iptables实战

已于 2022-09-04 19:40:22 修改
阅读量1k 收藏 4
点赞数 1
分类专栏: 网络安全
于 2022-09-01 22:23:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42374938/article/details/126638758
版权

网络 服务器 tcp/ip

1、只对外开放某个端口

在这里插入图片描述

允许本地访问外部IP地址和端口号,通过设定白名单的方式可以防止本机去访问别的服务器。通过这种场景的设置,可以最大可能避免反弹shell和挖矿程序去试图通过本地访问目标服务器下载恶意程序或执行恶意指令。

iptables -I INPUT -i  ens33 -p tcp -s 192.168.112.153 --sport 80 -j ACCEPT
iptables -I OUTPUT -o  ens33 -p tcp -d 192.168.112.153 --sport 80 -j ACCEPT

通过以上设置本机可以与192.168.112.153的80端口进行交互。注意上述是本机访问其他服务器。

2、防止DDOS攻击,设定一些数据的限制条件

iptables -A INPUT -p --sport 80 -m limit 25/minute --limit-burst 100 -j ACCEPT

3、端口转发

1、本机端口转发:比如80端口对外封闭,开放一个45692供外部访问,外部只知道45692,不知道80,可以避免协议猜测。

iptables -t nat -A PREROUTING -p tcp --dport 45692 -j REDIRECT --to-port 80

如上表示把45692端口的流量转发到80端口。

2、远程端口转发:把本机接收到的请求转发到远程电脑和对应端口上,远程可以是本地局域网,也可以是公网服务器。
远程端口转发时需要确保端口转发功能是启用的。

在这里插入图片描述
或者

vi /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p /etc/sysctl.conf

(1)SNAT
原地址转换典型应用环境:局域网主机共享单个公网IP地址接入inernet。
前提条件:
(1)局域网各主机正确设置IP地址/子网掩码。
(2)局域网各主机正确设置默认网关地址。
(3)Linux网关支持IP路由转发。
实现方式:
在这里插入图片描述
配置SNAT时也可能会指定某个地址的某个端口:

iptables -t nat -A POSTROUTING -d 192.168.112.153 -p tcp --dport 80 -j SNAT --to 192.168.112.188

表示将目标服务器上的目标端口路由给本机,192.168.112.188表示本机的ip地址,192.168.112.153表示目标服务器,80是目标端口。
在这里插入图片描述
(2)DNAT
目标地址转换典型应用环境:在Internet中发布位于企业局域网内的服务器。
前提条件:
(1)局域网的Web服务器能够访问Internet。
(2)网关的外网IP地址有正确的DNS解析记录。
(3)Linux网关支持IP路由转发。
实现方式:
在这里插入图片描述
指定端口时可写成如下:

iptables -t nat -A PREROUTING -d 192.168.112.188 -p tcp --dport 80 -j DNAT --to-destination 192.168.112.153:80

