Linux 防火墙安装与配置

最新推荐文章于 2024-05-12 20:59:01 发布
最新推荐文章于 2024-05-12 20:59:01 发布
阅读量888 收藏
点赞数 3
分类专栏: 应急响应 网络 Java 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tryheart/article/details/107072953
版权
网络 同时被 3 个专栏收录
28 篇文章 20 订阅
订阅专栏
Java
23 篇文章 3 订阅
订阅专栏
应急响应
5 篇文章 1 订阅
订阅专栏

iptables 构建防火墙应用

IPtables 不是真正的防火墙,netfilter 才是防火墙真正的安全框架。iptables 其实是一个命令行工具,位于用户空间,能用这个工具操作真正的框架。
iptables 中有5张表
filter表:iptables 中使用最广泛的表,作用是进行过滤主机的数据包,也是由filter 表来决定一个数据包是否继续发往目的地地址或者被拒绝。
nat表:用于网络地址转换,可以改变数据包的源地址或者目的地址。
input——forward——output
output,负责发出去的数据包
perrouting 在数据包达到防火墙时进行判断,改变目的地址
postrouting 在数据包离开防火墙时,进行路由判断之后的判断的规则,改变源地址
nat表:用于望楼地址转换,可以改变数据包的源地址或者目标地址

mangle表:用于修改IP的头部信息,如修改ttl

raw表:为iptables提供了一种不经过状态追踪的机制,在大流量对外业务的服务器上使用这个表,可以避免状态追踪带来的性能问题。

security表:提供在数据包中加入SELinux特性的功能。在实际应用中,security一般不常用。

在centos7下安装防火墙

首先查看防火墙是否存在
输入 services iptables status
如果找不到得自己下载配置
1、停止 firewalld 服务
systemctl stop filrewalld
禁止 firewalld 服务
systemctl mask filrewalld
2、安装 iptables
yum install -y iptables
升级 iptables
yum update iptables
3、检查是否安装完成
systemctl status iptables
ok fine

iptables 常用规则

iptables -L -n :查看现有的规则

iptables -P INPUT ACCEPT:允许所有(在配置时,先允许)

iptables -F:清空所有默认规则

iptables -X:清空所有自定义规则

iptables -Z:所有计数器归0

iptables -A INPUT -i lo -j ACCEPT:允许来自于lo接口的数据包(本地访问)

iptables -A INPUT -p tcp --dport 22 -j ACCEPT:开放22端口(远程链接linux端口)

iptables -A INPUT -p tcp --dport 21 -j ACCEPT:开放21端口(FTP端口)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT:开放80端口(HTTP端口)

iptables -A INPUT -p tcp --dport 443 -j ACCEPT:开放443端口(HTTPS端口)

iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT:允许ping

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT:允许接受本机请求之后的返回数据related,是为ftp设置的

iptables -P INPUT DROP:其他入站一律丢弃

iptables -P OUTPUT ACCEPT:所有出站都允许

iptables -P FORWARD DROP:所有转发一律丢弃

iptables -A INPUT -p tcp -s 45.96.174.68 -j ACCEPT:添加内网ip信息(接受所有TCP)请求

iptables -P INPUT DROP:过滤所有非以上规则的请求

iptables -I INPUT -s .***.***. -j ACCEPT:封停该ip

iptables -D INPUT -s .***.***. -j DROP :解封该ip

实际生产中,iptables常用的命令配置

iptables -F:清除所有规则

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1-j ACCEPT:允许某些调用localhost应用访问。

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT:允许其他地方ping

iptables -A INPUT -p cmp --icmp-type fragmentation-needed -j ACCEPT :允许从其他主机/网络设备发送MTU调整报文

iptables -A INPUT -p tcp --dport 80 -j ACCEPT:开放80端口(HTTP端口)

iptables -A INPUT -p tcp --dport 443 -j ACCEPT:开放443端口(HTTPS端口)

iptables -A INPUT -p tcp -s 10.0.1.17 --dport 22 -j ACCEPT:仅允许内网10.0.1.17,通过tcp访问22端口。

iptables -A INPUT -p udp -s 10.0.1.17 --dport 161 -j ACCEPT:仅允许内网10.0.1.17,通过UDP访问161端口。

