linux 7.3 iptables,CentOS7.3下的一个iptables配置

最新推荐文章于 2022-10-20 11:46:23 发布
最新推荐文章于 2022-10-20 11:46:23 发布
阅读量117 收藏
点赞数
文章标签: linux 7.3 iptables

centos7.3默认使用的防火墙应该是firewall,而不是iptables。而我们xxmj服务器使用的是iptables防火墙。所以,在配置防火墙之前,我们需要先关闭firewall,安装iptables。

查看firewall的安装和启动状态

[root@localhost ~]# yum list installed firewalld iptables

[root@localhost ~]# systemctl list-unit-files firewalld.service iptables.service

下面关闭firewall并禁止开机启动和安装iptables防火墙的操作视情况而定

关闭firewall并禁止开机启动

[root@localhost ~]# systemctl stop firewalld.service

[root@localhost ~]# systemctl disable firewalld.service

安装iptables防火墙并设置开启启动

[root@localhost ~]# yum install iptables-services

[root@localhost ~]# systemctl enable iptables.service

编辑并修改配置文件/etc/sysconfig/iptables,使用下面的配置

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:TEST - [0:0]

-A INPUT -j TEST

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -i eth1 -d 192.168.1.100 --syn -m recent --name suduip --rcheck --seconds 1 --hitcount 15 -j DROP

-A INPUT -p tcp -i eth1 -d 192.168.1.100 --syn -m recent --name suduip --set

-A INPUT -i eth1 -p tcp -m tcp -d 192.168.1.100 --syn -m connlimit --connlimit-above 50 --connlimit-mask 32 --connlimit-saddr -j DROP

#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG SYN -m length --length 0:128 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

... ...

-A INPUT -j DROP

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j TEST

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

-A OUTPUT -j TEST

-A TEST -j RETURN

COMMIT

1.检查替换eth1;2.检查替换-d ip;3.若是centos6.8,检查iptables版本是v1.4.7还是v1.4.21,前者不支持–connlimit-saddr选项,去掉即可。下面,我简单解释一下这个配置

# filter表

*filter

# INPUT链默认策略为ACCEPT

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

# 自定义TEST链

:TEST - [0:0]

# 进入TEST链(从后面配置看,TEST链只是RETURN了回来,没有其他规则)

-A INPUT -j TEST

# 接受连接状态是RELATED和ESTABLISHED的包

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# 接受ICMP协议的包

-A INPUT -p icmp -j ACCEPT

# 接受回环接口的包

-A INPUT -i lo -j ACCEPT

# 同一源IP1秒内最多可发起14次目的地址是192.168.1.100的TCP连接请求,15次及以上的包将被接口eth1丢弃

# 为什么同时指定-i和-d?猜测:路由器里的路由表可能人为或未及时更新导致路由表映射错误,导致发到接口eth1的包的目的IP错误。为了防止此类包,则需同时指定-i和-d

-A INPUT -p tcp -i eth1 -d 192.168.1.100 --syn -m recent --name suduip --rcheck --seconds 1 --hitcount 15 -j DROP

-A INPUT -p tcp -i eth1 -d 192.168.1.100 --syn -m recent --name suduip --set

# 同一源IP只允许50个目的地址是192.168.1.100的TCP连接请求,超出的包将被接口eth1丢弃

-A INPUT -i eth1 -p tcp -m tcp -d 192.168.1.100 --syn -m connlimit --connlimit-above 50 --connlimit-mask 32 --connlimit-saddr -j DROP

# 此条规则有问题(猜测,可能是--length 129 -j DROP)

#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG SYN -m length --length 0:128 -j ACCEPT

# 下面这些规则对TCP连接请求包开放部分端口

-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

... ...

