学习如何使用iptables命令配置防火墙安全策略

最新推荐文章于 2024-05-06 21:35:19 发布
最新推荐文章于 2024-05-06 21:35:19 发布
阅读量1.7k 收藏 6
点赞数
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45364825/article/details/128550992
版权

学习目标:

  • 理解策略及规则链
  • 理解并记忆基本的命令参数
  • 学会根据需求编写安全策略

学习内容:

  1. 防火墙会按照从上到下的顺序来读取配置的策略规则。iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,如下:
    PREROUTING在进行路由选择前处理数据包
    INPUT处理流入的数据包
    OUTPUT处理流出的数据包
    FORWARD处理转发的数据包
    POSTROUTING在进行路由选择后处理数据包

  2. 除了需要知道以上规则外,还需要学会使用iptables服务的术语,如下表

    ACCEPT允许流量通过
    REJECT拒绝流量通过
    LOG记录日志信息
    DROP拒绝流量通过

  3. 基本的命令参数,如下表:

    参数作用
    -P设置默认策略
    -F清空规则链
    -L查看规则链
    -A在规则链的末尾加上新规则
    -I num在规则链的头部加上新规则
    -D num删除某一条规则
    -s匹配来源地址IP/MASK,加“!”表示除这个IP地址外
    -d匹配目标地址
    -i 网卡名称匹配从这块网卡流入的数据
    -o 网卡名称匹配从这块网卡流出的数据
    -p匹配协议,如TCP、ICMP等
    --dport num匹配目标端口号
    --sport num匹配源端口号

实验输出:

实验一:将INPUT规则链设置为只允许指定网段的主机(192.168.10.0/24)访问本机的22端口,拒绝来自其他所有主机的流量。

        请注意:规则链INPUT是大写,其参数-I也是大写;动作REJECT也是大写,其参数-j是小写。

[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT  //22端口是ssh服务
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.10.0/24      anywhere             tcp dpt:ssh
REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

实验二:向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则。

        请注意:这里是协议参数要写出TCP以及UDP协议。

[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 12345 -j REJECT 
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination     
REJECT     tcp  --  anywhere             anywhere             tcp dpt:italk reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere             udp dpt:italk reject-with icmp-port-unreachable

实验三:向INPUT规则链中添加拒绝192.168.10.5主机访问本机80端口的策略规则。

[root@linuxprobe ~]# iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  192.168.10.5         anywhere             tcp dpt:http reject-with icmp-port-unreachable

实验四: 向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则。

        请注意:如何表示1000~1024这其中的端口呢,可以这样表示---1000:1024,中间用冒号分隔。

[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT 
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT 
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere             tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere             udp dpts:cadlock2:1024 reject-with icmp-port-unreachable

实验五:从上面的四个实验,大家对iptables命令的使用肯定是有相当的理解了,但是请注意,iptables配置的命令在下一次重启时就会失效了,如果想让防火墙策略永久生效,记得执行保存命令“iptables-save”

[root@linuxprobe ~]# iptables-save
# Generated by xtables-save v1.8.2 on Sat Jan  7 00:22:54 2023
*filter

学习小结:

        我个人认为需要掌握如INPUT、OUTPUT、FORWARD这三种规则链,同时相应的处理动作ACCEPT、REJECT、DROP也需要理解清楚,记住他们在策略命令中是大写的。同时有一个很重要的就是对常用的参数一定要熟记会用!!

