Linux防火墙之iptables建立规则和链

最新推荐文章于 2023-10-02 21:37:09 发布
最新推荐文章于 2023-10-02 21:37:09 发布
阅读量336 收藏
点赞数
文章标签: 操作系统 运维
原文链接:https://my.oschina.net/fhd/blog/413901
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

在RHEL 7.0中安装启动iptables:

yum install iptables-services                    #安装iptables
systemctl mask firewalld.service              #屏蔽firewalld服务
systemctl enable iptables.service            #设置开机启动
systemctl enable ip6tables.service          #设置开机启动
systemctl stop firewalld.service               #停止firewalld服务
systemctl start iptables.service                #开启iptables服务
systemctl start ip6tables.service              #开启ip6tables服务

一般情况下,iptables已经包含在Linux发行版中,可以运行“iptables --version”命令来查看系统是否安装了iptables。在RHEL 7.0中,iptables版本是iptables-1.4.21-13。如果系统确实没有安装iptables,那么可以从地址:http://www.netfilter.org/ 下载。

1. 查看规则集

虽然简单介绍了iptables的用法,但现实中可能需要知道更完整的信息。可以运行:

iptables --help

来查看快速帮助。要查看系统中现有的iptables规划集,可以执行如下命令:

sudo iptables --list

2. 增加规则

如例,示例中的规则将会阻止来自某一特定IP地址范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意的攻击者在活动。

iptables -t filter -A INPUT -s xxx.xxx.xxx.0/24 -j DROP

也可以很容易地阻止所有流向攻击者IP地址的数据包,该命令也只是稍有不同:

iptables -t filter -A OUTPUT -d xxx.xxx.xxx.0/24 -j DROP

3. 删除规则

网络上的恶意攻击者时刻在变化,因此也要不断地改变IP地址。假设一个网络攻击者转移到了新的IP地址,而其老的IP地址被分配给了一些清白的用户,那么这时这些用户的数据包将无法通过网络。在这种情况下,可以使用带 -D 选项的命令来删除现有的规则:

iptables -t filter -D OUTPUT -d xxx.xxx.xxx.0/24 -j DROP

4. 默认策略

创建一个具有很好灵活性并可以抵御各种意外事件的规则需要花费大量的时间。下面为每个链设置默认的规则。示例:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

选项 -P 用于设置链的策略,只有3个内建的链才有策略。示例中,这些策略可以使信息毫无限制地流出,但不允许信息流入。如果需要接收外部信息,则可使用以下命令,示例:

iptables -t filter -A INPUT -s 123.456.789.0/24 -j ACCEPT


这里只是简单的说说,难的我也没有搞过,做为开发人员,了解一下就好了!

