学习如何使用iptables命令配置防火墙安全策略

最新推荐文章于 2024-09-23 10:22:04 发布
最新推荐文章于 2024-09-23 10:22:04 发布
阅读量1.8k 收藏 7
点赞数
文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45364825/article/details/128550992
版权

学习目标:

  • 理解策略及规则链
  • 理解并记忆基本的命令参数
  • 学会根据需求编写安全策略

学习内容:

  1. 防火墙会按照从上到下的顺序来读取配置的策略规则。iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,如下:
    PREROUTING在进行路由选择前处理数据包
    INPUT处理流入的数据包
    OUTPUT处理流出的数据包
    FORWARD处理转发的数据包
    POSTROUTING在进行路由选择后处理数据包

  2. 除了需要知道以上规则外,还需要学会使用iptables服务的术语,如下表

    ACCEPT允许流量通过
    REJECT拒绝流量通过
    LOG记录日志信息
    DROP拒绝流量通过

  3. 基本的命令参数,如下表:

    参数作用
    -P设置默认策略
    -F清空规则链
    -L查看规则链
    -A在规则链的末尾加上新规则
    -I num在规则链的头部加上新规则
    -D num删除某一条规则
    -s匹配来源地址IP/MASK,加“!”表示除这个IP地址外
    -d匹配目标地址
    -i 网卡名称匹配从这块网卡流入的数据
    -o 网卡名称匹配从这块网卡流出的数据
    -p匹配协议,如TCP、ICMP等
    --dport num匹配目标端口号
    --sport num匹配源端口号

实验输出:

实验一:将INPUT规则链设置为只允许指定网段的主机(192.168.10.0/24)访问本机的22端口,拒绝来自其他所有主机的流量。

        请注意:规则链INPUT是大写,其参数-I也是大写;动作REJECT也是大写,其参数-j是小写。

[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT  //22端口是ssh服务
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.10.0/24      anywhere             tcp dpt:ssh
REJECT     tcp  --  anywhere             anywhere             tcp dpt:ssh reject-with icmp-port-unreachable

实验二:向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则。

        请注意:这里是协议参数要写出TCP以及UDP协议。

[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 12345 -j REJECT
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 12345 -j REJECT 
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination     
REJECT     tcp  --  anywhere             anywhere             tcp dpt:italk reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere             udp dpt:italk reject-with icmp-port-unreachable

实验三:向INPUT规则链中添加拒绝192.168.10.5主机访问本机80端口的策略规则。

[root@linuxprobe ~]# iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  192.168.10.5         anywhere             tcp dpt:http reject-with icmp-port-unreachable

实验四: 向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则。

        请注意:如何表示1000~1024这其中的端口呢,可以这样表示---1000:1024,中间用冒号分隔。

[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT 
[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1000:1024 -j REJECT 
[root@linuxprobe ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     tcp  --  anywhere             anywhere             tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable
REJECT     udp  --  anywhere             anywhere             udp dpts:cadlock2:1024 reject-with icmp-port-unreachable

实验五:从上面的四个实验,大家对iptables命令的使用肯定是有相当的理解了,但是请注意,iptables配置的命令在下一次重启时就会失效了,如果想让防火墙策略永久生效,记得执行保存命令“iptables-save”

[root@linuxprobe ~]# iptables-save
# Generated by xtables-save v1.8.2 on Sat Jan  7 00:22:54 2023
*filter

学习小结:

        我个人认为需要掌握如INPUT、OUTPUT、FORWARD这三种规则链,同时相应的处理动作ACCEPT、REJECT、DROP也需要理解清楚,记住他们在策略命令中是大写的。同时有一个很重要的就是对常用的参数一定要熟记会用!!

