iptables之我见

最新推荐文章于 2024-11-04 09:58:58 发布
最新推荐文章于 2024-11-04 09:58:58 发布
阅读量183 收藏
点赞数
文章标签: 操作系统 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33943347/article/details/85106380
版权

iptables 和 SELinux 是Red Hat/ CentOS 的两个很有力的工具,如果配置的好就能起到对服务器进一步的保护作用,但是如果配置的不好往往会遭到管理员的抛弃。总有“老人”提醒我别开iptables和SELinux,但是我觉得既然开发出来还是可以加以利用的。

但是值得注意的是尽管iptables防火墙的功能很强大,但是有一个硬件防火墙还是很必要的。

因为有了其他设备,因此我既用不到转发也不用网络地址转换(NAT),我只要把握好让那些数据流可以进入哪些不能进入就行了。不过我不太清楚ROS(Router Operating System,软路由操作系统)是不是也有这个机制。

关于iptables的用法和注意事项,网上各大论坛和IT网站都进行了热烈的讨论和文章展示。在此就不赘述了!

 
 
  1. [root@localhost ~]# service iptables status 
  2. Table: nat 
  3. Chain PREROUTING (policy ACCEPT) 
  4. num  target     prot opt source               destination          
  5.  
  6. Chain POSTROUTING (policy ACCEPT) 
  7. num  target     prot opt source               destination          
  8.  
  9. Chain OUTPUT (policy ACCEPT) 
  10. num  target     prot opt source               destination          
  11.  
  12. Table: mangle 
  13. Chain PREROUTING (policy ACCEPT) 
  14. num  target     prot opt source               destination          
  15.  
  16. Chain INPUT (policy ACCEPT) 
  17. num  target     prot opt source               destination          
  18.  
  19. Chain FORWARD (policy ACCEPT) 
  20. num  target     prot opt source               destination          
  21.  
  22. Chain OUTPUT (policy ACCEPT) 
  23. num  target     prot opt source               destination          
  24.  
  25. Chain POSTROUTING (policy ACCEPT) 
  26. num  target     prot opt source               destination          
  27.  
  28. Table: filter 
  29. Chain INPUT (policy ACCEPT) 
  30. num  target     prot opt source               destination          
  31. 1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0            
  32. 2    ACCEPT     udp  --  10.0.0.0/8           0.0.0.0/0           udp dpt:53  
  33. 3    ACCEPT     tcp  --  10.0.0.0/8           0.0.0.0/0           tcp dpt:443  
  34. 4    ACCEPT     tcp  --  10.0.0.0/8           0.0.0.0/0           tcp dpt:80  
  35.  
  36. Chain FORWARD (policy ACCEPT) 
  37. num  target     prot opt source               destination          
  38. 1    RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0            
  39.  
  40. Chain OUTPUT (policy ACCEPT) 
  41. num  target     prot opt source               destination          
  42.  
  43. Chain RH-Firewall-1-INPUT (2 references) 
  44. num  target     prot opt source               destination          
  45. 1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            
  46. 2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255  
  47. 3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED  
  48. 4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22  
  49. 5    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8006  
  50. 6    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8007  
  51. 7    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8008  
  52. 8    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8080  
  53. 9    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:8443  
  54. 10   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:111  
  55. 11   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:111  
  56. 12   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:892  
  57. 13   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:892  
  58. 14   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:875  
  59. 15   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:875  
  60. 16   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:662  
  61. 17   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:662  
  62. 18   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:2049  
  63. 19   ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:32803  
  64. 20   ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           state NEW udp dpt:32769  
  65. 21   REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited  
  66.  
  67. [root@localhost ~]#  
 
 
 
 


                

        

        




    

  


            

                    
            

    

      

        

            

              
                
                  weixin_33943347
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
CentOS 6.4 中iptables 配置详解

				
			

			

				

					chtdsl
				

				

					05-03
					
					2万+
					
				

			

		

		

			
				
整理之后,再更新。

可以参看:http://blog.51cto.com/tag-iptables.html



iptables 指令详解

语法:
iptables [-t table] command [match] [-j target/jump]
-t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle
 和 filter,当未指定规则表时,则

			
		

	



                

            
              



	

		

			

				
					
服务器安全之iptables iptables

				
			

			

				

					ZRJ142098的博客
				

				

					01-13
					
					2016
					
				

			

		

		

			
				
[iptables防火墙简介
Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低的硬件配置下跑的非常好
Iptables是Linux2.4及2.6内核中集成的服务。其功能与安全性比其ipfwadm,ipchains强大的多,iptables主要工作在OSI七层的二、三、四层,如果重新编译内核,iptables

