Linux基础知识-防火墙iptables-2~19-08.17

最新推荐文章于 2022-07-21 19:23:37 发布
最新推荐文章于 2022-07-21 19:23:37 发布
阅读量296 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44717961/article/details/100086303
版权
3.9、常见端口端口:
  • 20 ftp数据端口
  • 21 FTP(文件传输)协议代理服务器常用端口号
  • 22 ssh端口
  • 23 Telnet(远程登录)协议代理服务器常用端口号
  • 25 邮件服务端口
  • 80/8080/3128/8081/9098 HTTP协议代理服务器常用端口号
  • 1080 SOCKS代理协议服务器常用端口号
3.10、基本、常用的匹配条件
  • -s匹配源地址、-d匹配目标地址,可以同时指定多个源地址,每个IP间用,隔开也可以指定一个网段
  • [root@localhost ~]# iptables -t filter -I INPUT -s 192.168.108.3,192.168.108.4 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -I INPUT -d 192.168.108.3,192.168.108.4 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -I INPUT -s 192.168.108.0/24 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -I INPUT -d 192.168.108.0/24 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -I INPUT ! -s 192.168.108.0/24 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -I INPUT ! -d 192.168.108.0/24 -j ACCEPT
  • -i匹配从哪个网卡接口流入本机,因为匹配条件只是用于匹配报文流入的网卡,所以在OUTPUT链与POSTROUTING链中不能使用
  • iptables -t filter -I INPUT -p icmp -i ens33 -j DROP
  • -o匹配报文将要从哪个网卡接口流出本机,在INPUT链与PREROUTING链中不能使用
  • iptables -t filter -I OUTPUT -P icmp -o ens33 -j DROP
  • 使用冒号指定一个连续的端口范围
  • iptables -t filter -I OUTPUT -d 192.168.108.3 -p tcp -m tcp --sport 22:80 -j REJECT
  • iptables -t filter -I OUTPUT -d 192.168.108.3 -p tcp -m tcp --sport :80 -j REJECT
  • iptables -t filter -I OUTPUT -d 192.168.108.3 -p tcp -m tcp --sport 22: -j REJECT
3.11、iptables之forward转发

实验原始环境

  • 主机A

  • IP(ens33):192.168.108.3

  • GATEWAY(ens33):192.168.108.2

  • 网卡模式(ens33):NET

  • 主机B

  • IP(eth0):192.168.108.5
    IP(eth1):192.168.163.5

  • GATEWAY(eth0):192.168.108.2
    GATEWAY(eth1):192.168.163.1

  • 网卡模式(eth0):NET
    网卡模式(eth1):host-only

  • 主机C

  • IP(ens33):192.168.163.4

  • GATEWAY(ens33):192.168.163.5

  • 网卡模式(ens33):host-only
    内网网段:192.168.163.0
    外网网段:192.168.108.0

  • 实验1

  • 在主机A上新增一条路由,主机A访问192.168.163.0网段都发送给主机B的eth0往卡上
    [root@localhost ~]# route add -net 192.168.163.0/24 gw 192.168.108.5

  • 查看新增路由规则
    [root@localhost ~]# route -n
    Kernel IP routing table
    Destination Gateway Genmask Flags Metric Ref Use Iface
    0.0.0.0 192.168.108.2 0.0.0.0 UG 100 0 0 ens33
    192.168.108.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33
    192.168.163.0 192.168.108.5 255.255.255.0 UG 0 0 0 ens33

  • [root@localhost ~]# ping 192.168.163.5
    PING 192.168.163.5 (192.168.163.5) 56(84) bytes of data.
    64 bytes from 192.168.163.5: icmp_seq=1 ttl=64 time=0.278 ms
    64 bytes from 192.168.163.5: icmp_seq=2 ttl=64 time=0.184 ms
    64 bytes from 192.168.163.5: icmp_seq=3 ttl=64 time=0.218 ms
    ^C
    — 192.168.163.5 ping statistics —
    3 packets transmitted, 3 received, 0% packet loss, time 2001ms
    rtt min/avg/max/mdev = 0.184/0.226/0.278/0.042 ms