表示如果有人访问192.168.112.188的80端口,则DNAT会转发给192.168.112.153的80端口。

心若向阳,何谓悲伤
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux--iptables实战
tudoujun123的博客
12-28 1288
什么是包过滤防火墙? 就是过滤数据包的防火墙 什么是包? 在数据传输过程中,并不是一次传输完成的,而是将数据分成若干个包,一点一点的传输的 1.iptables链的四表五链 四表:具备某种功能的集合叫做表。 filter:负责做过滤功能(input output forward) nat:网络地址转换(prerouting input output postrouting) mangle:负责修改数据包内容(prerouting input output postouting forward
iptables实践
夏至ゞ的博客
01-14 187
iptables四表五链,数据包流向;iptables命令适用实践。
iptables实战总结
高性价比服务器就选:蓝易云
08-12 107
需要注意的是,iptables配置可能相当复杂,且错误的设置可能导致网络故障或安全漏洞。在配置iptables之前,建议先备份并了解相关文档和最佳实践,以确保正确且安全地配置防火墙规则。以上是关于iptables实战的一些总结。希望这些信息能够帮助你了解和使用iptables来保护和管理你的Linux系统网络流量。如需更详细的信息,请参考相关的文档和资源。iptables是一个强大的Linux防火墙工具,用于配置和管理网络数据包过滤规则。
iptables实例
qq_50247813的博客
04-04 2602
部署具体操作参考:https://blog.csdn.net/qq_50247813/article/details/129269580。4、 开放22端口,并设置filter表INPUT默认禁掉所有不匹配的规则。实例2、只允许某个ip或者某个ip端的网络访问本机的80端口。1) 只允许192.168.44.1地址访问本机的80端口。1) 先来测试一下,不开发80端口是否可以访问。2) 限制某个ip段的网络访问本机的80端口。实例1、运行web服务开放80端口。2、 开放80端口并访问测试。
【Linux】Iptables 详解与实战案例
康师傅没有眼泪
07-03 4053
​ netfilter/iptables(简称为iptables)组成 Linux 平台下的网络数据包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。...
iptables 实战】06 iptables网络防火墙实验
最新发布
程序员笔记
10-02 1431
如果想要iptables作为网络防火墙,iptables所在主机开启核心转发功能,以便能够转发报文。#使用如下命令查看当前主机是否已经开启了核心转发,0表示未开启,1表示已开启#使用如下两种方法均可临时开启核心转发,立即生效,但是重启网络配置后会失效。方法一:echo 1 > /proc/sys/net/ipv4/ip_forward方法二:sysctl -w net.ipv4.ip_forward=1#使用如下方法开启核心转发功能,重启网络服务后永久生效。
iptables原理与实战.pptx
03-05
介绍了iptables的原理与使用方式,希望对大家有用。iptables是一个用来对包过滤规则进行管理的用户态程序; iptables最初由Rusty Russell开发,于1998年发布第一个版本; 基于netfilter框架实现,本质上是linux...
iptables高级应用实战案例
12-16
本知识点详细介绍了iptables中的SNAT(源地址转换)和DNAT(目的地址转换)的高级应用,以及通过实战案例的形式展示它们的配置和应用。 首先,SNAT源地址转换的主要原理是在数据包通过路由器的POSTROUTING链时,将...
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
Linux iptables防火墙深度理解与实战应用
10-17
Linux iptables防火墙深度理解与实战应用
内网渗透之——内网转发(反弹shell、端口、代理)
wsnbbz的博客
04-03 1万+
目的 渗透测试中,我们往往会面对十分复杂的内网环境,比如最常用的防火墙,它会限制特定端口的数据包出入。 需要转发的情况 1.A可以访问B的80端口,但是不能访问B的3389端口。 2.A可以访问B,B可以访问C,但是A不可以访问C,需要通过B转发数据,让A和C进行通信。 代理方式 正向代理 正向代理是客户端主动访问服务器的端口 我们常说的代理就是指正向代理,正向代理的过程,它...
配置iptables,把80端口转到8080
czj01288的博客
04-07 1102
在Linux的下面部署了tomcat,为了安全我们使用非root用户进行启动,但是在域名绑定时无法直接访问80端口号。众所周知,在unix下,非root用户不能监听1024以上的端口号,这个tomcat服务器就没办法绑定在80端口下。所以这里需要使用linux的端口转发机制,把到80端口的服务请求都转到8080端口上。 在root账户下面运行一下命令: 1 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 注
iptables基本概念及操作
Error_404notFound的博客
05-31 730
定义 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。对于TCP/IP
iptables系列教程(三)| iptables 实战
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-16 636
一个执着于技术的公众号实战1 服务器禁止pingiptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP // 禁止任何人ping通本...
8080端口映射到80端口
倾心静听的博客
11-24 4241
执行命令   sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 该命令只是执行一条iptables映射,但是如果机器重启,映射又会失效。 所以需要执行入下命令: # service iptables save # service iptables restart 保存映射,...
对于linux的进站白名单ip和端口的配置
热门推荐
GinChou的萌新博客
09-03 1万+
环境: uname -a(命令) : Linux localhost.localdomain 3.10.0-862.el7.x86_64 #1 SMP Fri Apr 20 16:44:24 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux more /etc/redhat-release(命令): CentOS Linux release 7.5.1804 (...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值