linux:iptables (4) 命令行操练(二)

已于 2023-04-02 17:59:18 修改
阅读量716 收藏 2
点赞数
分类专栏: 计算机网络 文章标签: linux 网络 服务器 iptables
于 2023-04-02 12:39:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shunzi2016/article/details/129904794
版权
文章展示了如何使用iptables进行网络流量控制,包括允许特定TCP端口连接,按IP地址和端口分组管理,禁止或启用本地回环地址,设置黑白名单以及通过字符串匹配阻断连接。示例中详细列出了iptables命令的用法。
摘要由CSDN通过智能技术生成

目录

1.允许指定的tcp端口连接

2.对IP地址相同流量分组,不同端口进行控制

3.禁止或启用本地回环地址

 4.设置黑白名单,阻断全部端口并放开icmp的请求和回应

 5.匹配字符串阻断

 

1.允许指定的tcp端口连接

iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 2345 -j ACCEPT

2.对IP地址相同流量分组,不同端口进行控制

创建子链,进行更精细化的端口管理

iptables -N TCP_ACL_1
iptables -A INPUT -d 192.168.7.100 -j TCP_ACL_1
iptables -A TCP_ACL_1 -p tcp -m multiport --dport 80,8080,8000 -j DROP

[root@ovn-center ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.1.0/24       0.0.0.0/0            tcp dpt:2345
DROP       all  --  0.0.0.0/0            0.0.0.0/0
TCP_ACL    all  --  0.0.0.0/0            192.168.3.10
TCP_ACL_1  all  --  0.0.0.0/0            192.168.7.100

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain TCP_ACL (1 references)
target     prot opt source               destination

Chain TCP_ACL_1 (1 references)
target     prot opt source               destination
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 80,8080,8000

3.禁止或启用本地回环地址

iptables -A INPUT -i lo  -d 0.0.0.0/0 -j DROP

iptables -A OUTPUT -o lo -d 0.0.0.0/0 -j DROP

[root@ovn-center ~]# ping 127.0.0.1
PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
^C
--- 127.0.0.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1041ms

iptables -D INPUT -i lo -d 0.0.0.0/0 -j DROP
iptables -D OUTPUT 1

当清理掉关于lo的阻断之后,仍然不通,继续看一下策略,发现仍然存在一个针对lo为入口的阻断策略,继续删除或者添加更前排的通过策略

 4.设置黑白名单,阻断全部端口并放开icmp的请求和回应

        A --> B 全不通,icmp 弄no ok,B-->A icmp访问ok,   A --> B icmp 访问ok 

iptables -A INPUT -p all -s 192.168.0.0/24 -j DROP
iptables -I INPUT -p icmp --icmp-type 8 -j ACCEPT

iptables -I INPUT -s 192.168.0.0/24 -p icmp --icmp-type 0 -j ACCEPT

 

 

 5.匹配字符串阻断

在未作字符匹配阻断之前

 进行iptables 字符串阻断

iptables -A INPUT -p tcp -m string --string "test" --algo kmp -j REJECT --reject-with tcp-reset

 再次尝试tcp发送字符,当发送指定字符时,服务端直接断掉连接,要求客户端重新建立链接

 