  • [root@localhost ~]# ping 192.168.163.4
    PING 192.168.163.4(192.168.163.4) 56(84) bytes of data.
    发现192.168.163.5可以ping通,而192.168.163.4ping不通

  • 临时打开主机B的转发功能
    [root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
    0
    [root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
    [root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
    1

  • 使转发功能永久生效
    [root@CentOS6 ~]# vi /etc/sysctl.conf
    将net.ipv4.ip_forward = 0改为net.ipv4.ip_forward = 1

  • [root@localhost ~]# ping 192.168.163.4
    PING 192.168.163.4 (192.168.163.4) 56(84) bytes of data.
    64 bytes from 192.168.163.4: icmp_seq=1 ttl=64 time=0.278 ms
    64 bytes from 192.168.163.4: icmp_seq=2 ttl=64 time=0.184 ms
    64 bytes from 192.168.163.4: icmp_seq=3 ttl=64 time=0.218 ms
    ^C
    — 192.168.163.4 ping statistics —
    3 packets transmitted, 3 received, 0% packet loss, time 2001ms
    rtt min/avg/max/mdev = 0.184/0.226/0.278/0.042 ms

  • 实验2

  • 打开主机A和主机C的apache服务

  • 主机A上输入
    [root@localhost htdocs]# echo “I am a outnet”>/usr/local/apache/htdocs/index.html
    [root@localhost htdocs]# cat index.html
    I am a outnet
    [root@localhost htdocs]# systemctl status httpd
    ● httpd.service - (null)
    Loaded: loaded (/etc/rc.d/init.d/httpd; bad; vendor preset: disabled)
    Active: active (running) …

  • 主机B上输入
    [root@localhost htdocs]# echo “I am a innet”>/usr/local/apache/htdocs/index.html
    [root@localhost htdocs]# cat index.html
    I am a innet
    [root@localhost htdocs]# systemctl status httpd
    ● httpd.service - (null)
    Loaded: loaded (/etc/rc.d/init.d/httpd; bad; vendor preset: disabled)
    Active: active (running) …

  • 配置主机C的访问规则,允许内网主机C可以访问外网主机A的web服务,并且有防火墙后需要考虑的是双向通讯。
    [root@localhost ~]# iptables -I FORWARD -s 192.168.163.0/24 -p tcp --dport 80 -j ACCEPT
    [root@localhost ~]# iptables -I FORWARD -d 192.168.163.0/24 -p tcp --sport 80 -j ACCEPT
    [root@localhost ~]# curl 192.168.108.3
    I am a outnet

  • 配置主机A同理

  • 实验3

  • 使用state模块,这样只需考虑请求方即可(清除之前所加规则)
    [root@localhost ~]# iptables -I FORWARD -s 192.168.163.0/24 -p tcp --dport 80 -j ACCEPT
    [root@localhost ~]# iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    [root@localhost ~]# curl 192.168.108.3
    I am a outnet

  • 实验总结

  • 使用iptables作为防火墙,iptables所在主机开启核心转发功能,以便能够转发报文

  • 使用cat /proc/sys/net/ipv4/ip_forward命令查看当前主机是否已经开启了核心转发功能,0表示未开启,1表示已开启

  • 临时开启核心转发功能,重启网络配置后失效
    echo 1 > /proc/sys/net/ipv4/ip_forward
    sysctl -w net.ipv4.ip_forward=1

