iptables命令全解

最新推荐文章于 2022-08-19 13:56:18 发布
最新推荐文章于 2022-08-19 13:56:18 发布
阅读量114 收藏
点赞数
文章标签: 网络 操作系统 python
原文链接:https://my.oschina.net/zhongjuan/blog/91031
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png


iptables 防火墙规则



#把环境搭建好,测试相邻设备之间的连通性。

#在LINUX服务器上开启路由功能

# echo 1 >/proc/sys/net/ipv4/ip_forward

#开启路由后,2个网段之间就可以互相通信了。

#定义三条防火墙策略,拒绝所有的访问。

iptables –P INPUT DROP

iptables –P OUTPUT DROP                                                     

iptables –P FORWARD DROP

//定义后,不管内网还是外网都不能访问iptables防火墙了。

//防火墙也不能访问其他的PC了(内网和外网都不能访问了)

#如何允许防火墙访问其他PC了,又要防火墙权限开到最小。

iptables –t filter –A OUTPUT –d 0.0.0.0/0 –j ACCEPT

//允许防火墙本地流量可以出去到任何网络

iptables –A INPUT –p icmp --icmp-type echo-reply –j ACCEPT

//允许所有的网络回显到防火墙本身接口(这样就可以看到ping通的回显了)

#假如还有很多服务,防火墙有一条默认规则出去,但有些服务必须还有回来访问到本地(Telnet、ssh)怎样允许服务到本地防火墙呢?

              iptables –A INPUT –p tcp –sport 22 –j ACCEPT

(1).允许PC1可以ping通外网的服务器,而PC2的拒绝ping通外网?

                                                                                                   源 目标 协议

# iptables –t filter –A FORWARD –s 192.168.10.1 –d 202.103.100.0/24 –p icmp --icmp-type echo-request –j ACCEPT                           //允许pc1的ping请求到外网服务器。请求 允许

源 目标 协议

# iptables –t filter –A FORWARD –s 202.103.100.0/24 –d 192.168.10.1 –p icmp -–icmp-type echo-reply –j ACCEPT                            //允许外网ping的回显到内网PC1

              #做完这两步后,pc1就可以ping通外网了,而pc2不能ping通外网

(2).允许PC1可以查看外网web服务,而pc2不可以访问外网web服务器?

              iptables –t filter –A FORWARD –s 192.168.10.1 –d 202.103.100.0/24 –p tcp--dport 80 –j ACCEPT

 //允许pc1访问外网的http服务器

iptables –t filter –A FORWARD –s 202.103.100.0/24 –d 192.168.10.1 –p tcp  --sport 80 –j ACCEPT

//允许外网Web服务器到内网

              #做完2步后,PC1可以访问外网web服务器了,而PC2就不可以访问外网web。

(3).允许pc1可以访问外网DNS服务器,而PC2不可以访问?

              iptables –t filter –A FORWARD –s 192.168.10.1 –d 202.103.100.0/24 –p udp  --dport 53 –j ACCEPT                

    / /允许pc1访问外网的DNS服务器

iptables –t filter –A FORWARD –s 202.103.100.0/24 –d 192.168.10.1 –p udp --sport 53 –j ACCEPT                        

//允许外网的53端口访问PC1。    

(4).允许pc1可以访问外网FTP服务器,而PC2不可以访问?

              iptables –t filter –A FORWARD –s 192.168.10.1 –d 202.103.100.0/24 –p  tcp –m multiport - -dport 20,21 –j ACCEPT

              //允许内网PC1访问到外网的ftp服务器20.21号端口

iptables –t filter –A FORWARD –s 202.103.100.0/24 –d 192.168.10.1 –p tcp –m multiport --sport 20,21 –j ACCEPT

              //允许外网FTP服务器访问到内网PC    

(5).拒绝外网PC、服务器ping通iptables防火墙的eth1接口IP?

