iptables的规则整理使用

最新推荐文章于 2023-11-10 17:58:35 发布
最新推荐文章于 2023-11-10 17:58:35 发布
阅读量94 收藏
点赞数
文章标签: 运维 网络
原文链接:https://my.oschina.net/Kenyon/blog/90846
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

近期断断续续参考和整理了iptables的使用。
iptables是Linux实现过滤包的一个应用程序,是打开服务器的最后一扇大门,也称之为Linux的防火墙。使用得当,可以对访问的可疑IP实现控制,特别恶意攻击时直接将其拒绝门外。目前只对IPV4过来的包起作用,IPV6不行。
环境: CENTOS 6.2 (final)

1.基础应用 a.安装位置 
[root@localhost ~]# which iptables
/sbin/iptables
b.查看iptables状态 
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
c.关闭iptables 
[root@localhost ~]# service iptables stop
iptables: Flushing firewall rules: [  OK  ]
iptables: Setting chains to policy ACCEPT: filter [  OK  ]
iptables: Unloading modules: [  OK  ]
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
d.开启iptables 
[root@localhost ~]# service iptables start
iptables: Applying firewall rules: [  OK  ]
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
e.iptables的自启动 
chkconfig iptables on
chkconfig iptables off
2.基本用法
基本操作
-A(append) 在链尾添加一条规则;
-I(insert) 插入规则;
-D(delete) 删除规则;
-R(replace) 替代一条规则;
-L(list) 列出规则。

响应操作
ACCEPT 接收该数据报;
DROP 丢弃该数据报;
REJECT 拒绝该数据 有些OS是用的DENY

目标操作
-p(protocol) 指定协议(tcp/icmp/udp/...);
-s(source) 源地址(ip address/masklen);
-d(destination) 目的地址(ip address/masklen);
--sport 源端口 source port
--dport 目标端口 destination port

状态 -m state --state(INVALID,ESTABLISHED,NEW和RELATED)
INVALID 失效的连接
ESTABLISHED 已经建立的连接
NEW 新的连接
RELATED 相关的连接

规则链
– INPUT              输入
– OUTPUT           输出
– FORWARD         filter
– PREROUTING     nat(network address translator)
– POSTROUTING   nat 查看 
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
DROP       all  --  192.168.2.137        anywhere           

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
REJECT     all  --  anywhere             192.168.2.137       reject-with icmp-port-unreachable
删除
iptables -D INPUT 1
或者
iptables -D INPUT -s 192.168.2.137 -j DROP
iptables -D OUTPUT -d 192.168.2.137 -j REJECT

清除所有规则
iptables -F

3.iptables的保存 
[root@localhost ~]# iptables-save -c > ./kenyon.iptables.bak
[root@localhost ~]# more kenyon.iptables.bak
# Generated by iptables-save v1.4.7 on Fri Nov 16 01:07:34 2012
*filter
:INPUT ACCEPT [8145:7631364]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4758:209361]
COMMIT
# Completed on Fri Nov 16 01:07:34 2012
[root@localhost ~]#
或者 
[root@localhost ~]# /etc/init.d/iptables save                                   --保存在默认路径文件/etc/sysconfig/iptables
iptables: Saving firewall rules to /etc/sysconfig/iptables: [  OK  ]
[root@localhost ~]#
示例: 
开启ssh
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT     --写两次防止OUT规则是DROP时开启不生效,以下类似,略去OUTPUT

开启80WEB端口
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

开启邮件服务110端口
[root@localhost ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT

开启FTP的21端口
[root@localhost ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT

开启DNS的53端口
[root@localhost ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT

开启5432端口
[root@localhost ~]# iptables -A INPUT -p tcp --dport 5432 -j ACCEPT

开启一段端口
[root@localhost ~]# iptables -A INPUT -p tcp --dport 65520:65534 -j ACCEPT

允许ping
[root@localhost ~]#  iptables -A OUTPUT -p icmp -j ACCEPT
[root@localhost ~]#  iptables -A INPUT -p icmp -j ACCEPT