兜王的打手
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables 与firewalld 防火墙.docx
07-07
配置防火墙,需要使用以下命令:`firewall-cmd`。使用以下命令可以查看防火墙规则:`firewall-cmd --list-all`。 在 CentOS 7 中,可以使用以下命令设置 INPUT 规则的默认策略为拒绝:`firewall-cmd --set-...
Iptables防火墙策略
Liu_Fang_Hong的博客
06-14 1132
Linux 系统的防火墙——netfilter/iptablesIP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
Linux安全防火墙iptables配置策略
qq_51545656的博客
11-11 5473
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
LINUX】阿里云linux服务器使用iptables设置安全策略的方法_status=$(grep -i ubuntu etc issue)
最新发布
weixin_58152093的博客
05-06 563
由于作为web服务器使用,所以对外要开放 80 端口,另外肯定要通过ssh进行服务器管理,22 端口也要对外开放,当然最好是把ssh服务的默认端口改掉,在公网上会有很多人图破解密码的,如果修改端口,记得要把该端口对外开发,否则连不上就悲剧了。最后执行 service iptables save ,先确保ssh连接没有问题,防止规则错误,导致无法连上服务器,因为没有save,重启服务器规则都失效,否则就只有去机房才能修改规则了。最全的Linux教程,Linux从入门到精通。
iptables 防火墙设置】
DiKL_Y的博客
05-21 6734
iptables 防火墙的设置,网络的禁止进入和允许放通
iptables 防火墙配置
来日可期的博客
09-15 3809
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器和网络免受潜在的安全威胁。
解析iptables原里及设置规则
Mo小泽的技术博客
02-28 2522
其实在IT行业里了,不仅是专职的运维人员需要了解 iptables,开发、测等人员在了解系统架构,环境搭建等过程中也是需要多多少少对 iptables 进行简单的认识与了解的,这样才能在更快的了解架构,环境配置,才能在实际过程中出了问题能有效的排除网络防火墙等原因,iptables就是系统里的防火墙,所有数据的进入都是要经过iptables符合其一定的规则才能流入或流出。
阿里云Centos配置iptables防火墙.docx
11-01
阿里云CentOS配置iptables防火墙是一项重要的安全措施,尽管阿里云提供了云盾服务,但额外的防火墙层能提供额外的安全保障。以下是配置iptables防火墙的详细步骤: 1. **检查iptables服务状态**: 首先,通过运行`...
Nginx服务器基础的安全配置与一些安全使用提示
09-30
5. 使用防火墙(如iptables)来限制对Nginx服务器的访问,只开放必要的端口,如80和443。 6. 配置SSL/TLS证书以提供HTTPS加密连接,保护用户数据的传输安全。 7. 对Nginx配置进行详尽的审计,确保没有开放不必要的...
linux服务器基本安全配置手册
09-15
Linux服务器的基本安全配置是保障系统稳定运行和...以上这些措施只是基础安全配置的一部分,全面的安全策略还包括定期的安全评估、应用最佳实践、培训用户安全意识等。记住,安全是一个持续的过程,而非一次性的任务。
Linux服务器安全策略详解
04-13
启用防火墙(如`iptables`或`firewalld`)并配置规则,限制不必要的入站和出站流量。同时,禁用不必要的服务和端口,避免成为攻击面。 用户权限管理是另一关键环节。遵循最小权限原则,确保每个用户只有执行其工作...
iptables防火墙策略学习
x202231的博客
04-12 408
Linux防火墙有两种分别是iptables和firewalld,在centos7之前centos用的防火墙iptables,自从centos7过后防火墙使用就从iptables变成了firewalld。防火墙的作用是根据系统管理员设定的规则来控制数据的包的进出,今天我们来重点介绍iptables防火墙
iptables防火墙规则的添加、删除、修改、保存
ZuoQuDeBeiYing的博客
05-07 1万+
目录 摘要  一、查看规则集 二、配置默认规则 三、增加规则 四、删除规则 五、规则的保存 摘要  本文介绍iptables这个Linux下最强大的防火墙工具,包括配置iptables三个链条的默认规则、添加iptables规则、修改规则、删除规则等。 一、查看规则集 iptables --list -n // 加一个-n以数字形式显示IP和端口...
IPtables服务器配置与管理
wwxxss
11-18 1302
其中表是按照对数据包的操作区分的,链是按照不同的 Hook 点来区分的,表和链实际上是netilter的两个维度。4个表:flter,nat,mangle,raw,默认表是 filter(没有指定表的时候就是filter表)。filter:一般的过滤功能。Raw:优先级最高,设置raw时一般是为了不再让 iptables 做数据包的链接跟踪处理,提高性能。iptables -A INPUT -p icmp --icmp-type 8 -j DROP ,将添加的规则保存到文件中。查看iptables服务。
iptables访问策略
热门推荐
宁静而致远
08-15 2万+
iptables由3个表filter,nat,mangle组成,主要实验了filter表,这个表是用来过滤数据包的,有三个链INPUT,OUTPUT,FORWARD。 配置防火墙策略有固定的格式 Iptables  表名   链名    匹配条件  动作 -t 表名 (默认为filter) -A 链名(在该链末尾append追加策略) -I 链名 数字 -I (insert)插
防火墙安全策略
qq_57289939的博客
03-17 4615
目录防火墙安全策略实验图 1.配置防火墙图形界面 先添加UDP端口 添加网段网卡 启动防火墙FW1 查找防火墙 0/0/0 端口默认的IP地址 将地址与回环端口的地址改为同一网段 放行策略,RTPS协议 测 输入图形化界面的访问地址 登陆刚才设置的用户名以及密码 2.配置untrust区域 点击网络,进入接口 配置GE1/0/0接口
关于iptables的规则配置方法(笔记)
剁椒鱼头没剁椒的博客
02-08 9719
关于iptables的规则配置方法(笔记)
防火墙——iptables防火墙(四表五链、防火墙配置方法、匹配规则详解)
Axic123的博客
05-20 2800
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。
Linux操作系统下IPTables配置方法详解
weixin_34128501的博客
07-25 650
如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (po...
基于iptablesLinux防火墙配置实验结果图
06-06
很抱歉,作为一名AI语言模型,我无法提供实验结果图。但是,我可以为您提供一些关于基于iptablesLinux防火墙配置的基本信息,希望对您有所帮助。 1. iptablesLinux内核中的一个防火墙工具,它可以过滤网络流量、转发数据包、修改数据包头等操作。 2. iptables的规则由表(table)、链(chain)和规则(rule)三个概念组成。表指定要过滤的数据包类型,链定义过滤规则的位置,规则则指定具体的过滤行为。 3. 常用的iptables命令包括:iptables -L(列出当前规则)、iptables -A(添加一条规则)、iptables -D(删除一条规则)、iptables -P(设置默认策略)等。 4. 配置iptables防火墙时需要考虑网络拓扑结构、通信需求、安全策略等因素。常见的安全策略包括限制入站、限制出站、限制转发、限制特定协议等。 5. 配置iptables防火墙时需要注意规则的顺序、链的优先级、默认策略等因素。一般来说,建议先允许必要的流量,再禁止不必要的流量。 总之,iptables是一种强大的Linux防火墙工具,可以帮助保障系统的安全性。但是,配置iptables防火墙需要一定的技术知识和经验,建议在实际操作前进行充分的准备和测

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值