iptablese防火墙 单机

最新推荐文章于 2022-07-21 19:23:37 发布
最新推荐文章于 2022-07-21 19:23:37 发布
阅读量317 收藏
点赞数
文章标签: linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45637155/article/details/108684859
版权
本文详细介绍了iptables防火墙的规则配置与优化实践,包括安全放行已建立的连接,谨慎处理新请求,规则排序与合并,设置默认策略等。强调了规则优先级和业务需求的重要性,并提供了具体的操作示例,如拒绝特定IP、端口和协议,以及如何管理与查看规则。
摘要由CSDN通过智能技术生成

规则优化最佳实践

  1. 安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条,效率更高
  2. 谨慎放行入站的新请求
  3. 有特殊目的限制访问功能,要在放行规则之前加以拒绝
  4. 同类规则(访问同一应用,比如:http ),匹配范围小的放在前面,用于特殊处理
  5. 不同类的规则(访问不同应用,一个是http,另一个是mysql ),匹配范围大的放在前面,效率更 高
-s 10.0.0.6 -p tcp --dport 3306  -j REJECT 
-s 172.16.0.0/16 -p tcp --dport 80  -j REJECT
  1. 应该将那些可由一条规则能够描述的多个规则合并为一条,减少规则数量,提高检查效率
  2. 设置默认策略,建议白名单(只放行特定连接)
    iptables -P,不建议,容易出现“自杀现象”
    规则的后定义规则做为默认策略,推荐使用,放在后一条

注意:不要把自己远程禁用了 越上面优先级越高 把10.0.0.1设置为ACCEPT就不会被禁
iptables -A INPUT -J REJECT 没有明确允许的全部拒绝
iptables -P INPUT DROP(ACCEPT) 默认就是拒绝 (用iptables -F 清除了 建议不用)
iptables -A INPUT -s 是进
iptables -A OUTPUT -d 是出
iptables -DINPUT 1 删除第一条规则
iptables -R INPUT 2 -s 10.0.0.6 -j REJECT 替换把第二天替换为10.0.0.6
iptables -A INPUT -s 10.0.0.6 -j tcp REJECT 禁止10.0.0.6访问TCP协议(也可以写端口号)
iptables -A INPUT -i eth0 -j REJECT 禁止远端访问eth0

iptables -A INPUT -m state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -j REJECT 我可以ping通你,你不能ping通我

iptables -A INPUT -p icmp --icmp-type 8 -j REJECT 别人ping不同我,我可以ping通别人
iptables -A INPUT -s 10.0.0.6 -p tcp --dport 80 -j REJECT 拒绝端口80(调用模块是用-p -m)
iptables -I INPUT 3 10.0.0.6 -p TCP -m mnltiport --dports 80,442 -j ACCEPT 允许80,443端口访问
iptables -A OUTPUT -P -m string --algo bm --from 62 --string “goole” -j REJECT 拒绝访问有googe的(过滤敏感报文)

iptables -I INPUT 2 -s 10.0.0.6 -j REJECT 默认插入第一条
这个2加入就是插入第二条
iptables -t filter -A INPUT -s 10.0.0.7 -j DROP (拒绝 不会应)(A附加 s原地址)
ACCEPT(接收)
REJECT(拒绝 回应)
iptables -F 清除所有规则
iptables -F OUTPUT 清除OUTPUT规则
iptables -vnL --line-numbers 显示更加详细的内容(序号)
规则谁在前谁在后是业务决定的,访问量多的放在前面

查看类:
-L:list, 列出指定鏈上的所有规则,本选项须置后
-n:numberic,以数字格式显示地址和端口号
-v:verbose,详细信息
-vv 更详细
-x:exactly,显示计数器结果的精确值,而非单位转换后的易读值
–line-numbers:显示规则的序号
-S selected,以iptables-save 命令格式显示链上规则

规则管理类:
-A:append,追加
-I:insert, 插入,要指明插入至的规则编号,默认为第一条
-D:delete,删除
(1) 指明规则序号
(2) 指明规则本身
-R:replace,替换指定链上的指定规则编号
-F:flush,清空指定的规则链
-Z:zero,置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数
(2) 匹配到的所有报文的大小之和

环境准备

关闭firewalld防火墙规则(centos7,8)(关闭的意思是关闭系统默认的规则,用自己制定的规则)
systemctl disable firewalld
或者
systemctl enable --now firewalld

centos6
service iptables stop
chkconfig iptables off

查看防火墙规则
iptables -vnL (也可以只加-L 列出) filter表只支持3个表

[root@root ~]# iptables -vnL
Chain INPUT (policy ACCEPT 12 packets, 884 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 9 packets, 1068 bytes)
 pkts bytes target     prot opt in     out     source               destination