关闭其他端口
[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 31335 -j DROP
[root@localhost ~]# iptables -A OUTPUT -p tcp --dport 31335 -j DROP

拒绝接受某个IP的包
[root@localhost ~]# iptables -A INPUT -s 192.168.2.137  -j DROP

拒绝发送到某个IP的包
[root@localhost ~]# iptables -A OUTPUT -d 192.168.2.137  -j REJECT

拒绝接受某一段IP的包
[root@localhost ~]# iptables -A INPUT -s 192.168.2.0/24  -j DROP

拒绝某个mac地址的包(不能用在output和postrouting)
[root@localhost ~]# iptables -A INPUT -m mac --mac-source 00:0C:29:AB:4B:FF -j DROP

允许已经建立的和相关的连接
[root@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
参考:http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html

转载于:https://my.oschina.net/Kenyon/blog/90846

weixin_34106122
关注
Linux非root查看防火墙,Linux下防火墙和selinux的启动、关闭和查看
weixin_30366957的博客
05-12 1220
CentOS7.X下:1.防火墙防火墙状态查看:[root@localhost sunan]# systemctl status firewalld.service● firewalld.service - firewalld - dynamic firewall daemonLoaded: loaded (/usr/lib/systemd/system/firewalld.service; di...
Linux网络iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 945
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则链中。
计算机安全超级工具(十一)-防火墙
YuleBall的地盘
12-13 694
BSD ipfwhttp://www.freebsd.org/doc/en/books/handbook/firewalls-ipfw.html The IPFIREWALL (IPFW) is a FreeBSDsponsored firewall software application authored and maintained by FreeBSD voluntee
linux部署校园网绕过53端口服务脚本
最新发布
m0_48096446的博客
11-10 804
适用于Ubuntu、Debian、AlmaLinux、Rocky Linux、CentOS和Fedora的OpenUPN 安装程序。该脚本将在不到一分钟的时间内为您设置自己的虚拟网络服务器,即使您以前没有使用过Open虚拟网络。它被设计为尽可能不引人注目和通用。新建这个脚本, 写入最后的内容。
如何屏蔽防火墙UDP服务支持
流子的专栏
02-05 7303
为了防止被DDOS攻击,需要屏蔽UDP的访问,但有些端口还是得打开如下:-A INPUT -s 10.0.0.0/8 -p udp --dport 53 -j ACCEPT-A INPUT -p udp --destination-port 123 -j ACCEPT-A INPUT -p udp --source-port 123 -j ACCEPT-A INPUT -p udp --sour
Centos7(Firewall)防火墙开启常见端口命令
码农崛起
07-11 1022
https://www.5yun.org/10074.htmlCentos7默认安装了firewalld,如果没有安装的话,则需要YUM命令安装;firewalld真的用不习惯,与之前的iptable防火墙区别太大,但毕竟是未来主流讲究慢慢磨合它的设置规则;安装Firewall命令:yum install firewalld firewalld-config CopyFirewall开启常见端口命...
Linux防火墙——了解防火墙以及iptables使用规则
DY_man的博客
06-13 1157
关于防火墙的知识整理,以Linux防火墙工具为主,不定时丰富内容,如有不足,欢迎留言指正
Iptables整理
Mr_FL的博客
04-16 430
iptables -t filter -A{I,D} INPUT{OUTPUT,FORWARD} {n} -p tcp{udp,icmp} {!} -s 192.168.33.0/24 --sport m:n --dport x:y -j ACCEPT{DORP,REJECT,LOG}
iptables防火墙使用技巧总结:提高网络安全性
漠效的博客
10-24 756
