iptables基础

最新推荐文章于 2024-10-04 17:43:00 发布
最新推荐文章于 2024-10-04 17:43:00 发布
阅读量104 收藏
点赞数
文章标签: 操作系统 运维 开发工具
原文链接:http://blog.51cto.com/1362336072/2061412
版权

iptables----4张表----5个链---规则(过滤/控制作用)

-n 数字
-L 列表
-t 指定表 默认filter

加载如下模块到linux内核
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

lsmod |egrep "filter|nat"

iptables - F 清除所有规则
iptables -X 删除自定义的链
iptables -Z 清除计数器

-A 在末尾行添加规则
-C 检查
-D 删除
-I 在第一条添加规则
-s 指定源地址处理
-i 指定进入接口 INPUT
-o(小写)指定 出去接口 OUTPUT

iptables -t filter -A INPUT -p tcp --dport 22 -j DROP #自杀
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

--dport 目的端口
--sport 源端口
-j 行为
行为包括(DROP丢弃)(ACCEPT接受)(REJECT拒绝)

iptables -nL --line-numbers 显示规则序列号

iptables -t filter -D INPUT 2 删除第二行

/etc/init.d/iptables restart(用iptables命令行配置的命令都是临时生效)。

iptables -t filter -A INPUT -i eth0 -p icmp -s 10.0.0.8 -j DROP #指定进入网卡为eth0 源地址为.8

取反
[root@oldboy ~]# iptables -t filter -A INPUT -i eth0 -p icmp ! -s 10.0.0.8 -j DROP
[root@oldboy ~]# iptables -t filter -I INPUT -i eth0 -p icmp ! -s 10.0.0.10 -j DROP

匹配主机源IP,目的IP
iptables -A INPUT -s 10.0.0.14
iptables -A INPUT -s ! 10.0.0.14
iptables -t nat -A PREROUTING -d 10.0.0.14
iptables -t nat -A PREROUTING -d ! 10.0.0.14

匹配网段
iptables -A INPUT -s 10.0.0.0/24
iptables -A INPUT -s ! 10.0.0.0/24

匹配单一端口
iptables -A INPUT -p tcp --sport 53
iptables -A INPUT -p udp --dport 53

匹配指定端口之外的端口
iptables -A INPUT -p tcp --dport ! 22
iptables -I INPUT -p tcp ! --dport 22 -s 10.0.0.123 -j DROP

匹配端口范围:
iptables -I INPUT -p tcp -m multiport --dport 21,22,23,24 -j ACCEPT <==次选
iptables -I INPUT -p tcp --dport 3306:8809 -j ACCEPT
iptables -I INPUT -p tcp --dport 18:80 -j DROP <==最佳
iptables -I INPUT -p tcp --dport 21,22,23,24 -j ACCEPT <==错误语法

●7.允许关联的状态包通过(web服务不要使用FTP服务)
#others RELATED ftp协议
#允许关联的状态包
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

限制指定时间包的允许通过数量及并发数
-m limit --limit n/{second/minute/hour}:
指定时间内的请求速率"n"为速率,后面为时间分别为:秒、分、时
--limit-burst [n]:
在同一时间内允许通过的请求"n"为数字,不指定默认为5
[root@nginx01 ~]# iptables -I INPUT -s 10.0.1.0/24 -p icmp --icmp-type 8 -m limit --limit 5/min --limit-burst 2 -j ACCEPT

=======================================
配置防火墙

iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT

[root@oldboy ~]# iptables -F
[root@oldboy ~]# iptables -X
[root@oldboy ~]# iptables -Z
[root@oldboy ~]# iptables -nL
[root@oldboy ~]# iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT
[root@oldboy ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@oldboy ~]# iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
[root@oldboy ~]# iptables -A INPUT -p tcp -s 172.16.1.0/24 -j ACCEPT
[root@oldboy ~]# iptables -P INPUT DROP

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT #允许回环端口访问

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p icmp -s 10.0.0.0/24 -m icmp --icmp-type any -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

nmap 10.0.0.19 -p 1-65535 ç时间很长
回执:
Starting Nmap 5.51 ( http://nmap.org ) at 2013-12-21 12:08 CST
Nmap scan report for C58-server-C (10.0.0.19)
Host is up (0.00028s latency).
Not shown: 65533 filtered ports
PORT STATE SERVICE
80/tcp open http

/etc/init.d/iptables save #保存
iptables-save >/etc/sysconfig/iptables #保存

=====================================
考试题:

局域网共享上网(nat表的POSTROUTING链(内网上外网)

db-01上:
ifdown eth0
route add default gw 172.16.1.5
route -n

lb-01上:
[root@lb01 ~]# vim /etc/sysctl.conf
[root@lb01 ~]# grep forward /etc/sysctl.conf

Controls IP packet forwarding

net.ipv4.ip_forward = 1
[root@lb01 ~]# sysctl -p
net.ipv4.ip_forward = 1
#地址转换
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.5
#查看
iptables -nL -t nat
vim /etc/resolv.conf