案例1
在centos8上安装httpd ,centos7进行访问 ,加防火墙规则禁止访问
80端口就是httpd centos7现在是可以访问的

[root@CentOS8 ~]# ss -ntl
State          Recv-Q          Send-Q                    Local Address:Port                     Peer Address:Port          
LISTEN         0               128                             0.0.0.0:22                            0.0.0.0:*             
LISTEN         0               128                                   *:80                                  *:*             
LISTEN         0               128                                [::]:22                               [::]:* 

[root@centos7 ~]# curl 10.0.0.8
hello panda`

在centos8添加规则拒绝centos7访问 (不明确拒绝就一直尝试登录)

[root@CentOS8 ~]# iptables -A INPUT -s 10.0.0.204 -j DROP

[root@CentOS8 ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       10.0.0.204             0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

在centos7上访问 (一直进不去)

[root@centos7 ~]# ping 10.0.0.8
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.

在centos8上清除规则,加入明确拒绝的规则

[root@CentOS8 ~]# iptables -F

[root@CentOS8 ~]# iptables -A INPUT -s 10.0.0.204 -j REJECT
[root@CentOS8 ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 0     0 REJECT     all  --  *      *       10.0.0.204           0.0.0.0/0             reject-with icmp-port-unreacha

centos7明确拒绝

[root@centos7 ~]# ping 10.0.0.8
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.
From 10.0.0.8 icmp_seq=1 Destination Port Unreachable
From 10.0.0.8 icmp_seq=2 Destination Port Unreachable

实例2
删除规则
在centos8中加入几个规则利用
iptables -iptables -vnL --line-numbers显示序号

[root@CentOS8 ~]# iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1       35  2940 REJECT     all  --  *      *       10.0.0.204           0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       10.0.0.6             0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       10.0.0.9             0.0.0.0/0            reject-with icmp-port-unreachable
4        0     0 REJECT     all  --  *      *       10.0.0.10            0.0.0.0/0            reject-with icmp-port-unreachable

删除序号1 (后面的规则自动补位)(连续删除两个1就是把序号1,2删除)

[root@CentOS8 ~]# iptables -DINPUT 1
[root@CentOS8 ~]# iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.0.0.6             0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       10.0.0.9             0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       10.0.0.10            0.0.0.0/0            reject-with icmp-port-unreachable

插入规则
使用 iptables -I INPUT 3 -s 10.0.0.100 -j REJECT 原本的3就变成了4

[root@CentOS8 ~]# iptables -vnL --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.0.0.6             0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       10.0.0.9             0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       10.0.0.10            0.0.0.0/0            reject-with icmp-port-unreachable

[root@CentOS8 ~]# iptables -vnL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.0.0.6             0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       10.0.0.9             0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       10.0.0.100           0.0.0.0/0            reject-with icmp-port-unreachable
4        0     0 REJECT     all  --  *      *       10.0.0.10            0.0.0.0/0            reject-with icmp-port-unreachable

替换
使用 iptables -R INPUT 2 -s 10.0.0.200 -j REJECT 把第二条规则换为了200

[root@CentOS8 ~]# iptables -vnL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.0.0.6             0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       10.0.0.9             0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       10.0.0.100           0.0.0.0/0            reject-with icmp-port-unreachable
4        0     0 REJECT     all  --  *      *       10.0.0.10            0.0.0.0/0            reject-with icmp-port-unreachable

[root@CentOS8 ~]# iptables -vnL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.0.0.6             0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       10.0.0.200           0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       10.0.0.100           0.0.0.0/0            reject-with icmp-port-unreachable
4        0     0 REJECT     all  --  *      *       10.0.0.10            0.0.0.0/0            reject-with icmp-port-unreachable

计数器清0
iptables -Z

[root@CentOS8 ~]# iptables -vnL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.0.0.200           0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       10.0.0.100           0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       10.0.0.10            0.0.0.0/0            reject-with icmp-port-unreachable
4       71  5964 REJECT     all  --  *      *       10.0.0.204           0.0.0.0/0            reject-with icmp-port-unreachable

