iptables网络服务的搭建和配置

最新推荐文章于 2024-07-11 03:29:05 发布
最新推荐文章于 2024-07-11 03:29:05 发布
阅读量76 收藏
点赞数
文章标签: 网络 运维 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33910759/article/details/85045776
版权
第一部分: 理论

一.   什么是iptables?

iptables linux 的非常重要的一个组件,它的主要作用是包过滤,即防火墙的功能。

二.   在哪里可能用到iptables ?

  1. 企业当中用iptables实现路由器或防火墙

  2. 企业当中用linux作为服务器操作系统

  3. IDC机房中的服务器。

三.   为什么要用iptables

  1. 成本低。用公司里淘汰的电脑做一台路由器,节省开支。

  2. 速度快。转发效率高。

  3. 功能强大:可以做包过滤,可以做nat转换,可以减轻DOS***等等。

四.iptables 的组成

    由三个表组成:flter   nat    mangle

五. iptables 表的组成

filter( 默认) 包括三个链:INPUT OUTPUT FORWARD

 nat ( 转换) 包括三个链:PREROUTING OUTPUT POSTROUTING

mangle( 服务质量等) 包括五个链:PREROUTING INPUT OUTPUT FORWARD POSTROUTING

.iptables 图解

. iptables 服务启动方式

A . /etc/rc.d/init.d/iptables  start

B. service  iptables    start

  iptables 配置文件与策略设置文件

iptables 配置文件   /etc/sysconfig/iptables-config

策略设置文件      /etc/sysconfig/iptables

iptables 服务的启动与停止

iptables 服务缺省自动启动

可通过启动脚本手工启动和停止iptables 服务

# service iptables start

. 基本命令 操作命令

v  Iptables

v  -A 增加一个规则

v  -D 删除规则

v  -R 替换( 指定行上替换)

v  -I 插入

v  -L 显示所有规则

v  -F 删除所有规则

v  -P 默认策略

v  --line-numbers 显示行号

. 基本命令 匹配选项

  -p 指定使用的协议 !号排除

--src IP 地址

--dst 目的地址

--in-interface 选择网卡

--fragment 数据包分段

--sport 源端口

--dport 目的端口

--state 状态(RELATED,ESTABLISHED)

十一  Iptables 默认策略(重点掌握)

v  Iptables  -P INPUT ACCEPT/DROP

v  Iptables  -P OUTPUT ACCEPT/DROP

v  Iptables  -P FORWARD ACCEPT/DROP

注意:修改默认过滤规则( 默认是ACCEPT 我们全部修改成DROP)

十二. 具体例子

v  防止ping             Iptables -A INPUT p icmp j DROP

v  限制某个端口

 iptables I INPUT p tcp --dport  21 j DROP

v  注意: 修改默认过滤规则的时候一定要先把远程ssh 打开

v  开启ftp 服务

Iptables A INPUT p tcp --dport 21 j ACCEPT

 

 

实验脚本1

2 .编辑一脚本文件
[root@localhost]# vi  /bin/firewall.sh

文件内容如下:

 

#!/bin/bash 
echo "Starting iptables rules..."    // 显示启动 iptables 信息

 

echo  "1"  >  /proc/sys/net/ipv4/ip_forward     // 启动 linux 路由功能

 

iptables  -F      // 清空所有规则
iptables  -X     // 清空所有自定义规则
iptables  -Z     // 清空计数器

 

iptables  -P  FORWARD   DROP     // 定义默认的转发策略为丢弃
iptables  -P  INPUT   DROP         // 定义默认的接收策略为丢弃
iptables  -P  OUTPUT   DROP       // 定义默认的发送策略为丢弃

 

// 允许访问 DNS 服务器的往返数据包
iptables  -A  FORWARD  -p  udp  -d  192.168.10.1  --dport  53    -j  ACCEPT
iptables  -A  FORWARD  -p  udp  -s  192.168.10.1  --sport  53    -j  ACCEPT
iptables  -A  FORWARD  -p  tcp  -d  192.168.10.1  --dport  53    -j  ACCEPT
iptables  -A  FORWARD  -p  tcp  -s  192.168.10.1  --sport  53    -j  ACCEPT
// 允许访问 WEB 服务器的往返数据包
iptables  -A  FORWARD  -p  tcp  -d  192.168.10.1  --dport  80    -j  ACCEPT
iptables  -A  FORWARD  -p  tcp  -s  192.168.10.1  --sport  80    -j  ACCEPT

 

// 允许访问 FTP 服务器的往返数据包通过

 