  • 永久开启核心转发功能
    vim /etc/sysctl.conf
    将net.ipv4.ip_forward设置为1

3.12、创建自定义

  • 创建自定义IN_WEB
    [root@localhost ~]# iptables -t filter -N IN_WEB
  • 自定义链添加规则,拒绝来自192.168.108.3/5的请求
    [root@localhost ~]# iptables -t filter -I IN_WEB -s 192.168.108.3 -j REJECT
    [root@localhost ~]# iptables -I IN_WEB -s 192.168.108.5 -j REJECT
  • 在默认链中引用自定义链
    [root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j IN_WEB
  • 此时通过192.168.108.3访问apache,已无法访问
  • 将自定义链IN_WEB重命名为WEB
    [root@localhost ~]# iptables -E IN_WEB WEB
  • 删除引用计数为0并且不包含任何规则的WEB链,删除自定义链需满足两个条件,自定义链没有被引用,自定义链中没有任何规则
    [root@localhost ~]# iptables -X WEB
★☆★☆★☆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
TCP网络端口解释(1-9535)
柴火【足迹 奔跑 飞翔】
08-25 5405
0=Reserved1=tcpmux2=compressnet3=compressnet4=Unassigned5=Remote Job Entr6=Unassigned7=Echo8=Unassigned9=Discard10=Unassigned11=Active Users12=Unassigned13=Daytime14=Unassigned15=Unassigned16=Unassign
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
计算机网络基础--IP地址与子网划分
wwwlyj123321的博客
01-22 1万+
一、IP地址的表示方法 IP地址由四段组成,每个字段是一个字节,8bit,最大值是255。 IP地址由两部分组成,即网络地址和主机地址。网络地址表示其属于互联网的哪一个网络,主机地址表示其属于该网络中的哪一台主机。二者是主从关系。 IPv4的地址长度为32位,共4个字节,但实际中我们用点分十进制记法。 问:为啥要有网络位呢? 有了网络地址,就可以限定拥有相同网络地址的终端都在同一个范围内,那么路由表只需要维护这个网络地址的方向,就可以找到相应的终端了(这些终端)。 如果不分网络位和主机.
xxljob使用docker部署以及项目使用
卷心菜投手
06-14 9381
搭建步骤: https://github.com/xuxueli/xxl-job/blob/master/doc/XXL-JOB%E5%AE%98%E6%96%B9%E6%96%87%E6%A1%A3.md 解决方法: https://www.cnblogs.com/flasheryu/p/5919657.html // 此时可以访问 http://192.168.108.3:9056/xxl-job-admin
Linux虚拟网络设备之tun/tap
weixin_33753003的博客
04-30 383
在现在的云时代,到处都是虚拟机和容器,它们背后的网络管理都离不开虚拟网络设备,所以了解虚拟网络设备有利于我们更好的理解云时代的网络结构。从本篇开始,将介绍Linux下的虚拟网络设备。 虚拟设备和物理设备的区别 在Linux网络数据包的接收过程和数据包的发送过程这两篇文章中,介绍了数据包的收发流程,知道了Linux内核中有一个网络设备管理层...
iptables forward DNAT转发
神之天佑
07-25 4146
1.环境:(3台) [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core)  client           192.168.157.41 iptables       192.168.157.42 server          192.168.157.43 2.关掉firewalld(3...
Linux--防火墙iptables基本命令、常用端口的开放/阻止/删除
热门推荐
JustinQin
10-24 4万+
