iptables防火墙的设置

最新推荐文章于 2020-07-30 20:28:19 发布
最新推荐文章于 2020-07-30 20:28:19 发布
阅读量144 收藏 1
点赞数
分类专栏: linux 运维 文章标签: iptables防火墙设置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43328213/article/details/85099091
版权
运维 同时被 2 个专栏收录
113 篇文章 0 订阅
订阅专栏
linux
79 篇文章 0 订阅
订阅专栏

iptables中有三张表五条链:
Filter表:INPUT链,OUTPUT链,FORWARD链
NAT表:PREROUTING链,OUTPUT链,POSTROUTING链
Mangele表:PREROUTING链,INPUT,OUTPUT链,FORWARD链,POSTROUTING链

在做此实验时,要将firewalld关掉。

[root@localhost yum.repos.d]# systemctl stop firewalld
[root@localhost yum.repos.d]# systemctl mask firewalld
[root@localhost yum.repos.d]# systemctl disable firewalls
[root@localhost yum.repos.d]# yum install iptables-services
[root@localhost yum.repos.d]# systemctl start iptables
[root@localhost yum.repos.d]# systemctl enable iptables

查看所有策略(做解析)
在这里插入图片描述
查看所有策略(不做解析)
在这里插入图片描述
查看指定mangle表信息
在这里插入图片描述
清空策略
在这里插入图片描述
重启服务后,清空的策略依然存在
在这里插入图片描述
因为其策略是保存在文件中的,修改文件才能彻底清除策略。
在这里插入图片描述
或者使用命令彻底清除策略。
在这里插入图片描述
添加自定义链

[root@localhost ~]# iptables -N  westos   (添加自定义链)
[root@localhost ~]# iptables -nL
	Chain INPUT (policy ACCEPT)
	target     prot opt source               destination         
	Chain FORWARD (policy ACCEPT)
	target     prot opt source               destination         
	Chain OUTPUT (policy ACCEPT)
	target     prot opt source               destination         
	Chain westos (0 references)       添加成功
	target     prot opt source               destination

修改自定义链名称

[root@localhost ~]# iptables -E  westos WESTOS11  (修改自定义链的名称)
[root@localhost ~]# iptables -nL
	Chain INPUT (policy ACCEPT)
	target     prot opt source               destination         
	Chain FORWARD (policy ACCEPT)
	target     prot opt source               destination         
	Chain OUTPUT (policy ACCEPT)
	target     prot opt source               destination 
	Chain WESTOS11 (0 references)   修改名称成功
        target     prot opt source               destination

删除自定义链

[root@localhost ~]# iptables -X WESTOS11
iptables: No chain/target/match by that name.
[root@localhost ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

添加策略1(拒绝172.25.55.250访问本机)

[root@localhost ~]# iptables -t filter -A INPUT -s 172.25.55.250 -p tcp --dport 22 -j REJECT

在这里插入图片描述
其他主机可以访问
在这里插入图片描述
删除策略

[root@localhost ~]# iptables -nL
	Chain INPUT (policy ACCEPT)
	target     prot opt source               destination         
	REJECT     tcp  --  172.25.55.250        0.0.0.0/0            tcp dpt:22 reject-with icmp-port-unreachable
	Chain FORWARD (policy ACCEPT)
	target     prot opt source               destination         
	Chain OUTPUT (policy ACCEPT)
	target     prot opt source               destination         
[root@localhost ~]# iptables -D INPUT 1
[root@localhost ~]# iptables -nL
	Chain INPUT (policy ACCEPT)
	target     prot opt source               destination         
	Chain FORWARD (policy ACCEPT)
	target     prot opt source               destination         
	Chain OUTPUT (policy ACCEPT)
	target     prot opt source               destination

添加策略2(拒绝所有主机访问本机)

[root@localhost ~]# iptables -A INPUT -j REJECT

在这里插入图片描述
修改策略

[root@localhost ~]# iptables -A INPUT -j REJECT
[root@localhost ~]# iptables -nL
	Chain INPUT (policy ACCEPT)
	target     prot opt source               destination         
	REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

[root@localhost ~]# iptables -R INPUT 1  -j ACCEPT
[root@localhost ~]# iptables -nL
	Chain INPUT (policy ACCEPT)
	target     prot opt source               destination         
	ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

在这里插入图片描述

添加策略3
!代表除什么之外

[root@localhost ~]# iptables -A INPUT ! -s  172.25.55.250 -p tcp --dport 22 -j REJECT 
[root@localhost ~]# iptables -nL
	Chain INPUT (policy ACCEPT)
	target     prot opt source               destination         
	REJECT     tcp  -- !172.25.55.250        0.0.0.0/0            tcp dpt:22 reject-with icmp-port-unreachable