兜王的打手
关注
Centos7.9_hadoop集群下配置防火墙_安全部署_防火墙配置_端口配置_协议配置_IP配置_全部亲测---记录022_大数据工作笔记0182
添柴程序猿的专栏
07-24 1560
这个时候如果你配置防火墙,如果扫描机的IP被屏蔽掉了,或者对应的端口被屏蔽掉了那么对我们来说,漏洞就扫描不到了,其实,除了系统本身的软防火墙,还有网闸,等待安全设备,可以保证内网的安全.在我们平时搭建大数据平台的时候,由于防火墙的限制,会让搭建集群的时候,报各种错误,但是,有些网络环境要求比较严格的地方,防火墙又要求必须要放开,尤其是..5.直接放开某个IP可以访问,本机所有端口,这样比较方便,因为有时候不知道有些开源软件内部还用到了哪些端口,如果一个个端口放开就比较麻烦。这里说一下防火墙配置.
Iptables防火墙策略
Liu_Fang_Hong的博客
06-14 1224
Linux 系统的防火墙——netfilter/iptablesIP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
Iptables防火墙策略详解
Iands。的博客
02-24 989
一、iptables Linux 系统的防火墙——netfilter/iptables IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables 关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables
防火墙详解(三)华为防火墙基础安全策略配置命令配置
最新发布
Richardlygo的博客
09-23 1万+
原文链接:https://blog.csdn.net/qq_46254436/article/details/105397534。注意防火墙默认不允许所有流量通过所以未配置安全策略时都不能通信。Trust区域可以主动访问Untrust区域,但是反之不行。PC2 与 服务器 查看是否能通,发现可以,证明配置成功。untrust区域和trust区域都可以访问DMZ区域。内网用户可以访问外网用户,但是外网用户不能访问内网用户。外网用户和内网用户都可以访问公司服务器配置完成之后可以通过。查看接口IP等信息。
Linux安全防火墙iptables配置策略
qq_53058639的博客
06-01 2559
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux操作系统下IPTables配置方法详解
weixin_34128501的博客
07-25 688
如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (po...
iptables防火墙策略学习
x202231的博客
04-12 470
Linux防火墙有两种分别是iptables和firewalld,在centos7之前centos用的防火墙iptables,自从centos7过后防火墙使用就从iptables变成了firewalld。防火墙的作用是根据系统管理员设定的规则来控制数据的包的进出,今天我们来重点介绍iptables防火墙
IPtables防火墙配置
qq_48644092的博客
01-02 851
一、IPtables介绍 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制 netfilter:内核态,即不以文件和形式存在(kernal apace)的防火墙。–是实现防火墙的功能 iptables:用户态,在/sbin/iptables存在(User space)的防火墙。操作上二者没有区分。 用户和内核交互的一个工具就是ipt
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
### 一键配置CentOS iptables防火墙Shell脚本解析 #### 概述 本文将详细介绍一个用于一键配置CentOS系统中的iptables防火墙的Shell脚本。该脚本可以帮助用户简化新装系统的iptables配置过程,使其更加高效且易于...
iptables防火墙使用的策略
weixin_55609813的博客
05-26 363
iptables防火墙的两种策略SNTA策略SNAT概述开启路由转发功能,但未设置地址转换开启路由转发功能,并设置SNAT地址转换SNAT应用 SNTA策略 SNAT概述 因为当前ipv4协议支持的可以IP地址资源已严重不足,企业以不足以支持太多的公网IP的费用, 这时我们就可以使用通过SNTA策略,解决局域网共享上网的问题。 而使用SNAT是会出现两种情况 开启路由转发功能,但未设置地址转换 这时数据包经过网关转发后其源地址没有进行改变,对方主机接受到该数据包时,不能够进行正确的返回,进而导致访问的失败
iptables防火墙策略
cxx2637969257的博客
12-16 441
环境: foundation1     172.25.1.250    172.25.254.1 server1             172.25.1.1 server2             172.25.1.2 server3             172.25.1.3 四个主机都做解析 iptables简介: netfilter/iptables(简称为iptables...
iptables配置防火墙策略
C_0010的博客
05-08 442
使用iptables配置防火墙规则
防火墙策略之iptables
sumin1118的博客
05-31 345
############################ #########   iptables   ########## ############################ iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Lin
Linux运维学习:中级进阶(5)——iptables安全策略构建
qq_23474611的博客
03-28 900
说明 什么是iptables,常用人员有哪些? iptables是常见于Linux系统下的应用层防火墙工具,是Linux内核集成的IP信息包过滤系统。如果linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则系统有利于在linux系统上更好地控制IP信息包过滤和防火墙配置。 常用人员:系统管理人员、网络工程人员,安全人员。 压力测 1.目标机器:192.168.1.51 ...
防火墙接口,安全策略网页命令配置
kanxingxingdemao的博客
02-01 521
接口配置到zone 时,接口所连接的网段都属于这个zone了,但这个接口还属于local 网页版 把接口加入到zone里, 查看zone有哪些接口 **接口上默认开启service-manage,这个里面的服务不开启就不能使用,**g1/0/6口想要用ping 命令,就必须开启ping.然后在配置安全策略。这个就是网页版接口配置里的启用访问管理,默认开启,想要那个服务就勾上。 安全策略,网页版 现在,接口加入了区域,且接口放行了服务,安全策略放行了服务,路由通的情况下,就可以pi...
Linux iptables防火墙:构建安全网络策略
理解并正确配置这两个模块对于构建安全策略至关重要。 2. "五大注意":iptables的规则链分为PREROUTING(数据包进入内部网络前)、FORWARD(数据包在内部网络间传递)、POSTROUTING(数据包离开内部网络后)、INPUT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值