iptables防火墙规则

最新推荐文章于 2024-06-01 07:38:55 发布
最新推荐文章于 2024-06-01 07:38:55 发布
阅读量1.5k 收藏 9
点赞数
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43757555/article/details/120317931
版权

防火墙的分类

主机型防火墙:主要保护的是服务器本机(过滤威胁本机的数据包)
网络型防火墙:主要保护的是防火墙后面的其他服务器,如web服务器、FTP服务器等

Iptables介绍

Linux内核默认支持软路由功能,通过修改内核参数即可开。
在这里插入图片描述
永久保存写入规则文件:service iptables save
规则文件位置:/etc/sysconfig/iptables
Linux内核默认支持软路由功能,通过修改内核参数即可开启或关闭路由转发功能:

[ root@proxy ~] # echo 0 > /proc/sys/net/ipv4/ip_forward //关闭路由转发
[ root@proxy ~] # echo 1> /proc/sys/net/ipv4/ip_forward //开启路由转发
//注意以上操作仅当前有效,计算机重启后失效
[ root@proxy ~] # echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf //可以实现永久有效规则

添加网关:

[ root@client ~] # nmcli connection modify eth0 ipv4.gateway 192.168.4.5
[ root@client ~] # nmcli connection up eth0

添加永久的网关:
创建一个对应网卡的路由配置文件

Vim /etc/sysconfig/network-scripts/route-eth0
192.168.142.100/32 via 192.168.142.10
192.168.142.200/32 via 192.168.142.20

然后重启网络 service network restart
查看 route -nip route
要添加目标为 10.41.0.0,子网掩码为 255.255.0.0,下一个跃点地址为 10.27.0.1 的永久路由,请键入:

route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1

要添加目标为 10.41.0.0,子网掩码为 255.255.0.0,下一个跃点地址为 10.27.0.1,接口索引为 0x3 的路由,请键入:

route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3

IPtable的四张表:
Raw表:确定是否对该数据包进行状态跟踪
Mangle表:为数据包设置标记
Nat表:修改数据包的源、目的IP地址和端口
Filter表:确定是否放行该数据包
Iptable的五条链:
入站:PREROUTING INPUT
出站:POSTROUTING OUTPUT
转发:PREROUTING POSTROUTING FORWARD
7个动作类型:
ACCEPT:允许通过
DORP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时给出提示
LOG:记录日志信息,然后传给下一条规则继续匹配
SNAT:修改数据包的源地址
DNAT:修改数据包的目的地址
REDIRECT:重定向
选项:
-A:在链的末尾追加一条规则
-I:在链的开头(指定序号)插入一条规则
-L:列出所有规则条目
-n:以数字的形式显示地址、端口等信息
-v:以更详细的方式显示规则信息
–line-numbers:显示规则的序号
-D:删除链内指定序号的一条规则
-P:为指定的链设置默认规则
-F:清空所有规则
常见的通用匹配条件:
-p:协议名
-s:源地址
-d:目标地址
-i:入站网卡
-o:出站网卡

Iptables -I INPUT -p icmp -j DROP
iptables -D INPUT 1

常见的隐藏匹配条件:
–sport:源端口
–dport:目标端口
–icmp-type:icmp类型

Iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
iptables -D FORWARD 3
Iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -t filter -D INPUT 14

源端口:就是本机程序用来发送数据的端口,目的端口,就是对方主机用哪个端口接收,源IP目标IP,意思相似。
常见的显示匹配条件:
-m multiport --sport 源端口列表 多端口匹配
-m iprange --src-range ip范围
-m mac --macl-source mac地址范围
-m state --state 连接状态

Iptables -A INPUT -p tcp -m multiport --dport 25,80,110,143 -j ACCEPT
iptables -t filter -nL INPUT --line-numbers //查看指定链的规则
iptables -t filter -D INPUT 14 //删除规则
Iptables -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28
-j ACCEPT
iptables -t filter -nL FORWARD --line-numbers
iptables -t filter -D FORWARD 3
Iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -nL INPUT --line-numbers
iptables -t filter -D INPUT 1