// 允许本机与外部主机互 ping
iptables  -A  INPUT  -p  icmp  --icmp-type  echo-request  -j  ACCEPT
iptables  -A  INPUT  -p  icmp  --icmp-type  echo-reply  -j  ACCEPT
iptables  -A  OUTPUT  -p  icmp  --icmp-type  echo-request  -j  ACCEPT
iptables  -A  OUTPUT  -p  icmp  --icmp-type  echo-reply  -j  ACCEPT
实验脚本2
iptables  -F
iptables  -X
iptables  -Z
#------------------------default  rule ------------------------------
iptables -P  INPUT  DROP
iptables -P  OUTPUT  DROP
iptables -P  FORWARD  DROP
#------------------------ssh  rule -------------------------------------------
iptables -t filter -A   INPUT  -i  eth0 -p tcp --dport  22  -j  ACCEPT
iptables -t filter -A  OUTPUT  -o  eth0 -p tcp --sport  22  -j  ACCEPT
#------------------------www-ftp-mail-dns  rule --------------------------------
iptables -t filter -A   INPUT  -i   eth0 -p tcp --dport  80     -j ACCEPT
iptables -t filter -A   OUTPUT -o  eth0 -p  tcp --sport  80     -j ACCEPT
iptables -t filter -A   INPUT  -i   eth0 -p tcp --dport  21     -j ACCEPT
iptables -t filter -A   INPUT  -i   eth0 -p tcp --dport  20     -j ACCEPT
iptables -t filter -A   OUTPUT -o  eth0 -p  tcp --sport  21     -j ACCEPT
iptables -t filter -A   OUTPUT -o  eth0 -p  tcp --sport  20     -j ACCEPT
iptables -t filter -A   INPUT -i  eth0  -p tcp  --dport 25     -j ACCEPT
iptables -t filter -A   OUTPUT -o eth0  -p tcp  --sport 25     -j ACCEPT
iptables -t filter -A   INPUT -i  eth0  -p tcp  --dport 110     -j ACCEPT
iptables -t filter -A   OUTPUT -o eth0  -p tcp  --sport 110     -j ACCEPT
iptables -t filter -A   OUTPUT  -o  eth0  -p  udp   --dport 53     -j  ACCEPT
iptables -t filter -A   INPUT  -i   eth0  -p  udp  --sport 53     -j  ACCEPT
#-------------------------ICMP  rule ------------------------------------------
iptables -t  filter -A  INPUT -p    icmp    -j ACCEPT
iptables -t  filter -A  INPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  INPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  OUTPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  OUTPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  OUTPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  OUTPUT -p    icmp   -j ACCEPT
允许 ftp 访问,
主动模式:
在配置文件中加入:
pasv_enable=no (默认 yes
防火墙设置:
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
被动模式:
在配置文件中加入:
pasv_enable=yes (默认 yes
pasv_min_port=40000
pasv_max_port=41000
防火墙设置:
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 40000:41000 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 40000:41000 -j ACCEPT
3 .给 /bin/firewall.sh 设置可执行权限
[root@localhost]# chmod  755  /bin/firewall.sh

 

4 .执行 /bin/firewall.sh
[root@localhost]#  /bin/firewall.sh

 

5 .让计算机下次启动时自动执行 /bin/firewall.sh
[root@localhost]# echo    ‘/bin/firewall.sh’  >>  /etc/rc.local
附加实验
如何通过 iptables 开启 ftp 服务 , 包括主动和被动 .

 

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j SNAT --to 1.1.1.1-1.1.1.222

 

 

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81   -j   DNAT --to 192.168.0.2:80

 