局域网共享的两条命令方法:
方法1:适合于有固定外网地址的:
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.8
(1)-s 172.16.1.0/24 办公室或IDC内网网段。
(2)-o eth0 为网关的外网卡接口。
(3)-j SNAT --to-source 10.0.0.8 是网关外网卡IP地址。
方法2:适合变化外网地址(ADSL):
iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -j MASQUERADE ç伪装。

=====================================

#在10段主机可以通过访问lb01 10.0.0.7:9999,即可访问到172.16.1.51:22 SSH

#LB-01上:
ip addr add 10.0.0.7/24 dev eth0 label eth0:0
#添加规则
iptables -t nat -A PREROUTING -d 10.0.0.7 -p tcp --dport 9999 -j DNAT --to-destination 172.16.1.51:22

#web-01上:
ssh -p9999 10.0.0.7

==================================
跨不同网段IP服务器通信问题
(1)生产环境大于254台机器网段划分及路由解决方案详解01
http://v.youku.com/v_show/id_XNTAyMjAwMzI0.html
(2) linux route命令深入浅出与实战案例精讲
http://oldboy.blog.51cto.com/2561410/1119453
http://oldboy.blog.51cto.com/2561410/974194
必看3遍以上。
映射多个外网IP上网
iptables -t nat -A POSTROUTING -s 10.0.1.0/255.255.240.0 -o eth0 -j SNAT --to-source 124.42.60.11-124.42.60.16
iptables -t nat -A POSTROUTING -s 172.16.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 124.42.60.103-124.42.60.106
#iptables -t nat -A POSTROUTING -s 172.16.1.0/22 -o eth0 -j SNAT --to-source 10.0.0.241-10.0.0.249
问题:
1、2000人被封
2、可用65535端口资源有限

===========================
iptables优化,了解即可
放到/etc/sysctl.conf下
sysctl -p 生效

dmesg里面显示 ip_conntrack: table full, dropping packet.的错误提示.如何解决。
#以下参数是对iptables防火墙的优化,防火墙不开会提示,可以忽略不理。
c58:
net.ipv4.ip_conntrack_max = 25000000
net.ipv4.netfilter.ip_conntrack_max=25000000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120
################################################################
C64:
net.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_max = 25000000
net.netfilter.nf_conntrack_tcp_timeout_established = 180
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

1.1.1 Iptables企业应用场景
1、主机防火墙(filter表的INPUT链)。
2、局域网共享上网(nat表的POSTROUTING链)。半个路由器,NAT功能。
3、端口及IP(一对一)映射(nat表的PREROUTING链),硬防的NAT功能。