204 有5000个数据报文
清除

[root@CentOS8 ~]# iptables -Z
[root@CentOS8 ~]# iptables -vnL --line-number
Chain INPUT (policy ACCEPT 6 packets, 364 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.0.0.200           0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       10.0.0.100           0.0.0.0/0            reject-with icmp-port-unreachable
3        0     0 REJECT     all  --  *      *       10.0.0.10            0.0.0.0/0            reject-with icmp-port-unreachable
4        0     0 REJECT     all  --  *      *       10.0.0.204           0.0.0.0/0            reject-with icmp-port-unreachable

不许出(10.0.0.6不能访问为,本机也不能访问6,只要是出去6的都不能)

[root@CentOS8 ~]# iptables -AOUTPUT -d 10.0.0.6 -j REJECT
[root@CentOS8 ~]# ping 10.0.0.6
PING 10.0.0.6 (10.0.0.6) 56(84) bytes of data.
From 10.0.0.8 icmp_seq=1 Destination Port Unreachable
ping: sendmsg: Operation not permitted
From 10.0.0.8 icmp_seq=2 Destination Port Unreachable
ping: sendmsg: Operation not permitted

[root@centos6 ~]# ping 10.0.0.8
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.

清除OUTPUT规则

iptables -F OUTPUT

state模块(可以跟踪状态)(重要)
调整连接追踪功能所能够容纳最大连接数量

cat /proc/sys/net/netfilter/nf_conntrack_max 
30720  #数值不要太小,不然会抛弃数据报文

老用户和正在连接的用户可以连接,新用户不行 (我可以ping通你,你不能ping通我)

iptables -A INPUT -m state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state NEW -j REJECT

[root@centos7 ~]# ping 10.0.0.8
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.
64 bytes from 10.0.0.8: icmp_seq=1 ttl=64 time=0.865 ms
64 bytes from 10.0.0.8: icmp_seq=2 ttl=64 time=0.398 ms
64 bytes from 10.0.0.8: icmp_seq=3 ttl=64 time=0.365 ms

[root@centos6 ~]# ping 10.0.0.8
PING 10.0.0.8 (10.0.0.8) 56(84) bytes of data.
From 10.0.0.8 icmp_seq=1 Destination Port Unreachable
From 10.0.0.8 icmp_seq=2 Destination Port Unreachable

查看连接功能

[root@CentOS8 ~]# cat /proc//net/nf_conntrack
ipv4     2 tcp      6 299 ESTABLISHED src=10.0.0.8 dst=10.0.0.1 sport=22 dport=57671 src=10.0.0.1 dst=10.0.0.8 sport=57671 dport=22 [ASSURED] mark=0 zone=0 use=2