在这里插入图片描述

在这里插入图片描述

源地址转换(SNAT)

[root@localhost ~]# iptables -t nat -A POSTROUTING -o ens3 -j SNAT --to-source 172.25.55.10
(注意此处写的网卡名称要与主机一致)
[root@localhost ~]# iptables -nL -t nat   (查看nat表信息)
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         	
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         	
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         	
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  0.0.0.0/0            0.0.0.0/0            to:172.25.55.10
[root@localhost ~]# sysctl -a |grep ip_forward
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_use_pmtu = 0
如果内核路由功能未打开,vim /etc/sysctl.conf:net.ipv4.ip_forward = 1
[root@localhost ~]# systemctl restart network
[root@localhost ~]# ssh root@172.25.55.250
root@172.25.55.250's password: 
Last login: Wed Dec 19 17:21:57 2018 from 172.25.55.100
[root@foundation55 ~]# w -i
 18:00:07 up  3:38,  4 users,  load average: 0.43, 0.48, 0.52
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
kiosk    :0       :0               14:22   ?xdm?  56:37   0.51s gdm-session-wor
kiosk    pts/2    :0               17:01    1:59   0.06s  0.06s bash
kiosk    pts/5    :0               17:16    3:35   0.08s  0.01s ssh root@172.25
root     pts/0    172.25.55.10    18:00    7.00s  0.07s  0.03s w -i