iptables -A INPUT -j DROP:禁止非开放白名单流量进入。

iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT:允许本机响应规则为01-08的数据包发出

iptables -A OUTPUT -j DROP:禁止本机主动发出外部链接,可以有效的防止类似“反弹shell”的攻击

iptables -A FORWARD -j DROP:禁止本机转发数据包

重启服务

当我们配置完成后,需要保存命令并重启iptables服务,启动服务通过如下命令:

service iptables save :保存命令

systemctl enable iptables.service:注册iptables服务

systenctl start iptables.service:开启服务

systemctl status iptables .service:查看状态

systemctl restart iptables.service:重启防火墙

网络地址转换

在实际工作中,iptables还经常用于网络地址转换(NAT),通过网络地址转换,可以有效的减少直接部署公网IP地址的服务器数量,增强网络环境的完全性。

源地址转换:

1.在Server B上指定其网络默认网关是Server A的内网地址(10.128.70.112)

2.在Server A上启动路由功能。

sysctl -w net.ipv4.ip_forward=1 改servicesB的网关

3.在Server A上设置iptables规则。

iptables -t filter -A FORWARD -j ACCEPT 过滤数据

iptables -t nat -A POSTROUTING -o enth 0 -j SNAT -to 220.217.143.73 桥接servicesA里的网关

通过上述三步操作,Server B将会通过Server A访问互联网,此时在互联网上看到的源地址是Server A的外网IP。

目标地址转换:

目标地址转换用于外部用户直接访问无外网IP的服务器,例如:外部用户希望访问Server B上的MySQL数据库,端口3306,那么在Server A上可以进行如下配置:

iptables -t nat -A PREROUTING -d 220.217.143.73 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 10.128.70.111:3306

DNAT 目的网络地址,重写目的IP地址。从外网进来转发到B上去。

iptables -t nat -A POSTROUTING -d 10.128.70.111 -p tcp -m tcp --dport 3306 -j SANT --to-source 10.128.70.112

SNAT 让本地IP地址伪装其他IP地址。 从B上出来,转发到A上去。

常见参数说明

这里,我们先对iptables的常用参数进行说明:

需要注意的是,Linux是个严格区分大小写的系统,所以所有命令,也需要严格遵循大小写。

在这里插入图片描述在这里插入图片描述

tcp wrappers 构建应用访问控制列表

通过ldd命令来查看是否调用了libwrap 库

ldd /usr/sbin/sshd |grep libwarp
cd /usr/sbin
无连接时配置、etc/hosts.allow 限制SSHD 的访问

利用DenyHosts 防止暴力破解

通过DenyHosts 下载安装

wegt ‘https://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz/download’ -O DenyHosts-2.6.tar.gz

下载完解压

tar zxvf DenyHosts-2.6.tar.gz

解压后进入安装目录,通过Python对服务进行安装

cd DenyHosts-2.6
python setup.py install

安装完后对目录进行配置

cd /usr/share/denyhosts

列出文件后复制一下
cp daemon-control-dist daemon-control
cp danyhosts.cfg-dist denyhosts.cfg
创建连接并启动
ln daemon-control /etc/init.d
/etc/init.d/daemon-control start

