Linux-iptables构建网络防火墙

最新推荐文章于 2022-07-23 22:56:52 发布
最新推荐文章于 2022-07-23 22:56:52 发布
阅读量1k 收藏
点赞数 1
文章标签: linux tcp/ip 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42478365/article/details/121447551
版权

1.理解iptables表和链

如图:netfilter钩子与iptables表和链的处理顺序
在这里插入图片描述
五个表
filter 主要用于过滤包,是系统预设的表,该表内建3个链:

INPUT,OUTPUT,FORWARD。INPUT链作用于进入本机的包,OUTPUT链作用于本机送出去的包,FORWARD链作用于那些跟本机无关的包。

nat表 主要用于网络地址转换,它也有三个链。

PREROUTING链的作用是在包刚刚到达防火墙时改变它的目的地址(如果需要的话),OUTPUT链的作用是改变本地产生的包的目的地址,POSTROUTING链的作用是在包即将离开防火墙时改变其源地址。

mangle表

主要用于给数据包做标记,然后根据标记去操作相应的包。这个表几乎不怎么用,除非像称为一个高级网络工程师。

raw表

可以实现不追踪某些数据包,默认系统的数据包都会被追踪,但追踪势必消耗一定的资源,所以可以用raw表来指定某些端口的包不被追踪。

security表,

在centos6中是没有的,他用于强制访问控制(MAC)的网络规则。

netfilter的5个链

PREROUTING: 数据包进入路由表之前。

INPUT:通过路由表后目的地为本机。

FORWARDING: 通过路由表后,目的地不为本机。

OUTPUT: 由本机产生,向外转发。

POSTROUTONG: 发送到网卡接口之前。

2.iptables 语法

[root@bogon ~]# getenforce
Enforcing                  开启状态
[root@bogon ~]# setenforce 0
[root@bogon ~]# getenforce
Permissive                 暂停状态,重启后恢复

2.1脚本编写

!/bin/sh
首先清除所有规则
iptables -F
#以下两行允许某些调用localhost的应用访问
iptables -A INPUT -i lo -j ACCEPT #规则1
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT#规则2
#以下一行允许从其他地方 ping
iptables -A INPUT -p icmp --icmp-type echo-reguest -j ACCEPT#规则3
#以下一行允许从其他主机、网络设备发送MTU调整的报文
#在一些情况下,例如通过工Psec VPN隧道时,主机的MTU需要动态减小
iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT #规则4
#以下两行分别允许所有来源访问TCP 80、443端口
iptables -A INPUT -p tcp --dport 80-j ACCEPT #规则5
iptables -AINPUT -p tcp --dport 443 -jACCEPT#规则6
#以下一行允许104.224.147.43来源的IP访同TCP 22端口(OpenssH)
iptables -A INPUT -p tcp -s 104.224.147.431 --dport 22 -j ACCEPT #规则7
#以下一行允许104.224.147.43来源的IP访间 UDP 161端口(SNMP)
iptables -A INPUT-p tcp -s 104.224.147.431 --dport 161 -j ACCEPT #规则8#以下一行禁止所有其他的进入流量
iptables -A 工NPUT -j DROP#规则9 白名单机制的贯穿原则
#以下一行允许本机响应规则编号为01~08的数据包发出
iptables -A OUTPUT -m state--stace bonDuaJ AccBPTY#规则10
#以下一行禁止本机主动发出外部连接
iptables -AOUTPUT -jDROP #规则11 防止反弹
#以下一行禁止本机转发数据包
iptables -A FORWARD -DROP#规则12

3.iptables网络地址转换

在这里插入图片描述

3.1源地址转化

1.在服务器B上,指定其网络的默认网关是10.128.70.112(即服务器A的内网地址)。
2.在服务器A上,启用路由功能。启用的方法命令如下:

sysctl -w net.ipv4.ip_forward=1

3.在服务器A上,设置iptables规则如下:

iptables -t filter -A FORWARD -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to x.y.z.173 #eth0是服务器A的外网网卡,x.y.z.173是服务器A的外网IP

