iptables防火墙

最新推荐文章于 2024-07-06 16:00:29 发布
最新推荐文章于 2024-07-06 16:00:29 发布
阅读量190 收藏
点赞数
分类专栏: linux防火墙 文章标签: iptables linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tomorrow__nice/article/details/107820678
版权

iptables防火墙

rawmanglefilternat
PREROUTINGOUTPUTINPUTPOSTROUTING
OUTPUTINPUTOUTPUTPREROUTING
FORWARDFORWARDOUTPUT
POSTROUTING
PREROUTING

iptables命令

  1. -t <表名>,不加该参数默认filter表

  2. -A <链名>,向该链中追加
    -I <链名>,向该链中某一位置插入规则,不加数字默认插入成第一条
    -P <链名>,设置某个链的默认规则 (如:iptables -t filter -P INPUT DROP filter表中INPUT链默认规则为拒绝)
    -R <链名>,替换一条规则
    -D <链名>,删除某一条规则(1.按号码:iptables -t filter -D INPUT 3 删除第三条 ;2.按规则:iptables -t filter -D INPUT -s 192.168.1.0/24 -j DROP 删除这条规则)
    -F <链名>,清空某一链的规则
    -L <链名>,列出某一链的规则(v:显示详细信息,包括每条规则的匹配包数量和匹配字节数;x:在 v 的基础上,禁止自动单位换算(K、M);n:只显示 IP 地址和端口号码,不显示域名和服务名称)

  3. -i 流量进入网口名称
    -o 流量出去网口名称

  4. -s 源地址 (主机:-s 192.168.10.10 或者 网段 :-s 192.168.10.0/24 )
    -d 目的地址 (主机:-s 192.168.16.10;网段:-s192.168.16.0/24;域名:www.baidu.com)

  5. -p 协议类型

    • tcp
    • udp
    • icmp
      –icmp-type 0 或 8 (0:代表回来的icmp;8:代表出去的icmp)(用来设置自己ping通别人,别人ping不通自己)

  6. –sport 源端口

    • –sport 3000 匹配3000端口
    • –sport 3000:4000 匹配3000-4000端口(包含3000和4000)
    • –sport 3000: 匹配大于3000的端口(包含3000)
    • –sport :3000 匹配小于3000的端口(包含3000)
      –dport 目的端口(同上)
      –sport、–dport 必须联合 -p 使用,必须指明协议类型是什么

  7. -j

    • ACCEPT 允许通过
    • DROP 拒绝通过
    • SNAT 源地址转换;nat表中POSTROUTING链;后面加–to 主机或地址池(–to 1.1.1.1 或 --to 1.1.1.1-1.1.1.6)
    • DNAT 目的地址转换;nat 表的 PREROUTING 链;–to 主机/地址池/某一端口(–to 1.1.1.1 或 --to 1.1.1.1-1.1.1.6 或–to 1.1.1.1:80)
    • MASQUERADE 地址伪装;一般出口网卡的ip是动态获取的,无法静态获取,所以用动态获取;( iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE)

iptables模块

  1. 按包状态匹配(stat)
    在这里插入图片描述

    • NEW 表示新连接状态的第一个包(如上图)
    • ESTABLISHED 状态已经连接(ack=1如上图)
    • RELATED (ftp服务器)
      ftp正常使用防火墙设置:
        iptables -t filter -I FORWARD -s 192.168.2.0/24 -p tcp --dport 21 -o ens33 -j ACCEPT
    iptables -t filter -A FORWARD -m --state ESTABLISHED,RELATED -j ACCEPT
    modprobe ip_nat_ftp    #ftp的内核模块
    • INVALID 如果一个包没有办法被识别 这个包没有任何状态这个包就是INVALID
    • UNTRACKED 报文状态未untracked时,表示报文未被追踪,当报文的状态为Untracked时通常无法找到相关连接证明当前报文是否是回应之前发出的报文----只要报文是RELATED 和 ESTABLISHED 都算当前的

  2. 按来源MAC匹配(Mac):报文经过路由后,数据包中原有的 mac 信息会被替换,所以在路由后的 iptables 中使用 mac 模块是没有意义的

    iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx -j DROP

  3. 按包速率匹配(limit):limit 英语上看是限制的意思,但实际上只是按一定速率去匹配而已,要想限制的话后面要再跟一条DROP

     iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s   -j ACCEPT
 iptables -A FORWARD -d 192.168.0.1 -j DROP

  4. 多端口匹配(multiport):一次性匹配多个端口,可以区分源端口,目的端口或不指定端口

     iptables -A INPUT -p tcp -m multiport --dports 21,22,25,80,110 -j ACCEPT
 //必须与 -p 参数一起使用

iptables保存和开启

Debian/Ubuntu: iptables-save > /etc/iptables/rules.v4

iptables保存和开启

Debian/Ubuntu: iptables-save > /etc/iptables/rules.v4
RHEL/CentOS: iptables-save > /etc/sysconfig/iptables

tomorrow__nice
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 常用使用命令
hietech的博客
08-28 9007
iptables 使用三个不同的链来允许或阻止流量:输入(input)、输出(output)和转发(forward)
Linux 防火墙开放特定端口 (iptables
weixin_44260459的博客
02-09 2万+
查看状态: iptables -L -n 下面添加对特定端口开放的方法: 使用iptables开放如下端口 /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT 保存 /etc/rc.d/init.d/iptables save 重启服务 service iptables restart 查看需要打开的端口是否生效? /etc/init.d/iptables status 法2: 或直接编辑/etc/sysconfig/iptables -A INPUT
iptables基础知识详解
热门推荐
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -&gt; Tables -&g...
iptables防火墙总结
weixin_45190065的博客
08-31 1万+
最全iptables防火墙总结
iptables 防火墙配置
来日可期的博客
09-15 3782
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器和网络免受潜在的安全威胁。
Iptables防火墙策略详解
qq_42941888的博客
03-04 2639
Iptables防火墙策略详解 一、iptables Linux 系统的防火墙——netfilter/iptables IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables 关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则
iptables防火墙配置
weixin_45948376的博客
11-23 6579
实验 iptables防火墙配置 实验的目的 熟悉防火墙的基本原理。 熟悉包过滤防火墙的测试。 实验内容 1)学习Linux防火墙的基本架构 2)学习IPtable的基本原理 3)学习IPtable的使用方法 实验环境 1)虚拟机:Linux主机 2)宿主机:Windows客户端 实验原理 防火墙会按照从上到下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
iptables防火墙应用指南
05-31
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
iptables防火墙加固任务
04-23
iptables防火墙加固任务,制订了一套iptables防火墙加固任务
正式邀测! OS Copilot——一款基于大模型构建的 Linux 智能操作系统助手
weixin_60347558的博客
07-02 523
重塑操作系统交互新体验,开启您的智能化系统管理之旅
Linux存储管理I
m0_54563444的博客
07-03 774
主要知识点: 基本分区、逻辑卷LVM、EXT3/4/XFS文件系统、RAID。
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
最新发布
a15735748145a的博客
07-06 384
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
Linux--V4L2摄像头驱动框架及UVC浅析
qq_47258284的博客
07-04 912
对于一个usb摄像头,它的内核驱动源码位于/drivers/media/usb/uvc/核心层:V4L2_dev.c文件硬件相关层: uvc_driver.c文件本篇记录基于对6.8.8.8内核下vivid-core.c文件(虚拟视频驱动程序)的分析,梳理Linux系统中vedio视频设备的驱动框架。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值