                            
weixin_33910759
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
配置FTP服务器.zip
09-23
总的来说,配置FTP服务器涉及网络协议、操作系统管理、用户权限和安全策略等多个IT知识点。理解这些概念并正确配置,能帮助你立一个安全、高效的FTP服务。在实践中,应不断学习和优化配置,以满足不同的业务...
34. linux中防火墙iptables的使用
qq_43687755的博客
08-19 389
Lesson34 linux中防火墙iptables的使用 文章目录1. 1. -nL # 表示不做解析列出防火墙策略 -L # 表示做解析列出防火墙策略 -t # 表示列出指定表的策略信息,不加-t默认为filter -A #追加在已经存在的表后面,按顺序执行 -I #插入 加数字表示添加的位置 默认为1,插入到最前边 -R #替换规则要加数字 -D #删除...
25个常用的iptable策略
weixin_34050427的博客
03-04 259
25个最常用的iptables策略 1,清空存在的策略 当你开始创新的策略,你可能想清除所有的默认策略,和存在的策略,可以这么做: iptables -F 或者iptables --flush 2,设置默认策略 默认链策略是ACCEPT,改变所有的链策略为DROP: iptables -P INPUT DROP iptables -P FORWARD DR...
iptable详解(2)
善的专栏
08-22 2519
iptables详解(2) 先来看张图 透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUT 与 OUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机本身的话,那 nat 的规则根本就不需要理他,直接设定为开放即可。 不过,如果你的防火墙事实上是用来管制 LAN 内的其他主机的话,那么你就必须要再针对 filter 的 FORWARD 这条链,还有 nat 的 PREROUTING, POSTROUTING 以及 OU
Iptables防火墙策略
Liu_Fang_Hong的博客
06-14 1133
Linux 系统的防火墙——netfilter/iptablesIP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
Linux下IPTABLES配置详解
weixin_33938733的博客
09-10 211
我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)targe...
2022网络国赛公开题kerbernets配置实例
05-12
2022 网络国赛公开题 Kerbernets 配置实例 在本文中,我们将详细介绍 Kerbernets 配置实例的设置过程,该过程是 2022 网络国赛公开题的一部分。 一、主机名设置 首先,我们需要设置主机名。在 Linux 系统...
2020年网络与应用国赛题.zip
10-25
网络是指立和配置计算机网络的过程,包括硬件设备的连接、网络协议的选择和设置、IP地址的分配等。在这个压缩包中,"设备全解"部分可能详细介绍了网络设备如路由器、交换机、服务器等的功能和配置方法,这对于...
各种网络服务器的简单
02-03
在IT行业中,网络服务器的是一项基础且至关重要的工作,它涉及到互联网服务的提供和管理。本主题将深入探讨如何简单高效地各种类型的网络服务器,包括但不限于Web服务器、FTP服务器、邮件服务器以及数据库...
ftp基础配置.zip
02-08
本教程将深入讲解FTP的基础配置过程。 首先,我们需要了解FTP服务器的基本组件。FTP服务器是提供文件存储和访问服务的软件,而FTP客户端则用于连接到服务器并执行文件操作。常见的FTP服务器软件有vsftpd、...
iptables实现网络防火墙(一)
Eumenides_s的博客
10-23 1095
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    关于防火墙的相关概念,我们在之前的文章中已经进行了相关的介绍,这里就不再重复。感兴趣的朋友可以移步    初识Linux防火墙    今天重点记录一下,如何使用iptables网络防火墙,实现控制访问。 实验环境准备    如果要实现网络防火墙,至少需要三台主机A,B,C,B用来网络
iptables配置虚拟网络
weixin_43934390的博客
12-03 394
使用iptables配置网关和局域网 使用vmware装两台虚拟机,一台作为网关,一台作为内网主机。 内网主机网卡设置为lan1,网关内网接口同样设置为lan1,外网设置为nat模式 内网ip:192.168.33.11 网关内网接口:eth1:192.168.88.131 网关网关接口:eth0:DHCP 网关 iptables -t nat -A POSTROUTING -o eth0 -s ...
linux下的iptables配置简介(网络整理)
linxiang1aa的博客
09-19 191
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。   iptables服务命令 ①:/etc/init.d/iptables 命令 ②:service iptables 命令 -- 启动服务 /etc/init.d/iptables start; service iptables start --...
Linux iptables nat 实现不同网络间(内外网)的互联
热门推荐
抱朴守拙
08-18 1万+
实际背景公司对网络环境管理的比较严格,开发环境全部在虚拟主机上,无法连接外网,同时提供了wifi,笔记本可以通过wifi联网查阅资料,但是网速极慢,还常常断网。网络大致如下: 此外,公司还有很多零零散散的上网机(单网卡,只能连接外网),主要用于资料下载,尤其是资源较大时。由于工作需要,分配给我一个专用上网机,双网卡,主要用于部署/试用/研究一些开源软件/工具/组件/框架等。于是决定打通公司的网络
防火墙基础和iptables基本配置
pygain的博客
08-31 2735
iptables 与最新版本Liunx内核集成的ip信息包过滤系统。 该系统是一种强大的工具可用于添加、编辑和除去规则,这些规则是做信息包过滤决定的,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤过程中,规则被分组在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息包过滤系统称为一个实体,实际由netfilter和iptables组成。 netfilter组件也称为内核空间(kernelspace),是内核
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)
最新发布
Snu77的博客
07-11 5979
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来表示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)
Zabbix自动发现
Lzcsfg的博客
07-08 748
在 Zabbix 中,自动发现(Auto Discovery)是一种强大的功能,用于自动识别和监控网络设备、服务或应用程序中的动态变化。通过自动发现功能,Zabbix 可以自动添加、配置和监控新的网络节点或服务,大大简化了管理和监控大规模环境的复杂性。
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 578
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
虚拟机CentOS服务备忘录.docx
11-02
虚拟机CentOS服务备忘录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值