防火墙简单应用

最新推荐文章于 2021-09-01 19:32:42 发布
最新推荐文章于 2021-09-01 19:32:42 发布
阅读量87 收藏
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/dannylinux/articles/7942746.html
版权

iptables -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp --syn -m state --state NEW --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --syn -m state --state NEW --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -m state --state NEW --dport 25 -j ACCEPT

Iptables -t filter -P FORWARD DROP

iptables -t nat -P POSTROUTING DROP


iptables -A INPUT -p tcp --syn -m state --state NEW --dport
iptables -A INPUT -p tcp -s 211.147.90.100/32 -m multiport --dports 13579,28005,28009 -j ACCEPT

 

结尾(不加上面规则起不到过滤作用)

iptables -A INPUT -p all -j DROP              //禁止除上面放行端口的所有端口请求,这条规则很重要,防止一些不用端口被恶意利用攻击

 

插入规则

iptables -I INPUT 4 -s 192.168.1.1 -j ACCEPT

 

multiport :不连续的多端口匹配

允许源192.168.1.123访问22端口的ip进来
iptables -A INPUT -s 192.168.1.123 -p tcp --dport 22 -j ACCEPT

-m :匹配
state 匹配包的状态
--state
NEW
ESTABLISHED
RELETED
INVAILD

-p
后面必须接协议

--syn = --tcp-flags syn,ack,fin syn
表示连接请求

syn 连接请求
ack 请求确认
fin 断开请求

限制apache每秒新建连接数为1,峰值为3

每秒新建连接数 一般都是由防火墙来做,apache本身好像无法设置每秒新建连接数,只能设置最大连接:

iptables -A INPUT -d 172.16.100.1 -p tcp --dport 80 -m limit --limit 1/second -j ACCEPT

172.16.100.1为apache地址(本机地址)

iptables实现端口映射和端口负载均衡
使用 DNAT 来实现,但 IP 不要写 127.0.0.1,而应该写用户可以访问到的 IP 地址
比如prerouting
iptables -t nat -A PREROUTING -d 12.1.1.1 -p tcp --dport 80 -j DNAT --to 12.1.1.1:8080 //将对IP为12.1.1.1,端口为80的请求转发到8080端口

 

实现外网访问内网服务

iptables -t nat -A PREROUTING -i eth0 -d 12.1.1.1 -p tcp --dport 8080 -j DNAT --to 12.1.1.2:80

iptables -t nat -A POSTROUTING -o eth1 -d 12.1.1.2 -p tcp --dport 80 -j SNAT --to 12.1.1.3   //修改output源IP

(对于PREROUTING链,只能用-i指定进来的网络接口;而对于POSTROUTING和 OUTPUT只能用-o指定出去的网络接口)

负载均衡

iptables -t nat -A PREROUTING -d 192.168.10.160 -p tcp --dport 3000 -j DNAT --to 192.168.10.160:3001-3003

 

