iptables的备份、恢复及防火墙脚本的基本使用

最新推荐文章于 2021-12-25 17:35:12 发布
最新推荐文章于 2021-12-25 17:35:12 发布
阅读量106 收藏 1
点赞数
文章标签: 操作系统 shell 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34240657/article/details/85087174
版权

iptables的备份、恢复及防火墙脚本的基本使用

linux系统中,iptables为我们提供了批量备份与恢复规则的命令,也提供了标准的系统服务以便开启、关闭防火墙功能。

一:规则的导出、导入:

规则的备份及还原:

防火墙规则的批量备份、还原用到两个命令 iptables-saveiptables-restore,分别用来保存(Save)和恢复(Restore)。

1iptables-save 命令

iptables-save命令用来批量导出Linux防火墙规则。

直接执行iptables-save:显示出当前启用的所有规则,按照rawmanglenatfilter表的顺序依次列出;

084418821.png

 -t表名”:列出某一个表;

eg:列出nat表的规则内容:

084419284.png

注解:

  • #”号开头的表示注释;“*表名”表示所在的表;

  • “:链名默认策略”表示相应的链及默认策略,具体的规则部分省略了命令名“iptables”;

  • COMMIT”表示提交前面的规则设置;

eg:将当前已设置的所有防火墙规则备份为/opt/iptables.txt文件:

[root@iptables ~]# iptables-save > /opt/iptables.txt###备份所有表的规则

[root@iptables ~]# wc -l /opt/iptables.txt###确认备份规则的行数

084419310.png

备份某一个表的格式:iptables-save  -t 表名

eg:备份当前filter表的规则内容为filter.txt文件:

084419825.png

2iptables-restore 命令

作用:批量导入Linux防火墙规则。也需要结合重定向输入来指定备份文件的位置。

084435748.png

3使用iptables服务

脚本位置:/etc/init.d/iptables 

规则文件位置:/etc/sysconfig/iptables (默认没有此文件)

a.自动启用防火墙规则:

将调试好的各种iptables规则,使用iptables-save备份为默认的规则配置文件/etc/sysconfig/iptables,然后通过iptables服务来调用。

eg:保存当前的防火墙规则,并设置在每次开机后根据已保存的规则内容自动进行重建:

084435486.png

如果此前已经设置有防火墙规则,则start操作将会先检查并清空现有规则、卸载部分模块后再重新构建(相当于restart),可能导致网络连接短暂中断,建议开机自动执行,而不是手动执行。

084435237.png

b.清空所有防火墙规则:

停用iptables服务是一次性清空所有表的规则的最快捷的方法:

084435317.png

二:使用防火墙脚本:

防火墙脚本的优势:便于使用shell变量、程序控制逻辑;作为独立的文件在需要重用、移植使用时会非常方便。

1.定义基本变量:

将防火墙的网卡、IP地址、局域网段、iptables命令的路径等定义为变量:

INET_IF="eth0"                                    ###外网接口

INET_IP="173.16.16.1"                        ###外网接口地址

LAN_IF="eth1"                                        ###内网接口

LAN_IP="192.168.10.1"                         ###内网接口地址

LAN_NET="192.168.10.0/24"                ###内网网段

LAN_WWW_IP="192.168.10.2"            ###网站服务器的内部地址

IPT="/sbin/iptables"                                 ###iptables命令的路径

MOD="/sbin/modprobe"                         ###modprobe命令的路径

CTL="/sbin/sysctl"                                    ###sysctl命令的路径

084450505.png

2.加载内核模块(5.5系统为例):

(与FTP发布相关的ip_nat_ftpip_conntrack_ftp)需手动进行加载。

$MOD ip_tables                ###iptables基本模块

$MOD ip_conntrack        ###连接跟踪模块

$MOD ipt_REJECT        ###拒绝操作模块

$MOD ipt_LOG                ###日志记录模块

$MOD ipt_iprange            ###支持IP范围匹配

$MOD xt_tcpudp                ###支持TCPUDP协议

$MOD xt_state                    ###支持状态匹配

$MOD xt_multiport            ###支持多端口匹配

$MOD xt_mac                    ###支持MAC地址匹配

$MOD ip_nat_ftp                ###支持FTP地址转换

$MOD ip_conntrack_ftp        ###支持FTP连接跟踪

084451381.png

3.调整/proc参数:

  • /procLinuxUNIX中的一种伪文件系统机制,提供了访问内核运行结构、改变内核设置的实时数据。

  • ext4NFSFAT32等文件系统不同,/proc中的数据存放在内存而不是硬盘上。

  • /proc/sys下存放着与系统相关的可控参数,可以直接用来改变内核的行为,通常作为Linux的内核调优的实时入口。

  • 也可以写到/etc/sysctl.conf文件中,sysctl-p使修改生效。

$CTL -w net.ipv4.ip_forward=1                            ###打开路由转发功能

$CTL -w net.ipv4.ip_default_ttl=128                    ###修改ICMP响应超时间

$CTL -w net.ipv4.icmp_echo_ignore_all=1        ###拒绝响应ICMP请求

$CTL -w net.ipv4.icmp_echo_ignore_broadcasts=1    ###拒绝响应ICMP广播

$CTL -w net.ipv4.tcp_syncookies=1                    ###启用SYN Cookie机制

$CTL -w net.ipv4.tcp_syn_retries=3                    ###最大SYN请求重试次数

$CTL -w net.ipv4.tcp_synack_retries=3            ###最大ACK确认重试次数

$CTL -w net.ipv4.tcp_fin_timeout=60                ###TCP连接等待超时

$CTL -w net.ipv4.tcp_max_syn_backlog=3200            ###SYN请求的队列长度

084451886.png

注解:

ICMP相关的参数调整可使本机忽略其他主机的ping测试,TCP相关的内核参数调整可适当提高本机抗DoS***的能力

4.设置具体的iptables规则:

aa.清理已有的规则(避免已有防火墙规则造成的干扰):

删除所有表中用户自定义的链、清空所有链内的规则:

084451119.png

实际生产环境中,防火墙过滤规则建议采取“默认拒绝”的策略。

bb.设置nat表中的各种规则、设置filter表中的各种规则(根据实际需求自行添加):

  • iptablesnat表主要用在Linux网关服务器中,主机型防火墙方案中很少会用到。

  • iptablesfilter表主要用来过滤数据包,Linux网关或Linux服务器都经常用到。

主机型防火墙主要使用INPUTOUTPUT链,网络型防火墙主要使用FORWARD

cc.为脚本文件添加执行权限,并设置自启动,并将脚本路径写入到/etc/rc.local文件中:

084451227.png

使用IP地址黑、白名单

084451788.png

黑白名单需要提前建立ip地址文件,同时需要注意的是:必须严格控制访问ip地址名单列表的权限。

最后,通过对iptables这三部分的介绍,我们可以根据需求进行简单的、亦或复杂的批量部署的主机型防火墙脚本及网络型防火墙脚本编写。

 