转载于:https://my.oschina.net/fhd/blog/413901

weixin_34377919
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IPtables 自定义
Nanqiao_X的博客
02-08 3367
自定义是为了将iptables规则进行分类管理,想象一下,如果INPUT中存放了200条规则,这200条规则有针对httpd服务的,有针对sshd服务的,有针对私网IP的,有针对公网IP的,假如,我们突然想要修改针对httpd服务的相关规则,难道我们还要从头看一遍这200条规则,找出哪些规则是针对httpd的吗?这显然不合理。 1、创建一个名为in_test的 # iptables -N in_test 2、引用in_test # iptables -I INPUT -p tcp --dpor
iptables中的自定义
最新发布
weixin_63168851的博客
04-07 335
iptables
linux防火墙规则,Linux防火墙iptables建立规则
weixin_35762215的博客
05-12 230
在RHEL 7.0中安装启动iptables:yuminstalliptables-services#安装iptablessystemctlmaskfirewalld.service#屏蔽firewalld服务systemctlenableiptables.service#设置开机启动syste...
iptables自定义chain
魏志标的博客
08-10 1771
iptables中,可以创建自定义(Custom Chains)来组织和管理防火墙规则。自定义可以以更高层次和更好的可读性来管理规则,使配置和维护更加简单。以下为在iptables中创建和使用自定义的示例1:创建chain mychain2:添加规则到自定义禁止192.168.1.0的网段访问本机,丢弃源地址的流量3:调用自定义这将将所有传入 TCP 端口 80 的流量传递到 MYCHAIN 自定义进行处理。如果不调用自定义的规则,则自定义的规则无效4:删除自定义
Linux-----iptables防火墙基础-----基本语法------规则匹配条件
weixin_48191138的博客
08-05 378
文章目录一、Linux防火墙基础1.1 iptables的表、结构1.2 数据包控制的匹配流程二、编写防火墙规则2.1 基本语法、控制类型2.2 添加、查看、删除规则2.3 规则的匹配条件 一、Linux防火墙基础 1.1 iptables的表、结构 ▶规则规则的作用:对数据包进行过滤或处理 ●的作用:容纳各种防火墙规则的分类依据:处理数据包的不同时机 ▶默认包括5种规则 ●INPUT: 处理入站数据包 ●OUTPUT: 处理出站
iptables 定义规则
weixin_34148456的博客
11-14 79
iptables定义规则的方式大概是这种格式: iptables [-t table] COMMAND chain CRETIRIA -j ACTION -t 表名:指定要操作的表 COMMAND:定义策略 chain:指定要操作的 CRETIRIA:定义匹配的标准(分为多个标准) -j Target:策略进行...
防火墙的配置与备份----iptables的四条
weixin_34279184的博客
10-11 328
一、基本知识在现在的网络环境当中,我们使用的主机或者服务器很容易受到***,所以人们不断的针对各种***研究相应的对策,像杀毒软件这些,但是这些都是治标不治本,只能在受到***的之后再做出相应的处理,那么为了能够从根源上应对这种***,人们开发出了防火墙,将不安全的因素挡在主机外部,这样避免了主机和网络的直接接触就使主机的安全提升了很多。但是哪些才能算作不安全的因素呢...
iptables详解(10):iptables自定义
ss810540895的博客
10-20 944
示例:在filter表中创建IN_WEB自定义#示例:在INPUT中引用刚才创建的自定义#示例:将IN_WEB自定义重命名为WEB删除自定义需要满足两个条件1、自定义没有被引用2、自定义中没有任何规则#示例:删除引用计数为0并且不包含任何规则的WEB好了,自定义就总结到这里,希望这篇文章能够对你有所帮助~各位客官,再见啦,么么哒~~
iptables学习笔记4-自定义
xianyuLuo的博客
04-15 445
iptables学习笔记4-自定义
iptables 实战】03 自定义
程序员笔记
10-02 309
当前的机器IP为:10.1.0.10自定义IN_WEB,拒绝指定源ip的报文定义INPUT规则,引用 IN_WEB规则可以看到IN_WEB,这个时候references的数量为1了,表示有在引用ping 10.1.0.10,可以看到,此时不通了使用”-X”选项可以删除自定义,但是删除自定义时,需要满足两个条件:1、自定义没有被任何默认引用,即自定义的引用计数为0。2、自定义中没有任何规则,即自定义为空。
Iptables防火墙如何自定义
江晓龙的博客
07-09 858
为什么需要自定义呢?默认的四表五不满足基本使用吗?其实并不是,四表五完全满足使用,但是当我们同一类程序有很多个防火墙规则时,例如都写在INPUT中,那么当我们要对其中的一条规则进行调整了,就会发现上下有关联性,修改起来不是那么容器,因为这个INPUT中还有其他的服务规则。基于这种情况,我们就可以去自定义一张新的,在这个中,只定义这一类程序的防火墙规则。自定义规则优先级:1)创建一个自定义 2)在自定义的中添加防火墙规则添加了一条防火墙规则,来自192.168.20.21源地址的客户端禁
08-linux网络管理-iptables基础(四表五、禁止ping、防火墙规则添加/删除、自建链使用、SNAT\DNAT模式、FTP服务器防火墙规则防火墙规则备份)
运维玄德公
01-28 1561
1. 概述 1.1 四表 1.2 五 1.3 四表五的关系 1.4 使用流程 2. 语法和操作 1.1 语法 1.2 常用操作命令 1.3 基本匹配条件 1.4 基本动作 1.5 语法示例 3. 完整示例 3.1 创建和删除规则 3.2 创建新并应用 3.3 SNAT模式 3.3 DNAT模式 3.4 FTP服务器防火墙规则
iptables实质
weixin_33973600的博客
05-26 183
原文接:http://blog.chinaunix.net/uid-26824563-id-3308320.html基本概念:http://caisangzi.blog.51cto.com/6387416/1286421 iptables 防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮...
iptables详解(3):iptables规则管理
ss810540895的博客
10-20 1992
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达接如下上一篇文章中,我们已经学会了怎样使用iptables命令查看规则,那么这篇文章我们就来总结一下,怎样管理规则。之前,我们把查看iptables规则的操作比作”增删改查”当中的”查”,那么在这篇文章中,我们就聊聊怎样对iptables进行”增、删、改”操作。
iptables防火墙
Another_Feng的博客
03-24 527
iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables关系: netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又称为用户空间)的防
iptables规则建立
oubang的专栏
05-10 1179
声明:该文章转自http://www.ibm.com/developerworks/cn/linux/network/s-netip/ 1、安装netfilter/iptables系统因为netfiler/iptables的nerfilter组件是与内核2.4x集成在一起的,所以只需下载并安装iptables用户空间工具1)需求下面是安装netfilter/iptables系统的需求硬件:需要有一个运行linux os并连接到因特网、LAN或WAN的系统。软件:带有内核2.4或更高版本的任何版本的Linux
iptables 命令介绍
weixin_33964094的博客
04-19 1262
原文iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单。 首先介绍iptables的结构:iptables -> Tables -&...
iptables简介 自定义
lbyyy的专栏
12-26 7973
iptables简介 自定义
linux防火墙iptables常用命令与基础知识
热门推荐
pingweicheng的博客
05-28 3万+
1.iptables常用命令1.1查看是否已经安装了iptables以及iptables版本号iptables -V (注意:V是大写字母V)1.2 关闭iptablesservice iptables stop1.3 启动iptablesservice iptables start1.4重启iptablesservice iptables restart1.5保存命令行中设置的ipt...
Linux系统使用iptables创建可访问白名单
syilt的博客
10-20 2万+
目前由于项目要求需要修复一些linux系统的漏洞,部分使用了iptables的功能,因此研究了一下iptables的原理,并讲述创建系统访问白名单的过程。 1.iptables的工作机制首先列出iptableslinux内核中涉及的五个位置: 1.内核空间中:从一个网络接口进来,到另一个网络接口去的 2.数据包从内核流入用户空间的 3.数据包从用户空间流出的 4.进入/离开本机的外网接口 5.进入
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值