转载于:https://blog.51cto.com/1362336072/2061412

Joe?
关注
Linux-----iptables基础
weixin_44167712的博客
01-22 307
Linux--iptables基础篇1 iptables基础篇1.1 iptables基础1.2 顺序读取规则1.3 命令格式1.3.1 参数:1.3.2 动作选项1.4 帮助及环境准备2 简单应用2.1 尝试禁止用户访问1521端口2.2 删除规则2.3 -A和-I的区别2.4 禁止192.168.0.20访问2.5 禁止非自己的访问2.6 禁端口范围2.7 匹配icmp类型2.8 匹配网络状态...
开启linux路由转发功能
weixin_34107739的博客
10-09 1380
如何使用iptables的NAT功能把红帽企业版Linux作为一台路由器使用? 方法: 提示: 以下方法只适用于红帽企业版Linux 3 以上。 1、打开包转发功能: echo "1" > /proc/sys/net/ipv4/ip_forward 2、修改/etc/sysctl.conf文件,让包转发功能在系统启动时自动生效: ...
如何开启Linux双网卡的转发功能
02-18 4130
一台Linux服务器,通过两个网卡,连接两个不同的网段, A:192.168.xxx.xxx    B:172.24.xxx.xxx,  从而实现了A网段和B网段的互通。原因Linux机器可以通过设置实现数据包的转发功能。 在不启动机器的情况下运行: #echo "1" > /proc/sys/net/ipv4/ip_forward 打开包转发功能。
服务器中转ip,iptables 路由转发, 将一台服务器的IP转发到另一个另一台服务器上面(远程序防护)...
weixin_42309456的博客
07-29 1743
《1》/sbin/iptables-IINPUT-s45.61.255.176-jACCEPT/sbin/iptables-IINPUT-d45.61.255.176-jACCEPT/sbin/iptables-IINPUT-s23.27.6.15-jACCEPT/sbin/iptables-IINPUT-d23.27.6.15-jACCEPT/sb...
linux ip 转发设置 ip_forward、ip_forward与路由转发
热门推荐
每天进步一点点。。。的博客
11-01 2万+
工作原理:内网主机向公网发送数据包时,由于目的主机跟源主机不在同一网段,所以数据包暂时发往内网默认网关处理,而本网段的主机对此数据包不做任何回应。由于源主机ip是私有的,禁止在公网使用,所以必须将数据包的源发送地址修改成公网上的可用ip,这就是网关收到数据包之后首先要做的工作--ip转换。然后网关再把数据包发往目的主机。目的主机收到数据包之后,只认为这是网关发送的请求,并不知道内网主机的存在,也没...
linux route命令深入浅出与实战案例精讲
weixin_34197488的博客
01-16 142
说明:本文来自老男孩linux运维实战培训-第7次课前笔试+上机考试题内容 1)考试题描述  见老男孩前面博文 http://oldboy.blog.51cto.com/2561410/974194 2)视频实战讲解分享(全屏观看效果更好)     特别说明:本文为生产环境大于254台机器网段划分及路由解决方案详解的铺垫 相关视频内容请博友们多多关注老男孩的博客更新。 ...
iptables 基础
杨仕虎的博客
06-02 650
格式:iptables [-t 表名] command 链名 [规则序号] 匹配条件 -j 执行动作 (默认不写表名为filter表)主要实现数据包的过滤、封包重定向和网络地址转换(NAT)等功能。不是所有的链都包含4张表,每个数据包经过各链的表进行匹配规则。表:针对链下面的类似规则属性进行汇总,便于管理。链:通过数据包的走向可以分为5种状态。
Iptables基础使用
01-09
1、防火墙基础 状态查看:service iptables status 打开:service iptables start 关闭:service iptables stop 2、防火墙安装 注意:仅以Centos7作为参考 1、查看防火墙是否已经安装或系统自带有 rpm -qa|grep ...
06.15 iptables防火墙
qunchao_Blog
07-24 665
第一章 什么是防火墙1. 软件防火墙 iptables免费 是开源。2. 硬件防火墙 华为 深信服 思科 H3C Juniper 天融信 飞塔 网康 绿盟科技 金盾3. 防火墙工作流程 4. iptables工作流程小结 防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。 如果匹配上了规则,即明确表明是阻止还是通过,此时数据包就不在向下匹配新规则了
安装虚拟机Centos系统并安装Docker过程记录
孟凡霄
07-31 483
前言 本文主要介绍下 1、Mac系统安装虚拟机Centos7 2、Centos安装docker、docker-compose的过程 缘何说起这个话题,是因为之前一篇文章 遗留的问题 轻量级日志系统Loki原理简介和使用 问题是:loki如何收集k8s的pod日志的问题 那篇文章介绍了4种方式 第一种方式 我在mac电脑上始终达不到预期的效果即 a、通过promtail访问指定路径下的日志文件 比如 访问/var/log/contaner/*目录下的所有文件 b、但是通过grafana界面
Linux 开启IP转发功能
02-22 6320
1.控制IP转发的配置文件 /etc/sysctl.conf 2.更改转发参数(0, 关闭; 1, 开启) # Controls IP packet forwarding net.ipv4.ip_forward = 1 3.查看配置 sysctl -p 4.临时更改转发设定 sysctl -w net.ipv4.ip_forward=1 或 echo 1 > /proc/sy
鸿蒙开发(NEXT/API 12)【申请接入Wear Engine服务】 穿戴服务
鸿蒙的技术博客
09-30 828
申请Wear Engine服务前(开发者需实名认证为个人开发者或者企业开发者,认证前,请先了解二者的[权益区别] ),确认开发环境并完成创建项目、创建HarmonyOS应用等基本准备工作,再继续进行以下开发活动。
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1185
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
Django Nginx+uwsgi 安装配置
lly202406的博客
10-02 540
本文将详细介绍如何在Linux环境下安装和配置Django应用程序,使用Nginx作为Web服务器和uwsgi作为应用程序服务器。
Linux嵌入式有发展吗,以及对uboot,kernel,rootfs的领悟
rjszcb的博客
09-30 736
上一份工作是2022,11—2023,11年底,汽车公司,底层修修改改,编译镜像,修改后,客户给东西,重新编译给他,客制化配置启动参数,环境,支持应用部门,不懂怎么使用某些驱动。uboot到底是干嘛的,想想,emmc的镜像文件是怎么被读到ddr的,emmc为啥可以被分区,烧录镜像,tftp网络命令为啥可以运行,启动设备时,为啥lcd可以看到图像,kernel还没启动,怎么出图像的。不管做应用开发,驱动开发也好,知道,系统原理,驱动框架,进程管理调度,内核竞争,信号,中断,锁,这些就够了。
使用Python实现在 Linux 和 Windows 之间的双向文件传输
2301_80892630的博客
09-29 704
在 Linux 和 Windows 之间可以用python程序实现双向文件传输,通过创建一个简单的文件传输程序来实现。该程序将使用套接字socket通信,允许任意一端发送或接收文件。这是在我的那篇实现python两个进程之间相互通信的基础上拓展的(不过只看这一篇文章也行),那篇文章传输的数据是字符串类型,今天我来实现文件的传输。
如何构建高并发网络服务器?(总结)
最新发布
喜欢就关注吧
10-04 765
如何构建高并发网络服务器?介绍了IO复用select,poll,epoll和异步IOiocp的使用。
iptables基础配置与规则示例详解
iptables是Linux系统中一个强大的包过滤工具,它用于控制进出系统的网络数据包。本文档提供了一些iptables配置实例,帮助用户理解和实践iptables的基本操作。以下是从提供的内容中提炼出的关键知识点: 1. **链的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值