iptables防火墙规则

最新推荐文章于 2024-06-07 17:07:00 发布
最新推荐文章于 2024-06-07 17:07:00 发布
阅读量1k 收藏 20
点赞数 19
文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42434700/article/details/135290719
版权

文章目录

简介

iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。

基本的 iptables 概念和使用方法:

  1. 表(Tables): iptables 有四个主要的表,分别是:

    • filter 表: 用于过滤数据包,决定是否允许或拒绝数据包通过。
    • nat 表: 用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。
    • mangle 表: 用于修改数据包的特定字段,如 TTL(生存时间)。
    • raw 表: 用于配置连接跟踪表规则。

  2. 链(Chains): 每个表包含一些链,链是规则的集合,用于定义数据包的处理流程。常见的链包括

    • INPUT(处理输入数据包)
    • OUTPUT(处理输出数据包)
    • FORWARD(处理转发数据包)

  3. 规则(Rules): 规则定义了数据包的匹配条件以及匹配条件满足时应该执行的动作。每个规则包含一个匹配条件和一个动作。常见的动作包括 :

    • ACCEPT(允许通过)
    • DROP(丢弃数据包)
    • REJECT(拒绝数据包并发送拒绝信息)

  4. 目标(Target): 目标是规则执行时的动作,例如 ACCEPT、DROP 等。目标指定了数据包应该如何处理。

iptables的一些常用规则

一、清空规则并设置默认链策略

清空现有规则:

iptables -F

设置默认链策略为DROP:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

二、屏蔽指定的IP地址

屏蔽指定IP地址(例如BLOCK_THIS_IP):

BLOCK_THIS_IP="x.x.x.x"
iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP
# 或仅屏蔽来自该IP的TCP数据包
iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP

三、允许Ping测试

允许外部对本机进行Ping测试:

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

允许本机Ping外部主机:

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

四、允许环回访问

允许本机的环回访问:

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

五、允许SSH连接请求

允许所有来自外部的SSH连接请求:

iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

允许本机发起的SSH连接:

iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

六、允许HTTP和HTTPS连接请求

# 允许HTTP连接: 80端口
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

# 允许HTTPS连接: 443端口
iptables -A INPUT -i eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT

七、允许出站DNS连接

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT

八、允许NIS连接

# 获取NIS相关端口
rpcinfo -p | grep ypbind

# 允许连接到111端口的请求数据包,以及ypbind使用到的端口
iptables -A INPUT -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j ACCEPT
iptables -A INPUT -p tcp --dport 853 -j ACCEPT
iptables -A INPUT -p udp --dport 853 -j ACCEPT
iptables -A INPUT -p tcp --dport 850 -j ACCEPT
iptables -A INPUT -p udp --dport 850 -j ACCEPT

九、允许IMAP和IMAPS

# 允许IMAP连接: 143端口
iptables -A INPUT -i eth0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

# 允许IMAPS连接: 993端口
iptables -A INPUT -i eth0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

十、允许POP3和POP3S

# 允许POP3连接: 110端口
iptables -A INPUT -i eth0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT

# 允许POP3S连接: 995端口
iptables -A INPUT -i eth0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT

十一、防止DoS攻击

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

十二、转发与NAT

1. 允许路由

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

2. DNAT与端口转发

# 启用DNAT转发
iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to-destination 192.168.102.37:22
# 允许连接到422端口的请求
iptables -A INPUT -i eth0 -p tcp --dport 422 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 422 -m state --state ESTABLISHED -j ACCEPT

3. SNAT与MASQUERADE

SNAT:

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j SNAT --to-source 192.168.5.3

MASQUERADE:

iptables -t nat -A POSTROUTING -s 10.8.0.

0/255.255.255.0 -o eth0 -j MASQUERADE

4. 负载平衡

iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443

十三、自定义链记录丢弃的数据包

# 新建名为LOGGING的链
iptables -N LOGGING
# 将所有来自INPUT链中的数据包跳转到LOGGING链中
iptables -A INPUT -j LOGGING
# 指定自定义的日志前缀"IPTables Packet Dropped: "
iptables -A LOGGING -m limit --limit 2/min -j LOG --log-prefix "IPTables Packet Dropped: " --log-level 7
# 丢弃这些数据包
iptables -A LOGGING -j DROP

