iptables--知识总结2

最新推荐文章于 2023-10-08 11:27:48 发布
最新推荐文章于 2023-10-08 11:27:48 发布
阅读量391 收藏
点赞数
分类专栏: Linux运维之道 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011456940/article/details/73800850
版权

iptables的显示扩展

1.multiport扩展
以离散方式定义多端口匹配;最多指定15个端口;

    [!] --source-ports,--sports port[,port|,port:port]...:指明多个源端口;
    [!] --destination-ports,--dports port[,port|,port:port]...:指明多个离散的目标端口;
    [!] --ports port[,port|,port:port]...

    ~]# iptables -I INPUT -s 172.16.0.0/16 -d 172.16.100.9 -p tcp -m multiport --dports 22,80 -j ACCEPT
    ~]# iptables -I OUTPUT -d 172.16.0.0/16 -s 172.16.100.9 -p tcp -m multiport --sports 22,80 -j ACCEPT
2.iprange扩展
指明连续的(但一般是不能扩展为整个网络)ip地址范围时使用;

    [!] --src-range from[-to]:指明连续的源IP地址范围;
    [!] --dst-range from[-to]:指明连续的目标IP地址范围;

    ~~]# iptables -I INPUT -d 172.16.100.9 -p tcp -m multiport --dports 22:23,80 -m iprange --src-range 172.16.100.1-172.16.100.120 -j ACCEPT
    ~]# iptables -I OUTPUT -s 172.16.100.9 -p tcp -m multiport --sports 22:23,80 -m iprange --dst-range 172.16.100.1-172.16.100.120 -j ACCEPT
3.string扩展
检查报文中出现的字符串;
    --algo {bm|kmp}
        bm = Boyer-Moore
        kmp = Knuth-Pratt-Morris
    [!] --string pattern

    ~]# iptables -I OUTPUT -m string --algo bm --string 'movie' -j REJECT
4.time扩展
~]# iptables -I INPUT -d 172.16.100.21 -p tcp --dport 80 -m time --timestart 00:00 --timestop 23:59 -j ACCEPT
5.connlimit扩展
根据每客户端IP(也可以是地址块)做并发连接数数量匹配;

    --connlimit-above n:连接的数量大于n
    --connlimit-upto n: 连接的数量小于等于n
6.limit扩展
基于收发报文的速率做检查;

    令牌桶过滤器

    --limit rate[/second|/minute|/hour|/day]速率限制
    --limit-burst number  空闲时传输峰值

    ~]# iptables -A INPUT -d 172.16.100.21 -p icmp --icmp-type 8 -m limit --limit-burst 5 --limit-rate 30/minute -j ACCEPT
7.state扩展
根据连接追踪机制检查连接的状态;

    调整连接追踪功能所能够容纳的最大连接数量:
        /proc/sys/net/nf_conntrack_max

    已经追踪到并记录下的连接:
        /proc/net/nf_conntrack

    不同协议或连接类型追的时长:
        /proc/sys/net/netfilter/

    可追踪的连接状态:
        NEW:新发出的请求;连接追踪模板中不存此连接相关的信息条目,因此,将其识别为第一次发出的请求;
        ESTABLISHED:NEW状态之后,连接追踪模板中为其建立的条目失效之前期间内所进行的通信的状态;
        RELATED:相关的连接;如ftp协议的命令连接与数据连接之间的关系;
        INVALIED:无法识别的连接;

    --state STATE1,STATE2,...

    问题:如何开放被动模式的ftp服务?

        (1) 装载ftp追踪时的专用的模块:
            # modprobe nf_conntrack_ftp

        (2) 放行请求报文:
            命令连接:NEW, ESTABLISHED
            数据连接:RELATED, ESTABLISHED

            # iptables -A INPUT -d LocalIP -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
            # iptables -A INPUT -d LocalIP -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

        (3) 放行响应报文:
            ESTABLISEHD

            # iptables -A OUTPUT -s LocalIP -p tcp -m state --state ESTABLISHED -j ACCEPT

如何保存及重载规则:

    保存规则至指定文件:
        iptables-save > /PATH/TO/SOMEFILE

    从指定文件重载规则:
        iptables-restore < /PATH/FROM/SOMEFILE

    CentOS 6:
        service iptables save 
            iptables-save > /etc/sysconfig/iptables