			
		

	



              


  
              

                


	

		

			

				
					
iptables配置规则后,无法访问外网的解决办法。

					
热门推荐

				
			

			

				

					wuzongpo的专栏
				

				

					01-18
					
					1万+
					
				

			

		

		

			
				
需要使用iptables做安全限制,当配配置iptables后,无法ping通www.baidu.com。配置如下:# Generated by iptables-save v1.4.7 on Tue Nov 24 17:38:47 2015*filter
:INPUT DROP [3:228]
:FORWARD DROP [0:0]
#:OUTPUT DROP [0:0]
:OUTPUT ACC

			
		

	





	

		

			

				
					
规则 防火墙 iptables input accept

				
			

			

				

					【设计改变世界】github地址:https://github.com/guochunyang2004
				

				

					11-16
					
					1091
					
				

			

		

		

			
				

由于 mangle 这个表格很少被使用,如果将图 9.3-3 的 mangle 拿掉的话,那就容易看的多了:



图 9.3-4、iptables 内建各表格与链的相关性(简图)


透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUT 与 OUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机...

			
		

	



		

			
		



	

		

			

				
					
配置iptables防火墙

				
			

			

				

					草莓甜甜圈的博客
				

				

					10-08
					
					431
					
				

			

		

		

			
				
linux下IPTABLES配置详解 

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 24000 -j ACCEPT

-A RH-Firewall-1-INPUT -s 121.10.120.24 -p tcp -m tcp --dport 18612 -j ACCEPT



如果你的IPTABLES基...

			
		

	





	

		

			

				
					
iptables之state模块使用

				
			

			

				

					北风
				

				

					01-15
					
					3393
					
				

			

		

		

			
				
为了防止恶意攻击主动连接到你的主机,我们需要通过iptables的扩展模块判断报文是为了回应我们之前发出的报文还是主动向我们发送的报文,state模块可以让iptables实现 连接追踪机制 ,报文状态可以分成NEWESTAVLISHEDRELATEDINVALIDUNTRACKED。具体的连接跟踪的原理详见(https://blog.csdn.net/weixin_40042248/article/details/112568071)。

本次实验是为了验证iptables的state模块如何进...

			
		

	





	

		

			

				
					
iptables

				
			

			

				

					xiaogaoxiaoyuan的博客
				

				

					01-14
					
					1120
					
				

			

		

		

			
				
防火墙详解
什么是防火墙?
在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙分为软件防火墙和硬件防火墙,他们的优缺点:
**硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当

			
		

	





	

		

			

				
					
iptables 匹配规则

				
			

			

				

					weixin_37583747的博客
				

				

					06-20
					
					6334
					
				

			

		

		

			
				
iptables 匹配规则1.    源地址匹配:    a.    ip地址匹配                iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP        用“,”分隔多个源地址,地址与“,”之间不能有空格    b.    网段匹配        iptables -t filter -I ...

			
		

	





	

		

			

				
					
Linux-iptables安全加固

				
			

			

				

					qq_45358744的博客
				

				

					03-26
					
					741
					
				

			

		

		

			
				
iptables安全加固
主机型

用户态,在/sbin/iptables存在(user iptables)的防火墙,是用户看得见能操作的。


linux-iptables主机型防火墙工作在2,3,4层,对TCP/IP数据包进行过滤和限制。属于包过滤型防火墙。(除非编译内核才可以使iptables支持7层)

缺点
1.无法过滤内部网络的数据包。因此若有人从内部网络攻击时,防火墙没有作用。
2.电脑本身的操作系统亦可能因一些系统漏洞,使入侵者可以利用这些漏洞绕过防火墙过滤,从而入侵电脑。
3.防火墙无法有

			
		

	





	

		

			

				
					
架构-防火墙iptables

				
			

			

				

					Struggle_Hard_Z的博客
				

				

					12-25
					
					1932
					
				

			

		

		

			
				
架构图详解
架构:
把一个整体(完成人类生存的所有工作)切分成不同的部分(分工),由不同角色来完成这些分工,并通过建立不同部分相互沟通的机制,使得这些部分能够有机的结合为一个整体,并完成这个整体所需要的所有活动,这就是架构
1.用户需求
用户带着域名提交访问请求
2.DNS
通过DNS解析域名找到该域名对应IP返回
3.防火墙(iptables)
也叫:包过滤防火墙
iptables内置4个表,即filter表、nat表、mangle表和raw表 每个表都会有相应的链
filter表 

			
		

	





	

		

			

				
					
iptables的详细介绍及配置方法

				
			

			

				

					weixin_33889245的博客
				

				

					03-08
					
					255
					
				

			

		

		

			
				
Firewall(防火墙):组件,工作在网络边缘(主机边缘),对进出网络数据包基于一定的规则检查,并在匹配某规则时由规则定义的处理进行处理的一组功能的组件。
防火墙类型:根据工作的层次的不同来划分,常见的防火墙工作在OSI第三层,即网络层防火墙,工作在OSI第七层的称为应用层防火墙,或者代理服务器(代理网关)。
网络层防火墙又称包过滤防火墙,在网络层对数据包进行选择,选择...