3.2目的地址转换

目的地址转换用于外部直接访问无外网IP的服务器B,命令如下:

iptables -t nat -A PREROUTING -d x.y.z.173 -p tcp -m tcp --dport 1521 -j DNAT --to-destination 10.128.70.111:1521 #改写目的地址为:10.128.70.111,目的端口为1521

iptables -t nat -A POSTROUTING -d 10.128.70.111 -p tcp -m tcp --dport 1521 -j SNAT --to-source 10.128.70.112 #改写源地址ip为服务器A的内网ip,此时在服务器B上相当于是与服务器A在进行通信

参考:

https://blog.csdn.net/weixin_42478365/article/details/120711982
。
冯·诺依曼
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于iptables的网桥防火墙搭建
01-01 8607
基于iptables的网桥防火墙搭建 目标: 在不改变网络拓补结构的前提下,实现一个防火墙,对经过该防火墙的数据进行过滤。在此,我们主要是想对所有与服务器进行通信的数据进行过滤。结构图如下: 服务器和左边的Internet可以处于同一个局域网,比如网段都为: 192.168.1.0。另外可以增加一个网卡作为管理,这个管理的口可以不必接入Internet中,这样可以达到无法对网桥进行攻
如何使用netfilter/iptables构建防火墙
liangqikang的专栏
10-16 483
对 于Internet上的系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一个防火墙并不能保证系统100%安全,但却是绝对必要的。 Linux提供了一个非常优秀的防火墙工具—netfilter/iptables。它完全免费、功能强大
linux+iptables构建防火墙
ygxu-java
06-03 151
Linux+iptables防火墙具有很高的灵活性和稳定性(老兄我的防火墙自从做了之后还一直没有重启过),但安装和设定起来比较麻烦,而且容易出错,本文旨在用为公司做防火墙的实例,让大家对Linux+iptables防火墙的安装和配置有一个大致的了解,希望能起到抛砖引玉的作用。 系统环境与网络规化 先了解一下公司的环境,公司利用2M ADSL专线上网,电信分配公用IP为218.4.62.12/...
linux用作网络防火墙,Linux下主机充当防火墙的巧妙应用之iptables
weixin_29830833的博客
05-11 79
实验综合拓扑图:注意事项:防火墙由Red Hat Linux 5.4 版本的机器充当,eth0 使用Host-only (vmware 1),eth1 使用Bridge(本地连接),eth2(vmware 2)前期工作:iptables 仅能过滤网络层的内容,例如协议、端口等等如果想要过滤应用层的,需要打上七层协议的补丁包!还需内核支持!操作步骤如下:一、重新编译内核1、合并kernel+laye...
Linux防火墙基础 —— iptables防火墙
rqaz123的博客
03-08 225
iptables防火墙 Linux防火墙基础 iptables的表、链结构 数据包控制的匹配流程 编写防火墙规则 基本语法、控制类型 添加、查看、删除规贝 规则的匹配条件 iptables概述 Einux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables关系: netfilter:属于"内核态”(Kernel Space,又称为内核空间
使用Iptables构建Linux防火墙.ppt
12-07
使用Iptables构建Linux防火墙.ppt
Linux+Iptables构建防火墙实例
03-04
Linux+iptables防火墙具有很高的灵活性和稳定性,但安装和设定起来比较麻烦,而且容易出错,本文旨在用为公司做防火墙的实例,让大家对Linux+iptables防火墙的安装和配置有一个大致的了解。
Linux下用iptables构建防火墙.pdf
09-07
Linux下用iptables构建防火墙.pdf
Linux系统下使用Iptables构建防火墙.pdf
09-06
Linux系统下使用Iptables构建防火墙.pdf
论文研究-构建Linux环境下Iptables防火墙策略 .pdf
08-16
构建Linux环境下Iptables防火墙策略,赵富,,Linux操作系统的Iptables管理工具是一种基于包过滤型防火墙工具,利用Iptables工具,通过设置规则,可以实现Linux环境下防火墙的功能。本�
教你如何配置一套强大的防火墙——iptabels配置详解(一)
大闲人柴毛毛