# 丢弃所有包

-A INPUT -j DROP

# 上一条规则已经丢弃了所有包,此条规则貌似到不了

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j TEST

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

-A OUTPUT -j TEST

-A TEST -j RETURN

COMMIT

重启iptables

[root@localhost ~]# systemctl restart iptables.service

查看防火墙规则是否已应用

[root@localhost ~]# iptables -L

君子心理
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linuxiptables配置申明.doc
11-30
Linuxiptables配置申明.doc
阿里云端口访问管理:
CHUNZHIJIEQJQ的博客
11-19 591
一:防火墙防控端口: 1.查看已经开放的端口 firewall-cmd --list-ports 2.开启指定端口 firewall-cmd --zone=public --add-port=2181/tcp --permanent 3.关闭指定端口 firewall-cmd --zone=public --remove-port=2181/tcp --permanent 4.重启防火墙 firewall-cmd --reload 二:iptables管理(这个如果系统中本身没有创建就不要
CentOS7.3下的一个iptables配置
weixin_30740581的博客
04-11 102
centos7.3默认使用的防火墙应该是firewall,而不是iptables。而我们xxmj服务器使用的是iptables防火墙。所以,在配置防火墙之前,我们需要先关闭firewall,安装iptables。 查看firewall的安装和启动状态 [root@localhost ~]# yum list installed firewalld iptables [root...
iptables详解(5):iptables匹配条件总结之二(常用扩展模块)
ss810540895的博客
10-20 877
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下前文已经总结了iptables中的基本匹配条件,以及简单的扩展匹配条件,此处,我们来认识一些新的扩展模块。
iptables匹配connlimit限制并发连接数量
redwingz的博客
03-19 4425
以下规则将每个IP的最大并发连接数量控制在5个,使用connlimit-above或者connlimit-upto都可实现。 # iptables -I INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 5 -j DROP # # iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in
CentOS7中使用iptables
热门推荐
菜鸟路上的小白
11-14 2万+
1、关闭firewall: systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、安装iptables防火墙 #安装 yum install iptables-services 编辑防火墙配置文件 vi /et...
LinuxIPtables配置全攻略
07-23
教程名称:LinuxIPtables配置全攻略课程目录:【】Iptables学习笔记【】Iptables服务全攻略之实战配置【】Iptables配置指南【】iptables配置案例【】Linux Iptables配置文件【】LINUXIPtables的详细配置【】...
LinuxIPTABLES配置详解
01-30
我们来配置一个filter表的防火墙.可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.如果你在安装linux时没有选择启动防火墙,是这样的什么规则都没有.不管你在安装linux时是否启动了防火墙,如果你想...
linuxiptables手册
最新发布
01-18
iptables手册
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
centos7下的iptables操作
浩瀚与渺小
12-17 1002
iptables centos7开始,系统自带的防火墙是firewalld,但是也支持iptables, yum -y install iptables.service #下载安装包 iptables常见概念iptables是由netfilter/iptables:ip信息包过滤系统,它实际上由两个netfilter和iptables组成。 netfilter组件也称为内核空间(kemelspace),是内核的一部分,由一些信息包过滤表组成,这些包含内核用来控制信息包过滤处理规则集。 i
linux7 iptables配置,CentOS 7配置iptables
weixin_39751871的博客
05-16 92
CentOS从7版本开始默认用的是firewalld,这个是基于iptables的,虽然有iptables的核心,但是iptables的服务是没安装的。所以只要先关闭firewalld服务,再安装iptables服务即可。1、关闭firewallsystemctl stop firewalld.service #停止firewallsystemctl disable ...
centOS 7.3 防火墙使用iptables
qq924795111的博客
05-26 2万+
         关键字: Linux  CentOS  firewall iptables                CentOS中防火墙程序主要是firewall和iptablesCentOS7中firewall服务已经默认安装好了,而iptables服务需要自己用yum  install  iptabes-services来安装。 说明:以下演示均在CentOS7中进行,其他版本...
CentOS7.3 安装 iptables 与详细使用
weixin_34354945的博客
08-17 516
CentOS7 安装 iptables 与详细使用 安装操作 检查状态 先检查是否安装了iptables $ service iptables status 安装iptables $ yum install iptables 升级iptables $ yum update iptables 安装iptables-services $ y...
iptables 限速配置
钟明家
11-14 2208
1、connlimit: 连接数限制,对每IP所能够发起并发连接数做限制; # iptables -A INPUT -p tcp -m tcp –dport 22 -m connlimit –connlimit-above 3 –connlimit-mask 32 –connlimit-saddr -j DROP # iptables -A INPUT -p tcp -m tcp –dport ...
Centos7.3部署iptables防火墙
weixin_33860553的博客
11-29 136
规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规 则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject...
CentOS7安装iptables防火墙
weixin_30433075的博客
06-10 628
《转自》http://www.cnblogs.com/kreo/p/4368811.html CentOS7默认的防火墙不是iptables,而是firewalle. 安装iptableiptable-service #先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级...
linux centos7 iptables配置
梦想是很难很难的,所以先勇敢一点
09-01 1万+
centos7默认防火墙不是iptables,是firewalle,这不是本文的重点。 概述 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制。属于典型的包过滤防火墙。linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此获得广泛的应用。 在很多安全技术资料中,netfilter和iptables都用来指linux防火墙,区别如下: netfilter:指的是linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”又称内.
linux 7.3 iptables,centos7下的iptables简单设置
weixin_39929715的博客
05-28 174
提醒:本文最后更新于907天前,文中所描述的信息可能已发生改变,请谨慎使用。在alpharacks.com买一只鸡,装的是centos7,发现端口死活不通,原来默认只开了22端口,其它端口都关闭了。又逼着我学习了一下centos7下的iptables规则。这东西很少用,也很容易忘,现将基本操作记下来,权当笔记。若没有安装iptables-services,使用iptables时会报错,如“Un...
LinuxIptables使用资料(整理).docx
12-16
LinuxIptables使用资料(整理).docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值