地址转换

[root@localhost ~]# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-dest 172.25.55.10
[root@foundation55 ~]# ssh root@172.25.254.100
root@172.25.55.100's password: 
[root@localhost ~]# ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.25.55.10  netmask 255.255.255.0  broadcast 1.1.1.255
        inet6 fe80::5054:ff:fe00:1c0b  prefixlen 64  scopeid 0x20<link>
        ether 52:54:00:00:1c:0b  txqueuelen 1000  (Ethernet)
        RX packets 30380  bytes 3682966 (3.5 MiB)
鑫酉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables相关管理命令
meltsnow的博客
03-14 369
1.基本参数 参数 功能 -t 指定表名称 -n 不作解析 -L 列出指定表中的策略 -A 增加策略 –dport 端口 -s 数据来源 -j 动作 ACCEPT 允许 REJECT 拒绝 DPOR 丢弃 -N 增加链 -E 修改链名称 -X 删除链 -D 删除指定策略 -I 插入 -R 修
iptables与linux路由的区别,Linux系统路由设备的iptables初始设置参考
weixin_35509395的博客
05-13 398
一些初始配置可参考如下,具体每行设置的意义我就不说了,下篇文章主要说一下iptables -A FORWARD -i $iface-p tcp --tcp-flags SYN SYN -j TCPMSS--clamp-mss-to-pmtu这一行,因为当时没设置这一行,导致我们电脑通过路由设备PPPoE拨号上网,出现网页打不开的现象。iptables -F INPUTiptables -F OUT...
iptables 学习总结--规则管理(三)
纵横四海的博客
06-02 921
查看规则 [root@localhost ~]# iptables -t filter -nvL INPUT --line Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination ...
iptables v1.8.2 (nf_tables): CHAIN_ADD failed (No such file or directory): chain PREROUTING
dqwjack的专栏
07-30 9245
https://my.oschina.net/u/3888259/blog/4414015 用iptables初始化NAT网络,而Debian buster使用nftables而不是iptables,导致dockerd不能正常完成NAT初始化,出错退出。 处理方法是调用update-alternatives强制Debian用iptables而不是nftables。 sudo update-alternatives --set iptables /usr/sbin/iptables-legacy...
通过命令设置iptables规则重启失效问题
ystyaoshengting的专栏
10-20 9877
直接使用iptables命令修改防火墙配置的时候,防火墙规则只是保存在内存中,重启后就会失效。 1、一种最简单的方式是在修改防火墙陪之后,再使用service iptables save命令将防火墙配置保存起来; 使用该命令会将所有的防火墙规则保存在/etc/sysconfig/iptables文件中。 [root@iZbp13pwlxqwiu1xxb6szsZ scripts]# ser...
Iptables防火墙配置
颠覆我的整个世界,只为摆正你的身影
03-29 299
iptables防火墙配置一、防火墙简介1、功能:    1)通过源端口,源IP地址,源MAC地址,包中特定标记和目标端口,IP,MAC来确定数据包是否可以通过防火墙    2)分割内网和外网【附带的路由器的功能】    3)划分要被保护的服务器如果Linux服务器启用了防火墙,SELinux等的防护措施,那么,他的安全级别可以达到B2[原来是C2]2、防火墙分类    1)数据包过滤【绝大多数的...
linux中iptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
iptables防火墙设置
05-13
iptables防火墙设置 本文档详细介绍了iptables防火墙设置和配置,包括iptables的基本概念、防火墙配置原则、iptables基础语法、ip和网卡接口设置、设定端口访问、模块调用等方面的知识点。 一、iptables基本概念...
web服务器iptables防火墙设置1
08-08
/bin/bash# Set firewall rulesDST="192.168.1.1"# iptables rules:iptables -P INPUT
RedHat Linux下iptables防火墙设置.docx
10-30
RedHat Linux下iptables防火墙设置.docx
shell中if语句,循环语句
热门推荐
weixin_43328213的博客
12-25 1万+
1.if语句 if单分支语句 统计登录shell为bash的用户 if双分支语句 统计uid小于等于500和大于500的用户个数 if-else语句 [root@localhost mnt]# vim if-else.sh #!/bin/bash read -p &amp;amp;quot;请输入用户名&amp;amp;quot; user if grep $user /etc/passwd;then ...
虚拟机联网与DNS域名解析
weixin_43328213的博客
10-23 6453
使用虚拟机访问百度 首先,我们要将一个虚拟机设置为路由器(eth0 ip:172.25.254.132 eth1 ip:172.25.55.251),另一个虚拟机(eth0 ip=172.25.254.232)通过路由器可以访问主机(ip=172.25.55.250)。详细请看我的博客:linux的网络设置4.设置路由的操作。 接下来我们要做以下设置: 第一步:在作为路由器(有两个ip)的虚...
DNS的更新和ddns(动态域名解析)
weixin_43328213的博客
11-22 5692
DNS更新 (1)普通更新 在做普通更新前将上一个实验的环境复原。 辅助DNS更新主DNS被拒绝。 在主DNS中编辑/etc/named.rfc1912.zones允许辅助DNS主机修改westos.com.zone 在主DNS中设置权限,并备份westos.com.zone文件以便后面实验的操作。 再次使用辅助DNS主机更新成功 在主DNS虚拟机中dig ww.westos.com信...
yum源的永久挂载与共享yum源的设置
weixin_43328213的博客
10-29 3842
yum源挂载 挂在yum源之前我们要查看hostnamectl 查看电脑版本,镜像与版本相同。 1.永久yum源挂载 简单挂载(如我博客:通过镜像搭建本地yum源)重启后yum源会丢失,需要重新挂载。为使我们的操作更加简便,我们可以搭建永久yum源挂载。 (1)首先,我们要给虚拟机添加镜像的光驱。 (2)我们要通过df命令查看挂载点。 (3)创建一个文件,将yum 源挂载到此文件 (4)编写y...
linux中管理输入输出、管道和文件路径
weixin_43328213的博客
10-09 1829
linux中管理输入输出   &amp;amp;gt;        重定向正确输出 2&amp;amp;gt;        重定向错误输出 &amp;amp;amp;&amp;amp;gt;        重定向所有输出 重定向会覆盖源文件 例子: 用student用户登录系统 find/etc/-name passwd   此命令在stuent用户下执行因为权限问题会报错 find /etc/ -
磁盘加密分区的设置
weixin_43328213的博客
11-13 1432
虚拟设备在/dev/mapper目录下。 给分区加密 [root@localhost ~]# fdisk /dev/vdb Welcome to fdisk (util-linux 2.23.2). Changes will remain in memory only, until you decide to write them. Be careful before using the wr...
创建快照虚拟机
weixin_43328213的博客
10-24 1194
创建快照虚拟机 为解决我们在虚拟机中误删重要文件导致虚拟机奔溃的问题,我们可以为虚拟机设置一个快照虚拟机,平时操作使用快照虚拟机,当操作不当后,只需删除掉此快照虚拟机,用原本的虚拟机再创建快照虚拟机即可。我们平时使用的desktop和server都是快照虚拟机。 方法一: 我们在shell中通过执行命令以及在虚拟机管理界面手动添加。 在此界面添加快照虚拟机,最后一个类型。 在本地中选择此前创...
nginx+tomcat:Session共享
weixin_43328213的博客
02-27 1173
[root@server1 ~]# ls nginx-1.10.1.tar.gz test.jsp [root@server1 ~]# cp test.jsp /usr/local/tomcat/webapps/ROOT/ [root@server1 ~]# scp test.jsp root@172.25.55.2:/usr/local/tomcat/webapps/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值