转载于:https://www.cnblogs.com/dannylinux/articles/7942746.html

weixin_30511039
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统中用iptables管理防火墙
jay_youth的博客
06-09 338
什么是iptables iptables(网络过滤器)是一个工作于用户空间的防火墙应用软件。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在linux内核中。 一.iptables服务的基本管理 1.关闭firewalld的管理,打开iptables的管理方式 systemctl stop firewalld sys...
简易防火墙应用程序
04-07
使用数据包筛选API开发的防火墙应用程序。
Iptables介绍和实用使用方法
cbuy888的博客
05-20 8212
一、简介1)---> IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统,在redhat7.1 centos7.1以上都内置装有。2)---> iptables 的最大优点是它可以配置有状态的防火墙,有四种有效状态,名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。 -状态 ESTABLISHED 指出该信息包...
linux常用命令总结
weixin_30699235的博客
05-09 112
1.查看进程:ps -ef 或者 ps -aux 2.查看网络状态:ifconfig 3.过滤:grep 过滤内容 文件路径 (过滤改文件下的有过滤内容的内容) grep -r 过滤内容 路径 (过滤该路径下的内容) 4. 动态显示当前耗费资源最多进程信息:top 5. 命令不会用了,找男人 :man 如:man ls 6.测试网络连通:ping + IP或者域名 本地:pin...
drop用法_强大的 iptables 在 K8s 中的应用剖析
weixin_30062621的博客
01-09 1240
来源:https://www.cnblogs.com/charlieroronode 节点的 iptables 是由 kube-proxy 生成的,具体实现可以参见kube-proxy 的代码(http://dwz.date/cqfm)kube-proxy 只修改了 filter 和 nat 表,它对 iptables 的链进行了扩充,自定义了KUBE-SERVICES,KUBE-NO...
Iptables的规则语法
无心出岫
04-19 8066
(一) 基本语法 iptables-t filter -A INPUT -p icmp -j DROP 高级语法 iptables-t filter -A INPUT -m mac –mac-source 00:1C:23:3B:2E:B1 -j DROP 区别高级语法与基本语法的不同:首先filter的机制是由iptables_filter.ko模块所提供的功能,而这个模块本身就已提供
Ubuntu20.04防火墙设置简易教程(小白)
01-09
很多人认为只有Windows系统才容易中病毒,若使用Linux系统就不容易中病毒,经常让自己的电脑裸奔运行,既不装杀毒软件,也不开启防火墙。其实Linux下也是存在中病毒的可能的,只是那些病毒几乎是无法像在Windows系统...
Secdocker:Docker的应用防火墙
04-05
Docker的应用防火墙 描述 SecDocker是一个Go应用程序,充当Docker的防火墙。 它旨在接收去往Docker API /套接字的所有流量,并丢弃包含未授权参数的请求。 您可以提供规则和规范以及适用于每个请求的一般限制,并在...
防火墙在校园网中的应用.zip
06-11
也可以应用于课程设计、diy、毕业、参赛等不同场景,而且本设计简单,通俗易通, 方便快捷,易于学习,下载之后可以直接可以编辑使用, 可以为设计参赛人员、学生、老师及爱好者等不同使用者提供有效且实用的学习...
Safe3 Web应用防火墙
08-24
Safe3 Web应用防火墙软件特点: 防火墙采用C语言编写,运行效率极高。在每秒 100兆比特数据传输的大型服务器上运行良好,占用 CPU 极少。 超强安全防护: 彻底防 SQL 注入攻击等攻击。 彻底防迅雷、FlashGet等。 ...
关于PREROUTING链和POSTROUTING
leo_wanta的专栏
12-12 1万+
PREROUTINGPOSTROUTING简单关系 源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING} -->目的地址接收到数据 当你使用:iptables -t nat -A PREROUTING -i eth1 -d 1.2.3.4 -j DNAT --to 192.168.1.40 时,你访问1.2.3.4,linux路由器会在“路由规则
iptable规则查看,添加,删除和修改
搬砖笔记
12-02 2万+
一,安装并启动防火墙 [root@linux ~]# /etc/init.d/iptables start   当我们用iptables添加规则,保存后,这些规则以文件的形势存在磁盘上的,以centos为例,文件地址是/etc/sysconfig/iptables,我们可以通过命令的方式去添加,修改,删除规则,也可以直接修改/etc/sysconfig/iptables这个
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
iptables 举例
10-25 270
1.增加规则 本例中的规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动: # iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP也可以很轻易地阻止所有流向攻击者IP地址的数据包,该命令稍有不同: # iptables -t filter -A
linux下防火墙
GaoDong blog
05-26 601
<br />防火墙<br />netfilter/iptables<br />功能:<br />1. 数据包过滤 INPUT链(对进入本机数据包),forward(对经过本机的数据) //属于filter表<br />2. NAT POSTROUTING(做源地址转换) //属于nat表<br /><br />一、数据包过滤<br />LAB:<br />iptables -P INPUT DROP //将INPUT链(Chain)的默认策略设置为DROP<br />iptables -t filter -
iptables命令详解--包括高级用法
sinat_27261621的博客
06-27 3万+
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n ...
linux iptables 命令简介
whatday的专栏
01-02 2178
语法 iptables(选项)(参数) 选项 -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。 # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型; -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.
iptables -A INPUT -f -j DROP 丢弃碎片规则无效
caofengtao1314的专栏
09-01 1629
参考网址:https://ask.csdn.net/questions/1059469 练习iptables的攻击规则,发现如下的命令无效。 iptabled -A INPUT -f -j DROP 测试 win10: 192.168.0.2 linux: 192.168.0.5 测试1:无分片的报文 win10# ping 192.168.0.5 -->可以ping通 测试2:带分片的报文 win10# ping 192.168.0.5 -l 3000 -->可以ping通 测试3:
linux防火墙应用设计
最新发布
05-29
Linux防火墙可以使用多种不同的应用程序来实现,其中最常用的是iptables和nftables。下面是一个简单的Linux防火墙应用程序的设计: 1. 规划规则:首先,需要规划出要添加到防火墙中的规则。这些规则可以根据需要保护的网络服务、IP地址和端口来定义。例如,如果您只想允许SSH访问您的服务器,则可以创建一个规则,只允许来自指定IP地址的SSH连接。 2. 配置防火墙:接下来,需要配置防火墙应用规则。可以使用iptables或nftables等工具来完成此操作。例如,使用iptables,您可以使用以下命令添加一个规则: ``` iptables -A INPUT -p tcp --dport 22 -s 192.168.1.1 -j ACCEPT ``` 这个规则将允许来自IP地址为192.168.1.1的计算机的SSH连接通过22端口。 3. 测试防火墙:完成配置后,需要测试防火墙以确保它按预期工作。可以使用telnet或nc等工具来测试连接。例如,使用telnet测试SSH连接: ``` telnet <IP地址> 22 ``` 如果连接成功,则防火墙配置正确。 4. 启用防火墙:最后,需要将防火墙启用,以便它在系统启动时自动加载。可以使用systemd等服务管理工具来完成此操作。 这是一个简单的Linux防火墙应用程序设计过程,可以根据需要进行修改和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值