注意事项和规律:
可以不指定表,默认为filter表;
可以不指定链,默认为对应表的所有链;
可以不指定链,默认为对应表的所有链;
选项/链名/目标操作用大写字母,其余都小写;

iptables - t filter - A INPUT - p tcp - j ACCEPT //追加规则至filter表中的INPUT链的末尾,允许任何人使用TCP协议访问本机
iptables - A INPUT - s 192.168.4.100 - j DROP //丢弃192.168.4.100发给本机的所有数据包
iptables - A INPUT - p icmp - - icmp-type echo-request - j DROP //仅禁止入站的ping请求,不拒绝入站的ping回应包
iptables - A INPUT - p tcp - - dport 22 - m mac - - mac- source 52:54:00:00:00:0b - j DROP //拒绝52:54:00:00:00:0b这台主机远程本机
iptables - A INPUT - p tcp - m multiport --dports 20:22,25,80,110,143,16501:16800 - j ACCEPT //一次性开启20,21,22,25,80,110,143,16501到16800所有的端口
iptables - A INPUT - p tcp - - dport 22 - m iprange --src- range 192.168.4.10- 192.168.4.20 - j ACCEPT注意,这里也可以限制多个目标IP的范围,参数是--dst-range,用法与--src-range一致。
iptables - t nat - A POSTROUTING - s 192.168.4.0/24 - p tcp - - dport 80 - j SNAT - - to- source 192.168.2.5

SNAT策略:
局域网主机共享单个公网IP地址接入Internet
在这里插入图片描述

Iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 218.29.30.31

DNAT策略:
在Internet中发布位于企业局域网的服务器
在这里插入图片描述

Iptables -t nat -A PREROUTING -i eth0 -d 218.29.30.31 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6

导出规则:
使用iptables-save工具,可以结合重定向输出保存到指定文件

Iptables-save >1.iptables

导入规则:
使用iptables-restore工具,可以结合重定向输入指定规则来源

Firewalld防火墙

firewall-cmd --get-default-zone    #查看默认区域
firewall-cmd --set-default-zone=规则  #修改默认区域
firewall-cmd --zone=规则 --list-all  #查看区域策略
firewall-cmd --zone=规则 --add-service=协议 #添加协议
firewall-cmd --reload   #重新加载防火墙所有配置文件规则
--permanent 永久配置选项
firewall-cmd --zone=规则  --remove-service=协议 #删除协议
firewall-cmd --zone=规则 --add-source=IP #添加源IP地址策略
firewall-cmd --zone=规则 --add-port=端口 #添加端口策略
firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80 #端口映射
风吹指间
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙)详细教程
菜鸟学安全的博客
04-14 2782
iptables防火墙详解
iptables 防火墙
chenx2022的博客
05-21 3349
Linux系统的防火墙:ip信息过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上netfilter / iptables关系:netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
Linux安全防火墙iptables)配置策略
最新发布
qq_53058639的博客
06-01 965
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux_iptables_常用命令总结
qq_44484541的博客
04-19 3397
【代码】Linux_iptables_常用命令总结。
iptables - 防火墙常用规则与使用方式记录
m0_51777056的博客
06-21 3154
iptables常用记录
【网络教程】IPtables官方教程--学习笔记4--IPTABLES RULES
jackhh1的博客
09-12 1222
如何设计iptables规则
iptables防火墙规则配置
07-23
iptables防火墙规则配置
linux增加iptables防火墙规则的示例
09-15
主要介绍了linux增加iptables防火墙规则的示例,大家在使用的时候要把规则后的中文注释去掉
修改iptables防火墙规则解决vsftp登录后不显示文件目录的问题
09-30
主要介绍了vsftp登录后不显示文件目录的解决方法,给vsFTPd增加随机端口的范围,然后把这个端口范围添加到iptables就可以解决
iptables详解
魏志标的博客
06-26 6704
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
Linuxiptables防火墙配置
asdfg___xiaobai的博客
11-02 6474
1. NEW:主机连接目标主机,在目标主机上看到的第一个想要连接的包 2. ESTABLISHED:主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进 入该状态
iptables设置防火墙规则
皮卡丘在充电
11-20 944
1、查看当前iptables规则 iptables -L --line-numbers 指令: -A Append -I Insert -D Delete iptables -D chain firewall-rule / iptables -D chain rulenum 注意:删完一条其它编号会变 -R Replace 参数: -p 协议 -s 源地址 -d 目的地址 -sport 源端口 -dport 目的端口 -i 入站接口 -o 出站接口 -j 跳转:指定当某个数据包满足该规则的时候的就跳..
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4532
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4106
本文主要内容是Linux iptables防火墙的基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
iptables命令、规则、参数详解
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
Iptables介绍和实用使用方法
cbuy888的博客
05-20 8202
一、简介1)---> IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统,在redhat7.1 centos7.1以上都内置装有。2)---> iptables 的最大优点是它可以配置有状态的防火墙,有四种有效状态,名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。 -状态 ESTABLISHED 指出该信息包...
创建iptables防火墙规则,入站方向允许端口8088上的流量通过
07-20
要创建iptables防火墙规则来允许入站方向上的端口8088上的流量通过,可以使用以下命令: ```shell iptables -A INPUT -p tcp --dport 8088 -j ACCEPT ``` 上述命令将在INPUT链中添加一条规则,允许TCP协议上目标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值