weixin_34240657
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 4426
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
Linux备份当前规则,iptables规则备份恢复与firewalled介绍和相关操作
weixin_42118161的博客
05-13 450
一、iptables规则备份恢复我们在设置防火墙规则的时候,规则只是保存在内存中,并没有保存到某一个文件中。系统重启重启之后,之前设定的规则就么有了,所以设定好之后要先保存一下,使用命令:[root@zlinux ~]# service iptables saveiptables: Saving firewall rules to /etc/sysconfig/iptables:[ 确定 ]...
iptables基础用法及规则
公众号Technology_stack作者,IT咨询请公众号私信
04-29 294
iptables命令的管理控制选项 iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] 说明:表名、链名用于指定iptables命令所操作的表和链, 命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样条件的数据包进行处理; 目标动作或跳转用于指定数据包的处理方式(比如允许通过、拒绝、丢弃、跳转(Jump)给其它链处理。 -A 在指定链的末尾添加(append)一条新的规则 -D 删除(delete)指
防火墙的概念、iptables介绍、iptables常用扩展模块、iptables规则保存与自动重载、iptables自定义链使用
zerocdn的博客
03-21 701
防火墙的概念 安全技术 入侵检测与管理系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式 入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统...
linux iptables存储的位置,iptables保存规则
weixin_42327743的博客
05-13 1万+
iptables的配置文件保存在/etc/sysconfig/iptables-config 下,书写了iptables规则后,如果需要保存规则,可以使用命令:iptables-save,使用此命令的规则位置可以是任意的,此时保存的规则在重启机器后无法自动生效,需要使用命令iptables-restart恢复,或者写入机器启动脚本/etc/rc.d/rc.local里面。以下为教材里使用的命令:保...
Iptables防火墙基本原理与配置
Iptables防火墙简介 ## 1.1 什么是Iptables防火墙Iptables防火墙是一种用于Linux系统的网络数据包过滤工具。它基于Linux内核的Netfilter框架,可以对进出的网络数据包进行检查和控制,从而实现网络安全的策略。...
架构-防火墙iptables
Struggle_Hard_Z的博客
12-25 1884
架构图详解 架构: 把一个整体(完成人类生存的所有工作)切分成不同的部分(分工),由不同角色来完成这些分工,并通过建立不同部分相互沟通的机制,使得这些部分能够有机的结合为一个整体,并完成这个整体所需要的所有活动,这就是架构 1.用户需求 用户带着域名提交访问请求 2.DNS 通过DNS解析域名找到该域名对应IP返回 3.防火墙(iptables) 也叫:包过滤防火墙 iptables内置4个表,即filter表、nat表、mangle表和raw表 每个表都会有相应的链 filter表
iptables防火墙
weixin_44439515的博客
05-11 625
iptables防火墙 防火墙分类:硬件防火强(要钱的,获取那g bin)并且和我们没关系)。软件防火墙iptables http:// blog.csdn.net/sdytlm/article/details/6544913 规则链: 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机 INPUT:处理入站数据包 OUTPUT:处理出战数据...
总结:防火墙iptables
wauzy的博客
07-26 410
iptables基本认识 Netfilter组件 内核空间,集成在linux内核中 官网文档:https://netfilter.org/documentation/ 扩展各种网络服务的结构化底层框架 内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具 (iptables)向其写入规则 由信息过滤表(table)组成,包含控制
3.3 iptables防火墙备份恢复
weixin_34032779的博客
09-27 215
iptables防火墙备份恢复 一规则的备份恢复 防火墙的批量备份和还原用到两个命令iptables-save、iptables-restore,分别用来备份恢复 ·iptables-save备份工具:可结合重定向输出保存到指定文件 1查看当前启用的所有规则 "#注释";"*表名";":链名默认策略"(省略了命令名iptables);"COMMIT"表示提交前面的规则设...
iptables-save 和 iptables-restore开放端口
weixin_43326122的博客
05-15 876
# 生成配置文件 /usr/sbin/iptables-save > /etc/sysconfig/iptables-config # iptables-config包含五部分 nat, mangle, security, raw, filter # vi /etc/sysconfig/iptables-config # 在filter部分的最后加入 -A IN_public_allow -p tcp -m tcp --dport {{开放端口}} -m conntrack --ctstate NE
Linux iptables命令详解
热门推荐
一口Linux的专栏
03-22 15万+
iptables 是 Linux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。下面良许小编就将从几个方面对于Linux iptables命令进行详述,希望对大家有所帮助。 iptables简介 iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和
iptables基础知识
chengxuyuanyonghu的专栏
07-13 4170
iptables由3个表filter,nat,mangle组成,主要实验了filter表,这个表是用来过滤数据包的, 有三个链INPUT,OUTPUT,FORWARD。 配置防火墙策略有固定的格式 Iptables  表名   链名    匹配条件  动作 -t 表名 (默认为filter) ​ -A 链名(在该链末尾append追加
(十二)洞悉linux下的Netfilter&iptablesiptables命令行工具源码解析【下】
01-23 1783
iptables用户空间和内核空间的交互 iptables目前已经支持IPv4和IPv6两个版本了,因此它在实现上也需要同时兼容这两个版本。iptables-1.4.0在这方面做了很好的设计,主要是由libiptc库来实现。libiptc是iptables control library的简称,是Netfilter的一个编程接口,通常被用来显示、操作(查询、修改、添加和删除)netfilter的
iptables 分析
rheostat的专栏
08-14 4091
http://blog.chinaunix.net/uid-24207747-id-2622900.html iptables 分析(一) (2010-11-10 12:17) 分类: iptables **************** v1.4.1 ****************     iptables 是用户空间中用于管理包过滤及NAT 等
linux iptables新增和保存
黄啊码
09-22 6757
在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 方法一,过滤一些IP访问本服务器 要封停一个IP,使用下面这条命令:  代码如下 复制代码 iptables -I INPUT -s ***.***.***.*** -j DROP 要解封一个IP,使用下面这条命
iptables:应用防火墙规则:ptables-restore: 【失败
zxl2016的博客
04-13 5560
https://blog.csdn.net/ypf1527542612/article/details/78908199 开启端口的方法: 方法一:命令行方式 1.开放端口命令:/sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT 8080 端口,...
iptables 防火墙规则 的备份恢复
weixin_34281477的博客
07-10 204
在维护服务器时,通过iptables命令配置好的iptables规则是保存在内存中的,当服务器重启之后,这些规则将丢失,如何确保重启之后,原先配置的iptables规则能自动生效。 方案1: 重启之前,备份当前的iptables规则,然后在服务器启动时,将规则导入iptables。 相关脚本备份iptables规则,将规则文件保存到当前用户目录下。 iptabl...
实用shell脚本防火墙防范、系统告警与MySQL备份
如果检测到某个IP对系统有异常流量,脚本会检查iptables规则库中是否已有针对该IP的DROP策略。如果没有,则添加新的规则将该IP阻断,并记录操作日志至`/tmp/drop_ip.log`。这有助于保护系统免受恶意攻击。 2. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值