              只要开启了三条链的默认规则DORP,默认外网就不能访问、ping通防火墙接口了。             

(6).允许外网100.1可以ping通IPTABLES的公网IP,而100.2不可以ping通?

              iptables –t filter –A INPUT –s 202.103.100.1 –d 202.103.100.200 –p icmp

              --icmp-request –j ACCEPT

              //允许100.1的ping请求进站到达iptables防火墙。

              iptables –t filter –A OUTPUT –s 202.103.100.200 –d 202.103.100.1 –p icmp  --icmp-reply –j ACCEPT

              //允许iptables的回显出站到100.1服务器

iptables上允许被开放的服务

iptables -A INPUT -p tcp --sport 80 -j ACCEPT                                       //允许开放TCP的80端口

iptables -A INPUT -p udp --sport 53 -j ACCEPT                                      //允许开启udp的53端口

iptables -A INPUT -p tcp --sport 25 -j ACCEPT                                       //允许开启TCP的25号端口

iptables NAT转换规则

iptables -t nat -L                         //查看NAT链中所有的规则

iptables -t nat -F                        //清除NAT里所有的规则

iptables -t nat -L -n --line-number //以序号显示NAT中的规则

iptables -t nat -D PREROUTING 1                     //删除PREROUTING中的第1条链


把内网的服务器发布到外网接口

#DNAT重定向,允许访问公网接口重定向到内网的服务器(538044325等)

              一.Web服务器的发布:

入站 协议 防火墙公网接口 服务端口 NAT 重定向到内网的80接口

iptables -t nat -A PREROUTING -p tcp -d 202.103.100.1 --dport 80 -j DNAT --to 192.168.1.11:80

#在防火墙默认的情况下,这样做后,所有的外网用户在访问eth1接口时,Linux服务器都会把该请求转交给2003web服务器。

#如果我们把所有的策略都设置成了拒绝(DROP),那还要写2条规则允许外网PC访问内网PC,规则如下:

1. 允许所有外网的IP访问到内网服务器。

iptables t filter A FORWARD s 0.0.0.0/0 d 192.168.1.11 p tcp dport 80 j ACCEPT

2. 允许内网web服务器的数据出去。

iptables t filter A FORWARD s 192.168.1.11 d 0.0.0.0/0 p tcp sport 80 j ACCEPT

本文出自 “技术无止境!” 博客,请务必保留此出处http://caixinwen.blog.51cto.com/936459/201055

转载于:https://my.oschina.net/zhongjuan/blog/91031

weixin_34390105
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables实战命令详解
shugyin的专栏
10-25 2128
iptables实战命令详解
iptables命令的使用详解和举例
aaronszm的博客
01-15 894
service iptables start setenforce 0 iptables -F service iptables save iptables -L -n iptables -P INPUT DROP iptables -L -n iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT iptables -L -n i...
iptables防火墙设置
不精通则死
01-23 770
iptables -A INPUT -p tcp -s 192.168.20.190 --sport 1521 -j DROP iptables -A OUTPUT -p tcp -d 192.168.20.190 --dport 1521 -j DROP s参数为原地址,d参数未目的地址。
iptables详解
wdt3385的专栏
12-25 4925
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
Linux 防火墙开放特定端口 (iptables
热门推荐
weixin_44260459的博客
02-09 2万+
查看状态: iptables -L -n 下面添加对特定端口开放的方法: 使用iptables开放如下端口 /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT 保存 /etc/rc.d/init.d/iptables save 重启服务 service iptables restart 查看需要打开的端口是否生效? /etc/init.d/iptables status 法2: 或直接编辑/etc/sysconfig/iptables -A INPUT
iptables 防火墙命令解析
chichooyy的博客
03-02 2402
防火墙iptables有三个要素:表,链,规则。 五个链: INPUT OUTPUT FORWARD PEROUTING POSTROUTING 四个表: raw mangle nat filter(优先级:raw --> mangle --> nat --> filter) 以下内置链可以满足对iptables的基本配置: INPUT:进来的数据包应用此规则链中的策略; OUTPUT:外出的数据包应用此规则链中的策略; FORWARD:转发数据包时应用此规则链中的策略;
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5408
iptables功能及配置
linux下的iptables防火墙之全解
ymeng9527的博客
06-04 1110
1.什么是iptablesIPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统 如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linu...
Linux防火墙入门级教程——iptables、firewalld配置详解
weixin_43507410的博客
08-11 498
合理的防火墙是你的计算机防止网络入侵的第一道屏障。你在家里上网,通常互联网服务提供会在路由中搭建一层防火墙。当你离开家时,那么你计算机上的那层防火墙就是仅有的一层,所以配置和控制好你 Linux 电脑上的防火墙很重要。如果你维护一台 Linux 服务器,那么知道怎么去管理你的防火墙同样重要,只要掌握了这些知识你才能保护你的服务器免于本地或远程非法流量的入侵。 很多 Linux 发行版本已经自带了防火墙,通常是iptables,它很强大并可以自定义,但配置起来有点复杂,firewalld也是用于管理Linux
k8s技术全解
weixin_41238665的博客
04-18 741
1.k8s概念和架构 1.1.k8s概述和特性 1.2.k8s特性 1.3.k8s集群架构组成部分 1.4.k8s核心概念 1.5.k8s集群架构组成部分
SSH整和步骤全解过程
05-20
如果服务器有防火墙(如`ufw`或`iptables`),记得打开SSH服务所需的端口(默认是22)以允许远程连接。 7. **自动化部署** SSH整合还常用于自动化部署流程。例如,可以使用`rsync`通过SSH进行文件同步,或者用`...
【进大厂必学】头条面试官让我最好学习点容器技术,Docker基础万字全解
L的存在的博客
06-01 645
这周分享的内容是关于 Docker 的基础,大概的内容分为下面的两个部分,另外还做了个视频,其实这个视频仅仅用来娱乐娱乐而已 前言 第一趴—Docker容器圈简介 第二趴—Docker基本操作 容器圈 容器这个新生事物,现在还可以说是新生事物吗?对于我们学生而言,我觉得没毛病,你说呢? 容器技术可说重塑了整个云计算市场的形态,带动了一批年轻有为的容器技术儿,不过「容器」这个概念是 Docker 公司发明的么,不是,它只是众多 Pass 项目中的最底层,没人关注的那一部分而已。 什么是Pass项.
iptables命令、规则、参数详解
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables防火墙
白给超人的博客
08-19 1192
IP信息包过滤系统,它实际上由两个组件 netfilter_和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则。iptables采用了表和链的分层结构,所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。
使用iptables禁止PING
weixin_34026276的博客
12-12 4736
使用iptables禁止PING echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all 这下是别人不能ping你,你也不能ping别人 将其值改为1后为禁止PING 将其值改为0后为解除禁止PING 其实使用iptable也很简单(INPUT链默认是DROP...
Linux策略路由和iptables OUTPUT链的一个细节
Netfilter
10-01 1万+
十一长假第一天,清晨我放飞一群白鸽范式如果想实现哪个网口进来的流量从哪个网口返回这么一个需求,有一个范式,我先贴出来:iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT iptables -t mangle -
iptables 禁止访问全部URL,开放部分URL
weixin_56793045的博客
11-19 2436
iptables 禁止访问全部URL,开放部分URL 1、禁止访问所有URL iptables -A OUTPUT -p tcp -d 0.0.0.0/0 --dport 443 -j DROP #禁止访问所有https iptables -A OUTPUT -p tcp -d 0.0.0.0/0 --dport 80 -j DROP #禁止访问所有http service iptables save #保存规则永久有效 2、开放指定URL iptables -I OUTPUT -p tcp
linux防火墙iptables原理及使用
weixin_33979363的博客
07-20 181
转载:http://blog.tianya.cn/post-5953305-86486544-1.shtmliptables简介netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。ip...
iptables命令实例与配置详解
本文档提供了一些关于iptables命令的实际应用实例,帮助用户理解和掌握其基本操作。 首先,`iptables-L --line-numbers -n` 命令用于列出当前iptables规则表中的所有规则,包括链(chain)、协议(protocol)、源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值