【学习背景】​ Linux CentOS 6.5版本以前,默认防的火墙是iptables,CentOS6.5版本及以后版本,防火墙都由iptables升级为了firewall,不过底层还是基于iptables的指令,因此还是有必要了解了解。 本文主要介绍iptables的基本命令以及如何开放和阻止iptables防火墙常用端口,如22、80、8080、3306等常用端口号。 目录一、iptables安装二、iptables基本操作2.1 防火墙服务2.2 systemctl基本命令2.3 service
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5048
本文介绍Linuxiptables命令的用法。
linux使用中的问题 --- (防火墙iptables -F)
LizequaNNN的博客
08-13 1万+
还记得第一次敲出HelloWorld时的兴奋吗 我们在虚拟机上面开启项目服务的时候,在Windows上面访问项目服务地址很可能是访问不到的,这时候有几个步骤要试探一下。 网络不通,先ping一下:ping ip地址 如果ping不通,设置一下防火墙iptables -F systemctl stop firewalld 第一个是取消防火墙,第二个是关闭防火墙,这时候应该能访问得到虚拟机的地址了。 最后一步,永久关闭防火墙。 systemctl disable firewalld 设置开机不.
理论: Linux-防火墙iptables)基础
CSDN著名博主
08-05 1816
目录一、Linux防火墙基础1.1 Linux包过滤防火墙概述-11.2 Linux包过滤防火墙概述-21.3 iptables的表、链结构-11.4 iptables的表、链结构-21.5 iptables的表、链结构-31.6 数据包过滤的匹配流程-11.7 数据包过滤的匹配流程-2二、编写防火墙规则2.1 iptables 安装2.2 iptables的基本语法-12.3 iptables的基本语法-22.4 iptables的管理选项-12.5 iptables的管理选项-22.6 iptab
linux centos iptables-config,iptables的安装和配置【Centos7】
weixin_32211243的博客
05-16 1740
Centos7默认是使用firewall作为防火墙,但大部分人习惯使用iptables。一.关闭firewall# 查看firewall状态$ systemctl status firewalld# 停止firewall$ systemctl stop firewalld.service# 禁止firewall开机启动$ systemctl disable firewalld.service二....
Linux基础课件-iptables安装与启动.pptx
11-02
本文主要讲解了Linux操作系统中的iptables安装、启动、停止以及配置保存的相关知识。iptables是一款在Linux系统中用于实现包过滤和网络地址转换的工具,它允许用户定义一系列规则来控制网络流量。 首先,我们需要...
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
"Linux 防火墙 Netfilter-iptables 扩展机制及应用研究" 本文主要研究了 Linux 防火墙 Netfilter-iptables 扩展机制及应用,旨在解决 Linux 防火墙的扩展性和维护性问题。论文首先分析了 Linux 2.4 内核的 ...
Linux基础课件-iptables配置.pptx
11-02
Linux操作系统基础
Linux安全应用-iptables防火墙.pptx
12-02
Linux安全应用-iptables防火墙.pptx
Java软件开发实战 Java基础与案例开发详解 19-7 综合示例 共10页.pdf
最新发布
07-07
完整版:https://download.csdn.net/download/qq_27595745/89522468 【课程大纲】 1-1 什么是java 1-2 认识java语言 1-3 java平台的体系结构 1-4 java SE环境安装和配置 2-1 java程序简介 2-2 计算机中的程序 2-3 java程序 2-4 java类库组织结构和文档 2-5 java虚拟机简介 2-6 java的垃圾回收器 2-7 java上机练习 3-1 java语言基础入门 3-2 数据的分类 3-3 标识符、关键字和常量 3-4 运算符 3-5 表达式 3-6 顺序结构和选择结构 3-7 循环语句 3-8 跳转语句 3-9 MyEclipse工具介绍 3-10 java基础知识章节练习 4-1 一维数组 4-2 数组应用 4-3 多维数组 4-4 排序算法 4-5 增强for循环 4-6 数组和排序算法章节练习 5-0 抽象和封装 5-1 面向过程的设计思想 5-2 面向对象的设计思想 5-3 抽象 5-4 封装 5-5 属性 5-6 方法的定义 5-7 this关键字 5-8 javaBean 5-9 包 package 5-10 