以上是一些常用的iptables规则和设置,可以根据实际需求进行适当调整。iptables的配置需要谨慎,确保不影响正常的网络通信。

XMYX-0
关注
  • 19
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
25个常用的防火墙规则
Beckham的博客
06-01 1万+
本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。 格式 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 ...
Iptables防火墙配置防DDOS攻击)
qq_20763435的博客
05-17 1368
 一、案例讲解 本例中的规则将会阻止来自某一特定IP范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意攻击者在活动 如何判断服务是否受攻击? (1)ping测试服务是否丢掉? 丢包的几种可能原因: 你服务受攻击、机房上层线路受攻击、互联网上某个路由不稳定、机器服务/硬件问题(较少) (2)可以搭建流量检查服务来监控服务网络流量 如:Cacti 、MRTG 2种较出名的流量监控 ,...
iptables详解(图文)
热门推荐
Linux的成长历程
11-13 6万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
iptables防火墙
最新发布
zheshijiuyue的博客
06-07 1329
在Linux中关于iptables表,链结构;数据包匹配基本流程;编写iptables规则
iptables规则总结
weixin_53139887的博客
01-10 5439
五链四表 链的概念 iptables开启后,数据报文从进入服务器到出来会经过5道关卡,分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后) 每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像一条链,所以我们把这些关卡都叫“链” 其中INPUT、OUTPUT链更多的应用在“主机防火墙”中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTI
iptables - 防火墙常用规则与使用方式记录
m0_51777056的博客
06-21 3150
iptables常用记录
防火墙规则
givenchy_yzl的博客
05-31 6131
firewalld防火墙 一、防火墙安全概述 在CentOS7系统中集成了多款防火墙管理工具,**默认启用的是firewalld(动态防火墙管理器)**防火墙管理工具,Firewalld支持CLI(命令行)以及GUI(图形)的两种管理方式。 对于接触Linux较早的人员对Iptables比较熟悉,但由于Iptables规则比较麻烦,并且对网络有一定要求,所以学习成本较高。但firewalld的学习对网络并没有那么高的要求,相对iptables来说要简单不少,所以建议刚接触CentOS7系统的人员直接学习F
iptables 防火墙
weixin_43357497的博客
08-16 972
iptables 1. 防火墙种类及使用说明 硬件 华为 华三 深信服 软件 iptables firewalld 云防火墙 阿里云:安全组(默认的是白名单,防火墙规则是拒绝) 2. 必须熟悉的名词 容器:瓶子 存放东西 表(table):存放链的容器 链(chain):存放规则的容器 规则(poliy) :准许或拒绝规则 ACCEPT DROP 3. iptables执行过程 工作流程 防火墙是层层过滤的,实际是按照配置规则的顺序从上到下从前到后进行过滤的。 如果匹配上规则,明
iptables防火墙规则配置
07-23
iptables防火墙规则配置
linux增加iptables防火墙规则的示例
09-15
主要介绍了linux增加iptables防火墙规则的示例,大家在使用的时候要把规则后的中文注释去掉
修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题
09-30
主要介绍了vsftp登录后不显示文件目录的解决方法,给vsFTPd增加随机端口的范围,然后把这个端口范围添加到iptables就可以解决
iptables:超详细Iptables防火墙基础规则(四个规则表,5个种规则链)与编写Iptables防火墙规则
著名艺术家
08-05 1万+
Iptables防火墙基础规则与编写Iptables防火墙规则Linux包过滤防火墙概述■iptables的表、链结构■默认包括5种规则链■规则表的作用■默认包括4个规则表■表链的结构示意图数据包过滤的匹配流程■规则表之间的顺序■规则链之间的顺序■规则链内的匹配顺序iptables安装iptables的基本语法■注意事项■数据包的常见控制类型iptables的管理选项■添加新的规则■查看规则列表;■删除、清空规则■设置默认策略■常用管理选项汇总规则的匹配条件■通用匹配■隐含匹配■显式匹配■常见的通用匹配条件
iptables 防火墙配置
来日可期的博客
09-15 3930
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器和网络免受潜在的安全威胁。
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5298
iptables功能及配置
如何设置防火墙规则(开放端口)
Data_Money的博客
08-25 8085
问题描述 局域网其他机器无法访问门户网站或无法访问已经发布到Internet的门户网站。 问题定位 防火墙为启用状态,阻止传入连接。 解决方法 方法一:添加入站规则 第一步:在“控制面板>系统和安全>Windows Defender 防火墙>高级设置”中,选择“入站规则”并“新建规则”。 第二步: 规则类型选择“端口”,单击“下一步”。 第三步:添加“特定本地端口”为“51980”,并单击“下一步”如下图所示。 第四步:选择“允许连接”,单击“下...
iptables规则
seaskyccl的博客
01-28 1004
"说明后,指的是相反的名称。可能的状态是:INVALID表示包是未知连接,ESTABLISHED表示是双向传送的连接,NEW表示包为新的连接,否则是非双向传送的,而RELATED表示包由新连接开始,但是和一个已存在的连接在一起,如FTP数据传送,或者一个ICMP错误。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展(参见下面的EXTENSIONS)。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
iptables常用规则
qq_37369726的博客
01-17 2342
1.服务器能ping其他主机,其他主机不能ping通它: iptables -I INPUT -p icmp -d 192.168.247.100 --icmp-type 8 -j REJECT ping别人发出的icmp类型为8,INPUT是在流入的时候过滤,所以我们能ping通他人。 2.除了192.168.247.100的22端口能访问,其他端口都禁止访问: iptables -I INPUT -d 192.168.247.100 -p tcp ! --dport 22 -j REJECT 3.m
Linux之iptables防火墙概述及相关规则
qq_42327944的博客
04-23 4112
保障数据的安全性是继保障数据的可用性之后最为重要的一项工作。 防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。
创建iptables防火墙规则,入站方向允许端口8088上的流量通过
07-20
要创建iptables防火墙规则来允许入站方向上的端口8088上的流量通过,可以使用以下命令: ```shell iptables -A INPUT -p tcp --dport 8088 -j ACCEPT ``` 上述命令将在INPUT链中添加一条规则,允许TCP协议上目标端口为8088的流量通过。-A参数表示添加规则,-p参数指定协议为tcp,--dport参数指定目标端口为8088,-j参数指定动作为ACCEPT,即允许通过。 请注意,这只是临时生效的规则,重启服务器后可能会失效。如果希望将该规则永久保存,可以根据不同的Linux发行版进行配置保存,例如使用iptables-save命令保存规则。 另外,如果你正在使用云服务提供商提供的防火墙功能(如AWS的安全组),你也可以通过相应的控制台或API来配置入站规则

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XMYX-0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值