        service iptables restart
            iptables-restore < /etc/sysconfig/iptables

    CentOS 7:
        引入了新的iptables前端管理服务工具:firewalld
            firewalld-cmd
            firewalld-config
love_in_code
关注
专栏目录
linux iptables 参数,关于linux iptables的常用使用
weixin_39947812的博客
05-12 877
1、检查iptables是否安装: rpm-qa2、联网安装iptables服务组件:yuminstall iptables3、检查iptables是否运行:serviceiptables status4、查看iptables的详细规则:iptables -L5、禁止/解封一个特定ip访问主机:iptables -I INPUT -s[来源IP] -j DROP; #禁止来源IP对本机的来访ipt...
Linux中iptables防火墙配置实例分享
yasi_xi的专栏
12-03 1186
转自:http://www.jbxue.com/LINUXjishu/9827.html iptables -I OUTPUT -d 192.168.1.2 -j DROP // 禁止往外向192.168.1.2的数据 iptables -F // 去除所有iptables规则,立即生效 iptables -L -n // 查看所有iptables规则
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 2916
iptables防火墙详解
iptables 命令总结---转自朱双印的博客
wo4owen的博客
06-03 566
如果想要NAT功能能够正常使用,需要开启Linux主机的核心转发功能。 echo 1 > /proc/sys/net/ipv4/ip_forward SNAT相关操作 配置SNAT,可以隐藏网内主机的IP地址,也可以共享公网IP,访问互联网,如果只是共享IP的话,只配置如下SNAT规则即可。 iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -j SNAT --to-source 公网IP 如果公网IP是动态获取的,不...
Iptables使用小结
04-11 139
限速 sudo iptables -I OUTPUT -d 192.168.7.6 -m limit --limit=1/s --limit-burst=1 -j ACCEPT sudo iptables -A OUTPUT -d 192.168.7.6 -j DROP
iptables概述
weixin_62452835的博客
01-04 590
1、iptables概述 1、linux防火墙 Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 2、netfilter和iptables (1) netfilter netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 (2)
linux 防火墙管理工具-- iptables基础知识
wdwangye的博客
05-01 1179
iptables 定义:iptables并不是只防火墙,而是一种客户端工具。用户通过这个客户端(iptables)将用户的安全设定执行到对应的“安全框架”中。这个安全框架才是真正的防火墙。框架名字叫netfilter。 就是通过iptables来操作netfilter。 规则(Rules) 规则就是网络管理员预定义的条件。规则一般的定义为“如果数据报头符合这样的条件,就这样处理这个数据包“”...
火墙管理工具iptables ---iptables的用法、火墙策略的修改
Rengar_Yang的博客
08-23 309
一、常见的两种火墙 iptables 防火墙: iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,如果加载了防火墙的模块,需要在重新加载后进行手动加载防火墙的模块。 firewalld防
iptables防火墙
weixin_53496478的博客
03-24 93
iptables防火墙一级目录二级目录三级目录 一级目录 二级目录 三级目录
iptables
xiaogaoxiaoyuan的博客
01-14 1106
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptables命令详解和举例(完整版)
热门推荐
09-07 4万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables里面的dport和sport(转帖)
yes1983的专栏
06-06 504
首先先来翻译一下dport和sport的意思: dport:目的端口 sport:来源端口 初学iptables比较容易迷糊,但是我尽量用通俗的语言给你讲解。 dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。 但是在使用的时候要分具体情况来对待,这个具体情况就是你的数据包的流动行为方式。(INPUT还是OUTPUT) 比如你的...
iptables防火墙端口规则配置
qq_42158153的博客
07-11 3615
iptables防火墙端口规则配置:(1).阻止用户访问服务器的22端口: 清除原有的防火墙的规则 iptables -F iptables -t filter -A INPUT -p tcp --dport 22 -j DROP ---- -A表示添加规则到相应链,默认加到结尾 iptables -t filter -I INPUT -p tcp --dport 22 -j DROP ---- -I 表示插入规则到相应链上,默认加到首部 iptables -t filter -I INPU...
Linux防火墙(iptables)
Jayson 博客
09-09 1705
Linux 防火墙 iptbales
防火墙之iptables详解
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
10-26 1233
1、iptables 五链四表 1.1、iptables提供的链(chain) 1.2、iptables提供的表(table) 1.3、链和表的关系 1.4、规则匹配执行动作(target) 2、iptables 常用命令 2.1、查看指定表table的规则 2.2、查看指定链chain下指定表table的规则 2.3、常见例子 2.4、清空iptables的所有规则 2.5、增加规则 2.6、删除规则 2.7、修改规则 2.8、保存规则 3、常见命令参数介绍
Ceph入门到精通-iptables 限制多个ip 的多个端口段访问
最新发布
隔壁老瓦的专栏
10-08 2758
是指你要限制的IP范围,例如:192.168.1.100-192.168.1.200表示限制从192.168.1.100到192.168.1.200之间的IP。这将阻止这个IP范围内的主机访问这个端口范围内的端口。你可以根据需要修改IP范围和端口范围来适应你的具体情况。上面的命令将添加一条规则到INPUT链中,该规则将禁止指定IP范围访问指定的端口段。是指你要限制的端口范围,例如:80:100表示限制80到100的端口范围;
iptables 个人详解 从基础到精通
weixin_34067980的博客
06-20 199
iptablesiptables:包过滤防火墙 firewall:防火墙,隔离工具:工作于主机或网络边缘,对于进出本主机或网络的报文根据事先定义好的检查规则做匹配检测,对于能够被规则所匹配到的报文做出相应处理的组件: 主机防火墙 网络防火墙 ***检测系统(IDS): ·网络***检测系统 NIDS ·主机***检测系统 HIDS ...
Linux 防火墙开放特定端口 (iptables
weixin_44260459的博客
02-09 2万+
查看状态: iptables -L -n 下面添加对特定端口开放的方法: 使用iptables开放如下端口 /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT 保存 /etc/rc.d/init.d/iptables save 重启服务 service iptables restart 查看需要打开的端口是否生效? /etc/init.d/iptables status 法2: 或直接编辑/etc/sysconfig/iptables -A INPUT
iptables入门指南:快速掌握iptables命令与用法
同时,理解iptables与ipchains的区别,了解如何观察和调整当前的规则配置,以及如何处理ICMP消息类型,都是成为一名iptables用户必备的知识。通过实践操作和案例分析,你可以更快地上手并熟练掌握iptables的使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值