:172.25.254.14
在desktop服务器端配置好yum源

实验步骤:
在desktop服务器端
安装iptables服务
在这里插入图片描述
发现这个服务已经安装好,开启iptables服务, 并且设置为开机启动
在这里插入图片描述
-nL # 表示不做解析列出防火墙策略
在这里插入图片描述
-L # 表示做解析列出防火墙策略
在这里插入图片描述

-t # 表示列出指定表的策略信息,不加-t默认为filter
在这里插入图片描述

保存策略方法一在这里插入图片描述
保存策略方法二
在这里插入图片描述
-A #将策略追加在已经存在的表后面,按顺序执行(第一个符合行为后便不会读取第二个)
在这里插入图片描述
添加策略允许ip为172.25.254.15的主机通过ssh服务连接进服务器
在这里插入图片描述
-I #插入 加数字表示添加的位置 默认为1,表示插入到最前边
在这里插入图片描述
-R #替换规则要加数字(将172.25.54.250的规则修改为丢弃)
在这里插入图片描述
-D #删除第二条规则
在这里插入图片描述
-N # 添加新链名称为redhat
在这里插入图片描述
-E #重命名链(将名称为redhat的链重命名为WESTOS)
在这里插入图片描述
-X #删除WESTOS链
在这里插入图片描述
-P # 修改policy DROP ACCEPT 不能修改为REJECT 链的默认属性
在这里插入图片描述
清除策略(刷新iptable服务后,原策略会恢复)
在这里插入图片描述
-j #行为动作
-S #查看策略详细信息,包括操作
在这里插入图片描述
-Z # 清除数据包

3. iptables的地址伪装(SNAT)和端口转发(DNAT)
3.1 iptables的SNAT和DNAT含义

SNAT和DNAT(由连接的发起者是谁来区分)

源地址转换:SNAT
内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。

目的地址转换:DNAT
当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。
3.2 iptables的权限策略编写

实验题目要求:新建火墙策略:squid+sshd+dns

举一个生活中的例子:去电影院看电影的时候,第一次用户需要检票入场,若中途有事离开了观影厅,在电影结束前还可以凭票根再次入场,无需重新再次检票

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  #建立过状态和建立完成中途断开重新连接的都允许

iptables -A INPUT -m state --state NEW -i lo -j ACCEPT    #通过回环接口的所有数据都接收

iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT  #允许ssh服务

iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT   #允许dns服务

iptables -A INPUT -m state --state NEW -p tcp --dport 3128 -j ACCEPT    ##允许squid服务

iptables -A INPUT -j REJECT    #拒绝其他主机通过任何服务连接
iptables -nL    #查看新建的火墙策略

在这里插入图片描述
查看iptables火墙策略
在这里插入图片描述不做解析查看策略

在这里插入图片描述
可以看到,已经成功添加ssh, squid和dns服务进策略信息
将新建的策略保存
iptables-save > /etc/sysconfig/iptables
刷新
iptables -F
重启iptables服务
在这里插入图片描述
再次查看策略信息依然存在
在这里插入图片描述

3.3 iptables的SNAT 源地址转换(POSTROUTING—地址伪装)
 >  /etc/sysconfig/iptables  #清空策略信息
 iptables -nL  #查看策略信息已经不存在
  `这个实验必须开启路由功能 `

在这里插入图片描述
iptables -t nat -nL #查看nat表的策略
在这里插入图片描述

iptables -t nat -A POSTROUTING  -o eth0 -j SNAT --to-source 172.25.254.114  #把要从eth0出去的数据的源地址改为172.25.254.114
iptables -t nat -nL

将192.168.0.214测试机网关设为192.168.0.114
route -n #查看网关
在这里插入图片描述
把要从eth0出去的数据的源地址改为172.25.254.114
iptables -t nat -nL #查看是否添加策略(必不可少)
在这里插入图片描述
在server虚拟机进行测试
ping 172.25.254.14,发现可以ping通(如果不添加网关,则无法ping通)
在这里插入图片描述

3.4 iptables的DNAT 源地址转换(PREROUTING—端口转发)
iptables -t nat -A PREROUTING  -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.0.214:22 #从eth0的22端口进来的数据,目的地转为 192.168.0.21422端口
iptables -t nat -nL

将从eth0的22端口进来的数据,目的地转为 192.168.0.214的22端口
iptables -t nat -nL #查看是否添加策略(必不可少)
在这里插入图片描述
在真机端进行测试
ssh root@172.25.254.114 输入的密码是转到的ip的主机密码