抽象和封装章节练习 6-0 继承和多态 6-1 继承 6-2 object类 6-3 多态 6-4 访问修饰符 6-5 static修饰符 6-6 final修饰符 6-7 abstract修饰符 6-8 接口 6-9 继承和多态 章节练习 7-1 面向对象的分析与设计简介 7-2 对象模型建立 7-3 类之间的关系 7-4 软件的可维护与复用设计原则 7-5 面向对象的设计与分析 章节练习 8-1 内部类与包装器 8-2 对象包装器 8-3 装箱和拆箱 8-4 练习题 9-1 常用类介绍 9-2 StringBuffer和String Builder类 9-3 Rintime类的使用 9-4 日期类简介 9-5 java程序国际化的实现 9-6 Random类和Math类 9-7 枚举 9-8 练习题 10-1 java异常处理 10-2 认识异常 10-3 使用try和catch捕获异常 10-4 使用throw和throws引发异常 10-5 finally关键字 10-6 getMessage和printStackTrace方法 10-7 异常分类 10-8 自定义异常类 10-9 练习题 11-1 Java集合框架和泛型机制 11-2 Collection接口 11-3 Set接口实现类 11-4 List接口实现类 11-5 Map接口 11-6 Collections类 11-7 泛型概述 11-8 练习题 12-1 多线程 12-2 线程的生命周期 12-3 线程的调度和优先级 12-4 线程的同步 12-5 集合类的同步问题 12-6 用Timer类调度任务 12-7 练习题 13-1 Java IO 13-2 Java IO原理 13-3 流类的结构 13-4 文件流 13-5 缓冲流 13-6 转换流 13-7 数据流 13-8 打印流 13-9 对象流 13-10 随机存取文件流 13-11 zip文件流 13-12 练习题 14-1 图形用户界面设计 14-2 事件处理机制 14-3 AWT常用组件 14-4 swing简介 14-5 可视化开发swing组件 14-6 声音的播放和处理 14-7 2D图形的绘制 14-8 练习题 15-1 反射 15-2 使用Java反射机制 15-3 反射与动态代理 15-4 练习题 16-1 Java标注 16-2 JDK内置的基本标注类型 16-3 自定义标注类型 16-4 对标注进行标注 16-5 利用反射获取标注信息 16-6 练习题 17-1 顶目实战1-单机版五子棋游戏 17-2 总体设计 17-3 代码实现 17-4 程序的运行与发布 17-5 手动生成可执行JAR文件 17-6 练习题 18-1 Java数据库编程 18-2 JDBC类和接口 18-3 JDBC操作SQL 18-4 JDBC基本示例 18-5 JDBC应用示例 18-6 练习题 19-1 。。。
100款古风PPT (60)(1).pptx
07-06
【ppt素材】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
DS18B20 - 数字温度传感器
07-07
DS18B20是一种数字温度传感器,被广泛应用于各种温度监测和控制系统中。它基于单总线协议,具有数字输出和高精度的温度测量能力。以下是对DS18B20的详细介绍: DS18B20采用了数字温度传感器技术,可以准确测量环境温度并将结果以数字形式输出。它的工作原理基于温度导致的半导体材料电阻值的变化。DS18B20内部集成了温度传感器、模数转换器和单总线接口电路,使得它在一个小型封装中实现了高度集成和功能完整性。 DS18B20的特点之一是其数字输出和单总线接口。它使用单总线协议进行通信,只需要一条数据线连接到主控设备,简化了连接和布线。通过发送特定的指令和接收传感器的响应,主控设备可以读取温度值并进行相应的处理和控制操作。 DS18B20具有高精度的温度测量能力。它可以在范围从-55°C到+125°C内测量温度,并具有0.5°C的温度分辨率。此外,它还具有温度报警功能,可以在温度达到预设阈值时触发警报,提供温度监测和控制的实时反馈。 DS18B20在各种应用中都得到了广泛应用。它适用于温度监测和控制系统,如室内温度监测、恒温控制、温度报警系统等。它还可以用于工业自动化、气象站、电
si2302中文资料-数据手册-参数.pdf
07-06
对MOS的应用和参数做了详细的说明附带测试数据
linux防火墙iptables配置
08-09
2. 安装iptablesiptables-services: ``` yum -y install iptables iptables-services ``` 3. 启动iptables服务: ``` systemctl start iptables.service ``` 这样,您就成功配置了Linux防火墙iptables。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值