iptables 开机权限是自动清除的,所以要加开机加载的权限(需要执行权限)
记得source一下文件

vi /etc/rc.local

第二种方法 适用于centos7.8

iptables-service >/etc/sysconfig/iptables
systemctl enable iptables.service

centos6

iptables-service >/etc/sysconfig/iptables
chkconfig --list iptables #开机自启
igcllq
关注
一文带你学懂iptables命令(含扩展命令)
临江仙我亦是行人
05-11 2577
1 iptables 用法说明 格式 iptables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification iptables [-t table] -D chain rulenum iptables [-t table] -S [chain
iptables命令详解和举例(完整版)
09-07 4万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
linux iptables 命令详解,Linux iptables命令详解
weixin_42299645的博客
04-29 467
iptables命令主要是设置防火墙信息的常见命令参数Usage: iptables -[AD] chain rule-specification [options]iptables -I chain [rulenum] rule-specification [options]iptables -R chain rulenum rule-specification [options]iptable...
iptables规则的查看、添加、删除和修改
WOOOLILI
09-18 630
这里只列出比较常用的参数,详细的man iptables 1、查看 iptables -nvL --line-number -L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数-n 不对ip地址进行查,加上这个参数显示速度会快很多-v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口–line-number 显示规则
linux iptables命令
mengzuchao的专栏
05-04 252
1. iptables --help2. 查看已添加的规则iptables -vnL  --line-numbers-v: verbose mode  详细模式-n: numeric output of addresses and ports   地址和端口的数字输出-L: List the rules in a chain or all chains  列出链或所有链中的规则--line-num...
iptables详解
Windeal
04-09 2319
基本概念防火墙Net-wall  Net-wall 即防火墙   简单地说,网络防火墙的作用就是对计算机流入或者流出的网络通信进行扫描处理。   防火墙提供了许多有用的功能,下面是一些例子:1. 过滤掉经过计算机的垃圾报文和攻击报文 2. 端口转发:外网PC通过端口转发可以访问内网PC 3. 限制特殊站点的访问 4. 限制特定流量的流出 ......防火墙的工作原理: 在内核表里生成一系列防火墙
iptables 使用详解
chengxuyuanyonghu的专栏
07-13 5573
iptables规则功能 filter表: filter主要和主机自身有关,主要负责防火墙功能 过滤本机流入流出的数据包是默认使用的表; input   :负责过滤所有目标地址是本机地址的数据包,就是过滤进入主机的数据包; forward  :负责转发流经主机但不进入本机的数据包,和NAT关系很大; output   :负责处理源地址的数据包,就是对本机发出的数据
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5416
本文介绍Linuxiptables命令的用法。
Iptables详解
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
iptables策略详解
qk的专栏
03-18 936
iptables策略详解 时间:2013-01-21 10:00来源:未知 编辑:admin 点击: 1819 次 iptables可用操作 (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP (3)
CentOS 7 开启 iptables
一直被模仿,从未被超越
06-28 9291
安装 netstat (CentOS 7 默认没有这个命令) yum install net-tools -y CentOS 7默认使用的是firewall作为防火墙 查看当前防火墙状态active (running) 表示开启运行中 systemctl status firewalld ● firewalld.service - firewalld - dynamic fir...
怎样关闭centos 6,7,8 iptables防火墙和关闭selinux
bosszch的博客
11-14 3094
无论做大项目还是大实验都要把环境提前搭好不然后面的好多项目和实验都会出错! 今天本菜和大家分享一下centos防火墙和selinux安全策略 centos6: service iptables stop 关闭停止 chkconfig iptabbles off 设置开机自动关闭 关闭selinux sed -ri ‘s/^SELINUX=enforcing/SELINUX=disabled/’ ...
CentOS7中使用iptables
菜鸟路上的小白
11-14 2万+
1、关闭firewall: systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、安装iptables防火墙 #安装 yum install iptables-services 编辑防火墙配置文件 vi /et...
CentOS 7.6 防火墙iptables详解及实例配置
shengjie87的博客
08-02 4808
.8.1.1 iptables 概述 netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 。 netfilter/iptables关系: netfilter组件也称为内核空间( kernelspace ) , 是内核的一-部分,由- -些信息包过滤表组成, 这些表包含内核用来控制信息包过滤处理的规则集。。 iptables组件是一种工具,也称为用户空间( userspace) ,它使插入、修改和除去信息包过 滤表中的规则变得容易。。 n
centOS 7.3 防火墙使用iptables
qq924795111的博客
05-26 2万+
         关键字: Linux  CentOS  firewall iptables                CentOS防火墙程序主要是firewall和iptablesCentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum  install  iptabes-services来安装。 说明:以下演示均在CentOS7中进行,其他版本...
linux系统中查看己设置iptables规则
热门推荐
chengxuyuanyonghu的专栏
07-13 18万+
1、iptables -L 查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。 说明:-L是--list的简写,作用是列出规则。 2、iptables -L [-t 表名] 只查看某个表的中的规则。 说明:表名一共有三个:filter,nat,m
iptables基础知识
chengxuyuanyonghu的专栏
07-13 4316
iptables由3个表filter,nat,mangle组成,主要实验了filter表,这个表是用来过滤数据包的, 有三个链INPUT,OUTPUT,FORWARD。 配置防火墙策略有固定的格式 Iptables  表名   链名    匹配条件  动作 -t 表名 (默认为filter) ​ -A 链名(在该链末尾append追加
centOS7离线安装iptables
探_无止境的博客
05-30 3437
众所周知,centOS7操作系统使用的防火墙是firewall,但是习惯了使用iptables的同学们还是对新的技术不太熟悉,由于时间关系也不想增加学习的成本,于是我把在centOS7上面安装使用iptables的过程记录下来,分享给大家,希望可以帮到你们。 1. 准备工作 查看iptables是否存在: 下载iptablesiptables-services下载地址:iptables-services-1.4.21-35.el7.x86_64.rpm iptables下载地址:iptables-1.
iptable防火墙命令个人整理
lhs4672的博客
04-01 1万+
Iptable防火墙介绍: 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 防火墙策略一般分为两种,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以通,是要全通,而堵,则是要选择。 内核空间中常用5个位置, 1.内核空间中:从一个网络接口进来,到另一个网络接口去的 2.数据包从内核
iptable--防火墙设置
03-07 449
1. filter 2. nat 3. Mangle 常用表的流程只有filter和nat,简化如下: =========================================================================== 命令参数详解 table表--->c...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值