千码君2016
关注
专栏目录
Linux操作系统:IPTables
m0_51456787的博客
08-08 1173
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架"中,这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。netfilter才是防火墙真正的安全框架(framework),netfiter位于内核空间。iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。............
Linux操作系统下IPTables配置方法详解
潇湘无敌手个人天空
11-25 790
 如果你的IPTABLES基础知识还不了解,建议先去看看。 们来配置一个filter表的防火墙 1、查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy A
Linux命令-iptables
runqu的博客
03-22 687
iptables -t nat -A PREROUTING -i eno0(指定外网卡) -d 10.0.0.2 -p。-j DNAT(端口映射) --to-destination 172.25.10.2:80(指定内网卡ip和端口)iptables -t nat(设置nat) -A POSTROUTING(指定外网卡) -o eno0 -s。--dport [!// A ping B:不通----------B ping A:通。--to-source 10.0.0.2(指定外网卡的ip地址)
Linux学习---iptables
车前猛跑
09-13 403
-A 添加规则 -I 插入规则 -s 来源IP -D 删除规则 -P 设置默认规则 -n 查看详细信息(可以显示端口号) --line-number 显示序号 -L 显示规则列表 -F 清除规则 -p 指定协议 --dport 指定目标端口,要与-p配合使用 --sport 指定源端口 (当INPUT时,服务端是目标,客户端是源,当OUTPUT时,服务端是源,客户端是目标)
linux iptables设置
一米阳光
06-30 372
无论如何,iptables是一个需要特别谨慎设置的东西,万一服务器不在你身边,而你贸然设置导致无法SSH,那就等着被老板骂吧,呵呵。。。一下内容是为了防止这种情况发生而写的,当然很初级,不过一般服务器也够用了:1.首先介绍一下指令和相关配置文件启动指令:service iptables start 重启指令:service iptables restart 关闭指令:service iptabl
Linux服务器防火墙Iptables命令使用详解
热门推荐
han156的博客
11-05 3万+
iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加一条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用PREROUTING,也可以满足要求,但是如果用户的要求是让服务器提供转发功能,添加到PREROUTING链中,"转发"功能也将
LINUXIPTABLES配置详解
最新发布
eagle89的专栏
04-08 2720
LINUXIPTABLES配置详解
linux两堵墙之一:iptables
01-09
防火墙的作用 众所周知,相较于企业内网,外部的公网环境更加...我们要知道,iptables与firewalld都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙管理工具而已,或者说,它们只是一种服务。iptables服务会
Linux防火墙:iptables禁IP与解封IP常用命令.docx
10-29
Linux防火墙:iptables禁IP与解封IP常用命令.docx
详解Linux iptables 命令
09-15
Linux iptables命令是Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
docker 启动 failed to create NAT chain DOCKER: Iptables not found
记录学习生活的点滴(Linux运维、java)
04-01 7363
docker 启动时报错 Job for docker.service failed because the control process exited with error code. See "systemctl status docker.service" and "journalctl -xe" for details. 使用journalctl -fu docker 查看详细信息 ar 31 17:47:29 139.129.11.171 dockerd[8051]: Error star
iptables详解
wdt3385的专栏
12-25 5006
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
linux中i与i的区别吗,linuxiptables -A和-I选项之间的区别
weixin_42144366的博客
05-13 629
iptables -A在规则集的末尾附加规则,而iptables -I将规则插入规则集中的特定位置,如您所指出的那样.查看iptables的man条目显示:-I,–insert chain [rulenum] rule-specification Insert one or more rules in the selected chain as the given rule number. So,...
linux开启防火墙ping,如何在防火墙中放开ping
weixin_39987847的博客
05-12 1414
如何在防火墙中放开ping操作时需要注意的几项:1,注意iptables各版本间的区别我们的server os最旧的版本是redhat 7.3 kernel是2.4.20-18.7最新的server os最新的版本是centos 5, kernel是2.6.18-8差距很大iptables以模块形式运行在内核的空间,用lsmod可以看到所以它与内核的版本息息相关如何查看iptables各版本间命令...
iptables 控制 ping
不用此栏
02-02 4280
以root进入Linux系统,然后编辑文件icmp_echo_ignore_allvi /proc/sys/net/ipv4/icmp_echo_ignore_all将其值改为1后为禁止PING将其值改为0后为解除禁止PING上面的可以禁ping 但是你自己也无法ping别人完美方法 用iptables禁止如果要自己能ping人家,而人家不能ping你,可以:iptables -A
如何在防火墙中放开ping
最实用的Linux博客
10-31 7129
如何在防火墙中放开ping操作时需要注意的几项:1,注意iptables各版本间的区别  我们的server os最旧的版本是redhat 7.3 kernel是2.4.20-18.7  最新的server os最新的版本是centos 5, kernel是2.6.18-8  差距很大  iptables以模块形式运行在内核的空间,用lsmod可以看到  所以它与内核的版本息息相关
Linux iptables防火墙指定IP端口进行访问
daijianzhou的专栏
09-23 2973
iptables防火墙指定IP端口进行访问 第一种修改防火墙的方式 #首先关闭所有对80端口的访问 # iptables -I INPUT -p tcp --dport 80 -j DROP #开启某个IP对该电脑的某个端口进行访问 # iptables -I INPUT -s 192.168.1.1 -p tcp --dport 80 -j ACCEPT # iptables -I INPUT -s 192.168.1.2 -p tcp --dport 80 -j ACCEPT # 首先把防火墙配置文
iptables - 防火墙常用规则与使用方式记录
m0_51777056的博客
06-21 3266
iptables常用记录
Linux中的0.0.0.0和 ::
u010227042的博客
02-14 2249
127.0.0.1属于{127,}集合中的一个,所有的网络号为127的地址都被称为环回地址,所以环回地址不等价于127.0.0.1,后者只是环回地址的一份子,是包含关系,环回地址loop back。Local :访问端口的方式,0.0.0.0 是对外开放端口,说明80端口外面可以访问;用双冒号“::”表示一组0或多组连续的0,但只能出现一次,每项数字前导的0可以省略,省略后前导数字仍是0则继续。127.0.0.1是个环回地址,是IP,并不表示“本机”,0.0.0.0才是真正表示网路中的本地。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千码君2016

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值