在这里插入图片描述
查看登陆服务器的ip为192.168.0.214, 端口转发成功

Nickxyoung
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxiptables配置文件及命令详解详解
weixin_30690833的博客
09-14 1980
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
iptables-F 后 SSH 连接断开
depakin+的专栏
05-29 1万+
最近回收利用一台被征用做邮件服务的服务器,重新部署新的业务。 清理了所有的安装软件和目录文件后,调整了网络安全组规则,仅开放所需端口。 看了下防火墙的配置: ```shell # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere st...
iptables - 防火墙常用规则与使用方式记录
m0_51777056的博客
06-21 3164
iptables常用记录
iptables
weixin_45436958的博客
08-17 230
这篇主要讲iptables,iptables也是一种防火墙,它相较于firewall更精确,也更复杂一些,一直受到企业的喜爱和应用。 环境配置: 一台主机,两台虚拟机,一台虚拟机配置两个网卡,一块网卡与主机的IP处于同一网段,另一块网卡与另一台虚拟机的IP处于同一网段,且与主机IP处于不同的网段,以获得更好的实验效果。 下载iptables: yum list iptables.service s...
防火墙iptables
Chen的博客
08-20 164
背景 防火墙就是通过定义一些有顺序的规则,并管理进入到网络内的主机数据数据包的一种机制,更广义的来说,只要能够分析与过滤进出我们管理的网络的数据包的数据,就是防火墙Linux的数据包过滤软件:iptables,这个防火墙软件里面有多个表格(table),每个表格都定义出自己的默认策略与规则,且每个表格的用途都不相同。 使用uname -r 追踪内核版本。 iptables规则:规则是有顺序的。...
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
LINUXIPTABLES防火墙的基本使用教程
01-20
这里可以使用Linux防火墙netfilter的用户态工具 iptables有4种表:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个表可以配置多个链: * 对于filter来讲一般只能做在3个...
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
linux环境下防火墙 iptables的安装包rpm
10-14
linux环境下防火墙 iptables的安装包rpm,linux环境下防火墙 iptables的安装包rpm
Iptables防火墙策略
Liu_Fang_Hong的博客
06-14 1144
Linux 系统的防火墙——netfilter/iptablesIP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
iptables网络服务的搭建和配置
weixin_33910759的博客
01-12 78
 第一部分:理论 一.   什么是iptables? iptableslinux的非常重要的一个组件,它的主要作用是包过滤,即防火墙的功能。 二.   在哪里可能用到iptables ? 企业当iptables实现路由器或防火墙企业当linux作为服务器操作系统IDC机房的服务器。 三.   为什么要用iptables 成本低。用公司里淘汰的电脑做一台路由器,...
linuxiptables防火墙
weixin_55609813的博客
05-25 288
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络型防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
Linux防火墙设置黑白名单
YHJ
06-14 5774
本章内容基于CentOS6.5(32位) 切换到root用户 只有root账号可以查看防火墙,所以要先切换到root用户 su root 然后输入root账号的密码,就可以成功切换到root用户 查看Linux防火墙状态 service iptables status 如果控制台打印出以上字符,说明防火墙还未开启 查看防火墙配置文件 cat /etc/sysconfig/iptables 开启防火墙 service iptables start 这时候再次查看防火墙状态,
iptables nat及端口映射
精诚所至
02-27 1万+
iptables 应用初探(nat+三层访问控制)iptables 是一个Linux 下优秀的nat +防火墙工具,我使用该工具以较低配置的传统pc 配置了一个灵活强劲的防火墙+nat系统, 小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables 同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅。首先要...
iptables防火墙与NAT服务
herostarone的专栏
08-05 9102
iptables防火墙与NAT服务 一.防火墙的概述 1.简介 (1)设置在不同的网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性 (2)通过审查经过每一个数据包,判断它是否有相匹配的过滤规则,根据规则先后顺序一一进行比较,直到满足其的一条规则为止,然后依据控制机制做出相应的动作,若都不能满足,则将数据包丢弃,从而保护网络安全。 (3)可以是一台路由器,也可以是一台
iptables实现NAT
u012315717的专栏
08-19 1034
1 执行以下命令操作: echo 1 > /proc/sys/net/
防火墙 iptables(二)-------------SNAT与DNAT搭建
最新发布
zzzxxx520369的博客
02-17 1232
内网主机通过网关服务器的SNAT转换实现访问外网不经过nat的地址为PC1(centos1)自己的地址,使用虚拟机环境才会出现这种情况,市场环境是不通的。经过nat之后的地址是公司的公网ip地址,由网关服务器iptables规则SNAT实现。
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
掌握Linux防火墙Iptables:详解配置与实战教程
IptablesLinux系统一个强大的防火墙工具,掌握它的基本概念、安装过程和规则设置是提高网络安全性的重要步骤。随着Linux系统的发展,Iptables的功能和配置选项也在不断更新,持续学习和实践是保持熟悉的关键。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值