			
		

	





	

		

			

				
					
Linux下IPTABLES防火墙的设定

				
			

			

				

					zhb1208的专栏
				

				

					12-31
					
					192
					
				

			

		

		

			
				
 
安装linux后(防火墙是开启状态),需要检查防火墙端口
1.iptables防火墙启动和停止
	
	    启动iptables防火墙时命令行输入 #service iptables start
	
	[root@host.jefflei.com ~]# service iptables start
	应用 iptables 防火墙规则:                    ...

			
		

	





	

		

			

				
					
自定义端口,将端口80的TCP传递给8081

				
			

			

				

					zhang284021445的专栏
				

				

					11-09
					
					984
					
				

			

		

		

			
				

修改server.xml中Shutdown port,Connector port,ajp port和Redirect port的端口

从8080端口改变端口
<Connector port="8080" protocol="HTTP/1.1" 
               connectionTimeout="20000" 
               redirect...

			
		

	





	

		

			

				
					
关于设置tomcat端口为80的事

				
			

			

				

					weixin_33701294的博客
				

				

					11-05
					
					174
					
				

			

		

		

			
				
今天有人要求tomcat服务器的访问地址不能带端口访问, 也就是说只能用80端口访问网站.

那么问题来了, Ubuntu系统禁止root用户以外的用户访问1024以下的商品, 因此tomcat

默认为8080也是有原因的.

因此,多才多艺的网友提供了普遍的两种方案:

1, 修改conf/server.xml中connector的port为80, 使用root用户运行...

			
		

	





	

		

			

				
					
linux基础-lvm逻辑卷组分区实操

				
			

			

				

					pikaqiuu11的博客
				

				

					11-01
					
					350
					
				

			

		

		

			
				
2、swap分区(交换分区):当程序运行时的物理内存不够时,从其他未运行的程序中调取一部分内存到swap分区中,供程序使用,当未运行的程序运行时,将内存还原。lvm(logical volume manager),逻辑卷管理,linux系统下管理磁盘分区的一种机制,适合于管理大存储设备,1、系统引导分区(第0扇区):存放系统引导文件(检测操作系统的位置)和linux的内核文件。

			
		

	





	

		

			

				
					
Macos 系统安装IntelliJ IDEA Ultimate

					
最新发布

				
			

			

				

					梦想的追求
				

				

					11-04
					
					147
					
				

			

		

		

			
				
Macos 系统 intellij idea 安装及使用

			
		

	





	

		

			

				
					
操作系统-第五章-(5.2I/O管理概述)

				
			

			

				

					2203_75970230的博客
				

				

					11-01
					
					730
					
				

			

		

		

			
				
I/O系统概述、I/O接口、I/O控制的四种方式(程序直接控制方式、程序中断方式、DMA方式、通道方式)、中断处理程序在计组最后一章已经介绍过了。在操作系统这里只补充I/O软件层次结构、应用程序与I/O接口越接近上层,越接近用户,越接近下面的层次越接近硬件。每一层会利用其下层提供的服务,实现某些功能,并屏蔽实现的具体细节,向高层提供服务(“封装思想”)->计网会专门讲这种思想用户层软件实现了与用户交互的接口,用户可直接使用该层提供的、与I/O操作相关的库函数对设备进行操作向上为用户提供与I/O操作相关的库函

			
		

	





	

		

			

				
					
使用 ADB 在某个特定时间点点击 Android 设备上的某个按钮

				
			

			

				

					老邓头
				

				

					11-01
					
					1140
					
				

			

		

		

			
				
adb的使用

			
		

	





	

		

			

				
					
iptables之NAT设置

				
			

			

				

					06-01
				

			

		

		

			
				
iptables可以通过NAT(Network Address Translation)技术实现网络地址转换,主要包括源地址转换(SNAT)和目标地址转换(DNAT)。SNAT将源IP地址替换为另一个IP地址,而DNAT将目标IP地址替换为另一个IP地址。  下面是...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值