iptables 访问控制配置

最新推荐文章于 2024-02-02 12:45:24 发布
最新推荐文章于 2024-02-02 12:45:24 发布
阅读量147 收藏
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/linushelp/p/7019229.html
版权

iptables 访问控制配置:

一,四表五链:(按优先级顺序)

  • raw:PREROUTING, OUTPUT
  • mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
  • nat:PREROUTING,[INPUT,]OUTPUT,POSTROUTING
  • filter:INPUT,FORWARD,OUTPUT

二,规则格式:

iptables   [-t table]   COMMAND   chain   [-m matchname [per-match-options]]   -j targetname [per-target-options]

三,可选参数:

1,-t table:(可以不写,默认filter)

raw, mangle, nat, ,filter

例子:查看nat表的所有链上的规则

iptables -t nat -nvL

2,COMMAND:

链管理:

  • -N:new, 自定义一条新的规则链;
iptables -N abc
  • -X: delete,删除自定义的规则链;
iptables -X abc (不加参数是清空)
  • -P:Policy,设置默认策略;对filter表中的链而言,其默认策略有:
    ACCEPT:接受
iptables -P INPUT ACCEPT

DROP:丢弃

iptables -P INPUT DROP

REJECT:拒绝

iptables -P INPUT REJECT
  • -E:重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除;
iptables -E aaa abc

规则管理:

  • -A:append,追加;
iptables -A INPUT -d 3.3.3.10 -p icmp -j DROP
  • -I:insert, 插入,要指明位置,省略时表示第一条;
iptables -I INPUT -d 3.3.3.10 -p icmp -j DROP
  • -D:delete,删除;
    (1) 指明规则序号;
iptables -D INPUT 1

(2) 指明规则本身;

  • -R:replace,替换指定链上的指定规则;
iptables -R INPUT 1 + 需要修改的规则
  • -F:flush,清空指定的规则链;
  • -Z:zero,置零;
  • iptables的每条规则都有两个计数器:
    (1) 匹配到的报文的个数;
    (2) 匹配到的所有报文的大小之和;

查看规则:

iptables filter -nvL --line-numbers

3,匹配条件

  • -s
    --source address[/mask][,...]:检查报文中的源IP地址是否符合此处指定的地址或范围;
  • -d
    --destination address[/mask][,...]:检查报文中的目标IP地址是否符合此处指定的地址或范围;
  • -p
    --protocol: tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh or "all"{tcp|udp|icmp}
  • -i
    --in-interfacename:数据报文流入的接口;只能应用于数据报文流入的环节,只能应用于PREROUTING,INPUT和FORWARD链;
  • -o
    --out-interfacename:数据报文流出的接口;只能应用于数据报文流出的环节,只能应用于FORWARD、OUTPUT和POSTROUTING链;

tcp拓展:
--sport +端口号
--dport +端口号
--tcp-flags SYN,ACK,FIN,RST SYN
表示,要检查的标志位为SYN,ACK,FIN,RST四个,其中SYN必须为1,余下的必须为0
--syn:用于匹配第一次握手,相当于 --tcp-flags SYN,ACK,FIN,RST SYN

udp拓展:
--sport +端口号
--dport +端口号

icmp拓展:
--icmp-type 8 请求报文
--icmp-type 0 相应报文

4,处理动作:

-j targetname [per-target-options]:

  • ACCEPT
  • DROP
  • REJECT
  • RETURN:返回调用链;
  • REDIRECT:端口重定向;
  • LOG:记录日志;
  • MARK:做防火墙标记;
  • DNAT:目标地址转换;
  • SNAT:源地址转换;
  • MASQUERADE:地址伪装;

5,显示拓展:(-m)

multiport:

iptables -A INPUT -s 172.16.100.10 -d 10.1.1.20 -p tcp -m multiport --dports 22,80 -j ACCEPT

iprange:

iptables -A INPUT -d 172.16.100.67 -p tcp --dport 80 -m iprange --src-range 172.16.100.5-172.16.100.10 -j DROP

string:

iptables -A OUTPUT -s 172.16.100.67 -d 172.16.0.0/16 -p tcp --sport 80 -m string --algo bm --string "gay" -j REJECT

time

connlimit

limit

iptables -I INPUT -d 172.16.100.67 -p icmp --icmp-type 8 -m limit --limit 3/minute --limit-burst 5 -j ACCEPT

state

iptables -A INPUT -d 172.16.100.67 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -s 172.16.100.67 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT

注意:
调整连接追踪功能所能够容纳的最大连接数量:
/proc/sys/net/nf_contrack_max 已经追踪到到的并记录下来的连接: /proc/net/nf_conntrack

不同的协议的连接追踪时长:
			/proc/sys/net/netfilter/
								
		iptables的链接跟踪表最大容量为/proc/sys/net/ipv4/ip_conntrack_max,链接碰到各种状态的超时后就会从表中删除;当模板满载时,后续的连接可能会超时

		解決方法一般有两个:
			(1) 加大nf_conntrack_max 值
			vi /etc/sysctl.conf
			net.ipv4.nf_conntrack_max = 393216 net.ipv4.netfilter.nf_conntrack_max = 393216 (2) 降低 nf_conntrack timeout时间 vi /etc/sysctl.conf net.ipv4.netfilter.nf_conntrack_tcp_timeout_established = 300 net.ipv4.netfilter.nf_conntrack_tcp_timeout_time_wait = 120 net.ipv4.netfilter.nf_conntrack_tcp_timeout_close_wait = 60 net.ipv4.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120