前言 某天看见内网服务器上一个ptables转发规则,突然想要总结一下iptables。。。 iptables的应用环境 简述一下了解到的目前 部分 公司 基本的安全措施: <1>cisco、华为…硬件防火墙保护网络安全、安全策略、异常流量监控 (云服务器:安全组,云盾) <2>jumpserver限制用户登录权限,操作记录 (云服务器:分配子账号进行权限控制) <3>tcp_warpper对ssh,ftp等服务提供访问控制,iptables/firewall
Linux学习整理-网络防火墙iptables-实践篇1
weixin_45776100的博客
01-19 1171
iptables的语法及用法 192.168.0.0/24 访问用机器(Centos) --------------------- iptables设定机器(Ubuntu) 192.168.0.211 192.168.0.203 2
centos firewall
FINGERTIPYU的博客
11-09 292
cetnos centos7 linux firewall firewall-cmd
【Linux学习】Linux 防火墙相关命令学习(开启、关闭、端口管理等)
Tellsea
05-22 482
防火墙相关命令 描述 命令 启动 systemctl start firewalld 查看状态 systemctl status firewalld 停止 systemctl disable firewalld 禁用 systemctl stop firewalld 在开机时启用一个服务 systemctl enable firewalld.service ...
firewall ip白名单设置
热门推荐
01-26 2万+
一、firewall服务 1、启动 systemctl start firewalld 2、设置开机自启动 systemctl enable firewalld 二、firewall配置 1、查看默认防火墙状态 firewall-cmd --state 2、查看防火墙规则 firewall-cmd --list-all 3、查看区域信息 irewall-cmd --ge...
TCP/UDP常用端口及对应服务列表
achuDk的博客
06-10 1万+
计算机之间依照互联网传输层TCP/IP协议不同的协议通信,都有不同的对应端口。所以,利用短信(datagram)的UDP,所采用的端口号码不一定和采用TCP的端口号码一样。以下为两种通信协议的端口列表链接
nodogsplash.conf文件使用说明
caoshunxin01的专栏
02-23 477
转载自:http://www.right.com.cn/forum/thread-148481-1-1.html 小白参考,老鸟不喷,欢迎纠正。 我加不上附件。直接放窗口上吧,复制后贴记事本里,另存成nodogsplash.conf就成了。 线中间是代码。(请管理员帮忙改成附件最好) ————————————————————————————————————————————————
windows防火墙设置端口开放技巧
02-05 2070
选择“打开或者关闭windows防火墙”把防火墙打开,然后选择“高级设置”,选择“创建规则”来指定端口。(这里也可以在“入站规则”里选择已经存在的端口。)   指定ip开放3389端口       某新服务器,开放80、3389后,Nmap扫描结果: 禁止这4条规则   Nmap重新扫描端口,发现只剩下80,3389     参考链接:   ...
如何在CentOS 8上使用firewalld设置防火墙
08-15 2499
介绍 (Introduction) firewalld is firewall management software available for many Linux distributions, which acts as a frontend for Linux’s in-kernel nftables or iptables packet filtering systems. fir...
晕,超级详细的IPTABLES指南
weixin_33798152的博客
10-21 181
1. 序言1.1. 为什么要写这个指南我发现目前所有的HOWTO都缺乏Linux 2.4.x 内核中的Iptables和Netfilter 函数的信息,于是我试图回答一些问题,比如状态匹配。我会用插图和例子 rc.firewall.txt 加以说明,此处的例子可以在你的/etc/rc.d/使用。最初这篇文章是以HOWTO文档的形式书写的,因为许多人只接受HOWTO文档。 还...
【翻译】用端口敲门绕过防火墙规则并保证安全完整性
Purpleendurer@CSDN
08-02 4393
Use port knocking to bypass firewall rules and keep security intact用端口敲门绕过防火墙规则并保证安全完整性by Jonathan Yarden作者:Jonathan Yarden翻译:endurerKeywords: Security | VPNs | Firewalls | Security applications/tools
Iptables 1.1.19详解:Oskar Andreasson经典教程
通过这个教程,读者可以学习如何配置iptables规则集,包括基本的输入/输出规则(INPUT, OUTPUT, FORWARD),状态检测(stateful)和连接跟踪,以及应用层协议(如HTTP、FTP等)的过滤。此外,教程还涉及iptables的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值