星辰流炎
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux防火墙配置
weixin_41038905的博客
03-08 4941
** 简介 ** 简单来说Netfilter管网络,selinux管本地。SELinux则可以理解为是作为Linux文件权限控制(即我们知道的rwx)的补充存在的 1、iptables是Linux下功能强大的应用层防火墙工具。iptables是用于设置防火墙,防范来自网络的入侵和实现网络地址转发、QoS等功能。说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个...
Linux防火墙及其配置.ppt
11-16
Linux防火墙及其配置.ppt
m0n0防火墙安装(11)
yyj1781572的博客
02-17 987
m0n0wall是一项针对建立一个完整的、嵌入式的防火墙软件包的计划,该软件包可以安装 于嵌入式 PC 里, 提供所有商业防火墙的重要特性(包括易用性),而且价格只有商业防火墙几分之一(自由软件)。
ubuntu防火墙安装和设置-ufw
热门推荐
bigwood99的博客
08-20 1万+
ubuntu防火墙使用的是iptables。 为了简化iptables设置,ubuntu提供了一个名为ufw的工具。 本文主要介绍ufw使用方法。 如果ufw没有安装,那么可以使用如下命令安装: sudo apt-get install ufw 安装完毕使用如下命令开启防火墙: sudo ufw enable 防火墙开启后,使用如下命令,设置一个缺省策略: sudo ufw default deny 这个缺省策略是默认拒绝一切请求。如果没有需要开放服务,那么这样就可以放心用了。 不过实际
Linux系统中配置防火墙
最新发布
cheagoun的博客
05-12 441
开启Firewall防火墙后,默认情况下,只有本机可以访问本机的容器和应用。
linux设置iptables防火墙
rmoleo的博客
09-19 681
linux 设置iptables 防火墙
如何配置Linux防火墙
2301_78316833的博客
08-30 703
记住,防火墙是一个重要的安全工具,它可以帮助保护你的系统免受网络攻击。因此,确保你按照正确的步骤进行配置,并定期检查你的防火墙规则以确保它们是最新的。如果你希望让外部网络通过你的Linux系统访问另一个内部系统,你可以配置端口转发。例如,如果你有一个运行在内部网络上的Web服务器,并且你希望让外部网络能够访问该服务器,你可以配置端口转发。简单地说,防火墙是一个安全系统,它监控来自外部网络的数据,并根据预设的规则允许或拒绝数据流。除了基本的防火墙配置,还有一些额外的步骤可以帮助你更好地保护你的系统。
Linux系统如何修改防火墙配置
09-14
主要介绍了Linux系统如何修改防火墙配置,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Linux防火墙的使用配置
10-22
Linux防火墙的使用与配置 访问Linux中的Tomcat,打开8080和80端口
Linux防火墙配置实例
01-09
 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。 IPTABLES的设置情况  iptables -L -n  删除已有规则  iptables -F  屏蔽指定ip 有时候我们发现某个ip不停的往服务器发包,这时我们...
Linux防火墙配置入门.pdf
09-06
Linux防火墙配置入门.pdf
Linux(centos7)安装防火墙firewalld及开放端口相关命令
老油条
04-08 1723
-permanent:永久生效;(如果没有此参数,则只能维持当前服务生命周期内,重新启动后失效;重启(添加/关闭端口后,需要重启才能生效)
Linux防火墙firewall
weixin_53123302的博客
02-08 572
Linux中的firewalld
Linux防火墙FireWalld的笔记
蒋劲豪的博客
11-16 109
netstat -tuln 查询Linux暴露的端口。
Linux防火墙安装与配置
Littleliuing的博客
07-01 1313
Linux防火墙安装与配置流程 一、iptables构建防火墙应用 步骤如下 1、service iptables status 检查是否安装了iptables 2、systemctl stop firewalld 关闭Linux默认防火墙firewalld 3、systemctl mask firewa...
ubuntu防火墙安装和配置
kinglyjn的博客
12-12 747
安装sudo apt-get install ufw 一般用户,只需如下设置: sudo apt-get install ufw sudo ufw enable sudo ufw default deny 以上三条命令已经足够安全了,如果你需要开放某些服务,再使用sudo ufw allow开启。启用sudo ufw enable sudo ufw default deny #运行以上
安装配置iptables防火墙,查看防火墙规则、匹配条件规则
ai_hanghang的博客
06-05 5538
安装配置iptables防火墙 安装配置iptables防火墙 1)安装iptables防火墙服务 [root@centos01 ~]# yum -y install iptables iptables-services 2)启动iptables服务设置开机自动启动 [root@centos01 ~]# systemctl start iptables.service [root@centos01 ~]# systemctl enable iptables.service 3)拒绝ping命令入站 [roo
linux防火墙配置
weixin_65845327的博客
05-17 1891
更改网卡所属区域#firewall-cmd --zone=public --change-interface=ens32。把网卡分配给区域#firewall-cmd --zone=public --add-interface=ens32。查看指定网卡所在区域#firewall-cmd --get-zone-of-interface=ens32。查看防火墙默认区域名#firewall-cmd --get-default-zone。关闭防火墙开机启动# systemctl disable firewalld。
Linux服务器安装手册-v1.0.doc
10-15
在Oracle的安装与配置部分,手册提供了修改Linux内核参数、创建Oracle用户和用户组、设定安装目录、上传和解压安装文件等操作指南。此外,还特别提到了解决中文乱码问题、运行安装向导、设置访问权限、开启防火墙...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值