注意:在iptables上做vsftp显示需要加载ftp模块

modprobe nf_conntrack_ftp
lsmod | grep ftp

转载于:https://www.cnblogs.com/linushelp/p/7019229.html

weixin_38169359
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux中netfilter火墙访问控制策略优化----iptables
qq_60200126的博客
08-08 245
防火墙iptables1.火墙介绍什么是防火墙?有什么作用?netfilter/iptables 关系:2.火墙管理工具iptables的切换3.火墙默认策略4. iptables 的使用1.火墙策略的保存2.iptables命令(1)iptables命令的格式:(2)详解COMMAND(3)详解匹配标准(4)扩展匹配(5)详解-j ACTION3.SNAT和DNAT的实现 1.火墙介绍 什么是防火墙?有什么作用? 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙
iptables配置文档
06-11
实现禁止或者启用某个端口可以访问某台linux服务器,细致化控制可以控制到IP地址;
iptables网络访问控制
zyzn1425077119的博客
06-12 835
参考But_Bueatiful的博客:网址:http://blog.chinaunix.net/uid-26495963-id-3279216.html iptables将规则组成一个列表,实现绝对详细的访问控制功能。 这五个位置也被称为五个钩子函数(hook functions),也叫五个规则链。 1.PREROUTING (路由前) 2.INPUT (数据包流入口)
Linux中iptables访问控制
tiny_du的博客
07-04 1688
以下适用于centos7系统 iptables常用的有三个表,五个规则链 filter表:INPUT RORWARD OUTPUT (主机过滤) nat表: PREROUTING INPUTOUTPUT POSTROUTING (网络地址转换)F mangle表:PREROUTING INPUT FO...
iptables命令-- 服务器访问控制
最新发布
weixin_45172742的博客
02-02 193
iptables 是 Linux 操作系统中用于配置 IPv4 数据包过滤规则的工具。它可以用于设置、查看和修改防火墙规则,以控制网络流量。
iptables安全访问和防火墙
weixin_75101141的博客
04-06 308
iptables -A INPUT -p icmp -m iprange --src-range 192.168.233.20-192.168.233.30 -j REJECT#禁止网段内的ip地址ping主机。--line-numbers 规则带编号 iptables -t nat -L -n --line-number iptables -t nat -L --line-number。-L 查看 iptables -t nat -L (查看)
TCPwrapper访问控制工具
01-09
TCPwrapper是一种访问控制工具是操作系统自带的,类似于防火墙(iptables)可以用作访问控制。 针对系统进程来做限制的 TCPwrapper有两个配置文件(文件中写入ip或网段) 1./etc/hosts.allow 允许访问的文件(优先) 2./...
iptables配置3.pdf
10-30
iptables是Linux系统中的一种强大的网络访问控制工具,它基于netfilter框架实现,主要负责在网络数据包进入、离开或穿过系统时执行过滤和转换操作。iptable的规则集存放在内核空间的几个不同表中,这些表分别有不同...
iptables配置实例[参考].pdf
10-11
iptables是Linux内核中的一种包过滤工具,用于在网络流量中执行访问控制策略,它通过定义一系列规则来决定数据包是否可以被转发、接受或者丢弃。以下是对iptables配置实例的详细解析: 一、链的基本操作 1. 清除...
linux访问控制(四)iptables规则管理和常用操作
chinaltx的博客
02-25 900
一、规则的保存和重载 查看当前内存的规则 iptables -S [root@Tyson'sComputer ~]# iptables -S -P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT 保存当前内存中的规则 iptables -S> /path/file iptables-save[option]> /path/...
Linux iptables实现(SNAT)源地址转换以及http访问控制
qq_39330735的博客
11-19 2822
Linux iptables实现(SNAT)源地址转换以及http访问控制 1、实验要求SNAT:内网主机访问外网主机,通过iptables进行原地址转换,允许访问外网的httpd和ping 2、外网主机访问内网主机的http服务通过iptables进行目的地址(DNAT)转换 3、仅允许内网主机使用ssh远程管理iptabels通过vm1通过vm1接口进行管理,不允许其他主机通过任何端口进行ssh管理
iptables 防火墙进出控制
不爱吃奶昔(zsl0)的博客
05-06 1313
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。
网络资源访问控制iptables)和常用策略的介绍
weixin_33739523的博客
12-24 358
网络资源访问控制iptablesiptables是Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,那么有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。一种防火墙是一种非常有效地网络安全模式,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍对风险区的访问。一般...
linux网络_防火墙-iptables基础
weixin_34244102的博客
11-21 154
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables防火墙的原理和作用及访问控制
一个努力学习网安的小牛马
10-13 139
iptables防火墙的访问控制以及原理
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 2700
iptables防火墙详解
【Linux】Linux防火墙(iptables)基础操作指南
u012153104的博客
04-14 1354
本文重点介绍了 iptables 的基本原理、基本规则和配置命令,并通过实例让大家更深入地了解了 iptables 的使用方法。当然,iptables配置非常灵活,实际应用中还需要更加深入学习和掌握,以提高安全性和性能优化。
iptables 应用初探(nat+三层访问控制
郭晓檀的专栏
02-05 1131
 iptables是一个Linux下优秀的nat+防火墙工具,我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅。首先要说明的是,iptables操作的是2.4以上内核的netfi
ubuntu中iptables配置文件位置
08-08
在Ubuntu中,iptables配置文件位置是...请务必小心配置iptables规则,确保不会封锁你自己的网络连接或者导致系统无法正常访问。如果你对iptables不熟悉,建议在设置规则之前先学习一些基础知识或者请专业人士的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值