Linux系统安全之iptables防火墙

最新推荐文章于 2025-04-17 17:18:12 发布
最新推荐文章于 2025-04-17 17:18:12 发布
阅读量3.3k 收藏 30
点赞数 29
文章标签: linux 系统安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rmh0713/article/details/135972277
版权

目录

一、iptables防火墙的基本介绍

1、netfile与iptables的关系

1.1netfile

1.2iptables

1.3iptables是基于内核的防火墙,其中内置了raw,mangle,nat和filter四个规则表

2、iptables防火墙默认规则表,链结构

二、iptables的四表五链

1、四表

2、五链

3、四表五链总结

3.1规则链之间的匹配顺序

3.2规则链内的匹配顺序

三、iptables的配置

1、iptables的安装

2、iptables防火墙的配置

四、添加,查看,删除规则

1、查看(filter)表中的所有链iptables-L

2、使用数字形式(fliter)表所有链 查看输出结果iptables -nL

3、清空表中所有链iptables -t filter -F

4、添加一条规则可以使用i或者A来添加

①不允许其他主机ping本机,给响应信息REJECT,ping所使用的协议为icmp

②不允许其他主机ping本机,不给相应信息,ping是icmp协议的

5、插入规则

6、删除规则

①按照行号删除

②按照内容删除

7、设置默认新规则

8、修改规则

五、规则匹配

1、通用匹配

2、隐含匹配

①端口

②icmp类型匹配

3、显式匹配

①多端口匹配

②ip范围匹配

③mac地址匹配

④状态匹配

一、iptables防火墙的基本介绍

Linux系统的防火墙:ip信息包过滤系统,它实际上是由两个组件netfile和iptables组成。

主要工作在网络层,针对ip数据包。体现在对包内的ip地址端口协议等信息上的处理。

1、netfile与iptables的关系

1.1netfile

①位于Linux内核中的包,过滤功能体系

②称为Linux防火墙的“内核态”(内核空间)

③是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则。

1.2iptables

①位于/sbin/iptables

②用来管理防火墙规则的工具称为Linux防火墙的“用户态”

③它使插入,修改和删除数据包过滤表中的规则变得容易

1.3iptables是基于内核的防火墙,其中内置了raw,mangle,nat和filter四个规则表

表中所有的规则配置后,立即生效,不需要重启服务。

2、iptables防火墙默认规则表,链结构

iptable由五个表table和五个链chain以及一些规则组成:

数据包到达防火墙时,规则表之间的优先顺序:raw>mangle>nat>filter

二、iptables的四表五链

1、四表

raw表:确定是否对该数据包进行状态跟踪

mangle表:为数据包设置标记

nat表:负责网络地址转换,用来修改数据包中的源,目标ip地址或端口

filter表:负责过滤数据包,确定是否放行该数据包

2、五链

INPUT:处理入站数据包,匹配目标ip为本机的数据包

OUTPUT:处理出战数据包,一般不在此锌上,做配置

FORWARD:处理转发数据包,匹配流经本机的数据包

PREROUNTING:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的ip和端口映射到路由器的外网ip和端口上

POSTROUTING:在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网ip地址来上网。

3、四表五链总结

规则表的作用:容纳各种规则链

规则链的作用:容纳各种防火墙规则

表里有链,链里有规则

3.1规则链之间的匹配顺序

①入站数据(来自外界的数据包,且目标地址是防火墙本机):PREROUNTING-->INPUT-->本机的应用程序。

②出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序-->OUTPUT-->POSTROUTING网络型防火墙

③转发数据(需要经过防火墙转发的数据包):PREROUTING-->FORWARD-->POSTROUTING

3.2规则链内的匹配顺序

①自上而下按顺序依次进行检查,找到相匹配的规则就停止。(log策略例外,表示记录相关日志)

②若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)

三、iptables的配置

1、iptables的安装

centos7默认使用firewall防火墙,没有默认安装iptables,若想使用iptables防火墙。必须先关闭firewall防火墙,再安装iptables。

systemctl stop firewalld. service				关闭firewalld防火墙
systemctl disable firewalld. service			取消firewalld防火墙开机自启动
yum -y install iptables iptables-services		安装iptables和iptables-services
systemctl start iptables.service				启动iptables-services

2、iptables防火墙的配置

①使用图像化来管理system-config-firewall(centos6)

②使用iptables命令来进行管理

命令格式:
iptables  [-t 表名]  管理选项  [链名] [匹配条件] [-j 控制类型]

注意事项:

不指定表名时,默认指filter表

不知名链名时,默认指表内的所有链

除非设置链的默认策略,否则必须指定匹配条件

选项,链名,控制类型使用大写字母,其余都为小写

常用控制类型:

控制类型 作用
ACCEPT 允许数据包通过(默认)
DROP 直接丢弃数据包,不给出任何回应信息
REJECT 拒绝数据包通过,会给数据发送端一个响应信息
SNAT 修改数据包的源地址
DNAT 修改数据包的目的地址
MASQUERADE 伪装成一个非固定公网IP地址
LOG 在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包

常用管理选项:

管理选项 作用
-A 在指定链的末尾追加(--append)
最低0.47元/天 解锁文章
iptables防火墙
jcrhl321的博客
05-01 1889
一、iptables防火墙概述 Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 netfilter: 位于linux内核中的防火墙功能体系 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: 属于“用户态”(User Space, 又称为用户空间) 的防火墙管理体系 是一种用来管理Linux防火墙..
Linux安全防火墙iptables配置策略
qq_53058639的博客
06-01 2954
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables 防火墙
2501_91344566的博客
04-17 1136
Linux 系统中,iptables 作为一款强大的防火墙工具,因其高度的灵活性和强大的功能,被广泛用于保护服务器免受未经授权的访问和恶意攻击。iptables 不仅能够在网络层对 TCP/IP 数据包进行精细的过滤和限制,还能够通过其复杂的规则系统实现多种网络策略。
Linuxiptables防火墙
ruocheng6的博客
02-16 593
1、Linux防火墙基础 iptables的表、链结构 数据包控制的匹配流程 2、编写防火墙规则 基本语法、控制类型 添加、查看、删除规则 规则的匹配条件 1、Linux防火墙基础 (1)Linux包过滤防火墙概述 ■netfilter ●位于Linux内核中的包过滤功能体系 ●称为Linux防火墙的“内核态” ■iptables ●位于/sbin/iptables,用来管理防火墙规则的工具 ●称为Linux防火墙的“用户态” —上述2种称呼都可以表示Linux防火墙(此防.
Linux系统管理】Iptables防火墙规则详解:四表五链配置与实战案例分析
04-13
内容概要:本文档深入介绍了Linux系统中iptables防火墙的基础知识与应用技巧。首先讲解了iptables的安装步骤,包括关闭selinux和firewalld服务,确保系统环境对iptables的支持。接着阐述了iptables的架构体系,详细...
系统安全iptables防火墙
EsDeath_99的博客
06-17 1188
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
Linux安全【iptables防火墙
m0_61187759的博客
05-21 994
iptables
Linux iptables 设置
热门推荐
风过无声
06-20 2万+
编辑 /etc/sysconfig/iptables然后运行 /sbin/service iptables restart 防火墙规则只有在 iptables 服务运行的时候才能被激活。要手工启动服务,使用以下命令: /sbin/service iptables restart
Linux系统:iptables 防火墙
十七拾的博客
02-18 3323
本文详细介绍了Linux防火墙iptables工具,详细阐释了iptables的五表五链、及其相关操作,希望对你有帮助!
iptable防火墙
12-13
IP tables防火墙的详细见解,描述了IPtables防火墙的使用和作用
Linux 防火墙iptables
最新发布
2301_80839375的博客
04-17 1608
定义:防火墙是位于网络边界的安全屏障,通过预定义规则控制进出网络的流量。核心功能访问控制:允许或拒绝特定流量(如 IP、端口、协议)。网络地址转换(NAT):隐藏内部网络结构,实现 IP/端口映射。流量监控:记录网络活动,检测异常行为(如 DDoS 攻击)。防御攻击:阻止恶意流量(如 SYN Flood、ICMP 洪水)。
Linux防火墙配置(iptables, firewalld)
weixin_30896825的博客
02-03 241
netfilter和底层实现 iptables firealld Linux中的防火墙 RHEL中有几种防火墙共存: iptables firewalld ip6tables ebtables 这些软件本身其实并不具备防火墙功能,他们的作用都是在用户空间中管理和维护规则,只不过规则结构和使用方法不一样罢了,真正利用规则进行过滤是由内核的netfilter完成...
Linux——iptables防火墙
nwp0611的博客
06-01 1601
Linux系统的防火墙:IP信息包过滤系统,它实际上由两个net filter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
Linux(CentOS)下,防火墙iptables配置
山不在高,有金则名
07-09 2310
防火墙配置信息,保存在文件中:/etc/sysconfig/iptables
Linux iptables防火墙:构建安全网络策略
iptables防火墙Linux系统中用于网络访问控制的一种内核级防火墙机制,它是基于netfilter网络架构实现的,主要用于在网络层对数据包进行筛选和管理,以确保网络安全。"包过滤"技术的核心是检查数据包的五元组,包括...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值