05-31 3532
今天我来带领大家给自己的服务器搭建一套强大的防火墙!废话不多说,我们开始吧~啥是iptablesipbtales是集成再Linux内核中的一套防火墙软件。它能够对外界发过来的在进入我们的系统之前,进行一系列的筛选,我们可以自己定义筛选规则,决定哪些数据包可以进入我们的电脑,哪些数据包不允许进入。从而能够使我们的服务器更加安全地运行在公网的环境中。 下面大家一起跟我动手,在实践中掌握知识。动手前的
Linux操作系统之iptables防火墙(一)
在熙丶的博客
04-26 1159
一、iptables防火墙概述 Linux系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络防火墙) netfilter/iptablesIP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。 1.1netfilter/iptables netfilter:属于“内核态”(Kernel Space, 又称
iptables搭建一套强大的安全防护盾
weixin_34220623的博客
08-21 181
iptables功能: 搭建一套防火墙规则 进行***防护、访问策略 进行数据包转发Netfilter: Linux系统核心层内部的一个数据包处理模块Hook point:(PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING) 数据包在Netfilter中的挂载点 iptables规则组成: 四张表 + 五条链(Hook point) ...
Iptables】11 Iptables网络防火墙
TDXYBS的博客
09-05 413
11 Iptables网络防火墙 之前我们了解到iptables主要是作为主机防火墙,维护主机的安全,如果想让iptables作为网络防火墙呢?想让iptables服务于防火墙背后的局域网呢? 我们知道,网络防火墙往往是处于网络的入口或者边缘,那么,如果想使用iptables充当网络防火墙iptables的主机就必须处于网络的入口处,即和外网连通的主机,示意图如下 上图中,直接与Intern...
【整理笔记-防火墙】实现iptables防火墙搭建
weixin_34331102的博客
09-14 118
搭建防火墙,配置防火墙。 - - 系统centos7 .centos7自带firewalld,由于看firewalld命令行没有接触过,所以安装iptables防火墙。1:禁用firewalldfirewall-cmd --state 查看系统自带防火墙状态。 用systemctl stop firewalld.service 禁止立即生效, systemctl...
配置iptables防火墙(二)
最新发布
a1991376352的博客
07-23 554
DNAT策略的典型应用环境在Internet中发布位于企业局域网内的服务器DNAT策略的原理目标地址转换,DestinationNetworkAddressTranslation修改数据包的目标IP地址通过不同的端口号映射到内部不同的服务器上。...
linux iptables防火墙最详细讲解
weixin_46407419的博客
12-27 281
架构图 防火墙 1. 什么是防火墙: 防止其他用户恶意访问 2. 防火墙种类 硬件防火墙 :F5 软件防火墙iptables firewalld 安全组 iptables 用户 ---> 调用iptables ---> ip_tables内核模式 ---> Netfilter(系统安全构架) ---> 过滤请求 什么是包过滤防火墙 什么是包: ...
第五章:iptables应用案例分析(包过滤服务器上设置iptables
webcenterol
10-26 145
二、服务器上的iptables的设置1)查看 #查看filter表的设置情况iptables -t filter -L #清空filter表上的所有规则 iptables -t filter -F#让filter表的数据包计数器和流量计数器归零iptables -t filter -Z2)设置 ---------------------------------------...
iptables端口转发配置实现
热门推荐
C3399的博客
06-11 1万+
一、iptables简介 二、iptables端口转发实现 三、iptables端口转发实现过程的坑
iptables指南手册.doc
06-23
iptablesLinux操作系统平台上的一种防火墙系统,Netfilter/Iptables是其核心组件。本文档旨在帮助读者快速掌握iptables的管理和配置要领,为企业的网络安全提供相关的安全保障。 知识点: 1. iptables的运行机制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值