防火墙---iptables

最新推荐文章于 2023-08-04 14:45:35 发布
最新推荐文章于 2023-08-04 14:45:35 发布
阅读量128 收藏
点赞数
分类专栏: 防火墙 文章标签: iptables 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43811335/article/details/102589734
版权
防火墙分类

逻辑分类:主机防火墙(个人)和网络防火墙(集体)
主机防火墙:针对单个主机进行防护
网络防火墙:往往处于网络入口或者边缘,针对于网口入口进行防护,服务于防火墙背后的局域网
物理分类:硬件防火墙和软件防火墙
硬件防火墙:在硬件级别实现部分防火墙功能,另一部分基于软件实现。性能高,成本高
软件防火墙:应用软件处理逻辑运行与通用硬件平台之上。性能低,成本低
iptables其实并不是真正的防火墙,netfilter(安全框架)才是真正的防火墙

四表五链

四表
raw 追踪数据包 (PREROUTING OUTPUT)
mangle 对数据包打标记 (PREROUTING/INPUT/FORWAND/OUTING/POSTROUTING)
nat 地址转换 (PREROUTING INPUT OUTPUT POSTROUTING)
filter 数据包过滤 (INPUT FORWAND OUTPUT)
五链
PREROUTING 在路由之前
INPUT 数据包进入时
FORWAND 数据包经过时
OUTPUT 数据包出去时
POSTROUTING 在路由之后

语法

iptables -t 表 动作 链 匹配条件 -j 目标动作
动作:
添加规则 -A
插入规则 -I
替换(修改)规则 -R
删除规则 -D
修改默认策略 -P (谨慎使用 DROP ACCEPT)
添加自定义链 -N (默认不会生效,是用来存储规则的)
修改自定义链名称 -E
删除自定义规则 -X
计数清零 -Z
查看 -L
删除 -F
匹配条件
-p port协议(tcp udp icmp)
–sport源端口
–dport目标端口
-s 源地址
-d 目的地址
目标动作
ACCEPT 允许数据包通过(默认策略)
DROP 直接丢弃数据包,不给任何回应
REJECT 拒绝数据包,必要时会给数据发送端一个响应
SNAT 源地址转换,可以解决內网用户用一个公网IP上网问题 POSTROUTING
DNAT 目标地址转换 PREROUTING
REDIRECT 做端口映射(扩展)

练习
  • 添加规则: -A
iptables -t filter -A INPUT -p tcp --dport 22 -s 192.168.192.129 -j REJECT
iptables -t filter -A INPUT -p tcp --dport 22 -s 192.168.192.131 -j REJECT

查看

iptables -L --line

在这里插入图片描述

  • 插入规则: -I
iptables -t filter -I INPUT -p udp --dport 22 -s 192.168.192.133 -j REJECT
iptables -t filter -I INPUT  3 -p udp --dport 22 -s 192.168.192.134 -j REJECT

查看

iptables -L --line

在这里插入图片描述

  • 替换修改规则 : -R
iptables -t filter -R INPUT  2 -p udp --dport 22 -s 192.168.192.135 -j REJECT

在这里插入图片描述

  • 删除规则 -D
iptables -t filter -D INPUT 2

在这里插入图片描述

  • 修改默认策略 -P
 iptables -t filter -P INPUT DROP
 iptables -t filter -P INPUT ACCEPT
  • 添加自定义链 -N
iptables -N hualaotou
iptables -t filter -A hualaotou -p udp --dport 22 -j REJECT

在这里插入图片描述
关联自定义链

iptables -A INPUT -j hualaotou

在这里插入图片描述

  • 修改自定义链名称: -E
iptables -E hualaotou jiajia

在这里插入图片描述

  • 删除自定义链: -X
iptables -X jiajia

在这里插入图片描述

  • 网络地址转换NAT(企业应用)
    SNAT
    client ----------------iptables----内网ip–公网( baidu公网)
 iptables -t nat -A POSTROUTING -s 192.168.192.0/24 -d 192.168.192.0/24 -j SNAT --to-source 192.168.92.1

DNAT

 iptables -t nat -A PREROUTING -d 192.168.1.2  -j DNAT --to-destination 192.168.2.2 
 iptables -t nat -A POSTROUTING -d 192.168.2.2  -j SNAT --to  192.168.2.1

在这里插入图片描述

 iptables -t nat -A PREROUTING -p tcp -d 192.168.122.1 -dport 80  -j REDIRECT  --to-destination 192.168.1.1:8080

docker 端口映射 namespace 命名空间 -p 80:8080

hualaotouvip
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
iptables端口映射
jieGary的编程之路
09-20 2357
#打开转发开关 要让iptables的端口转发生效,首先需要打开转发开关 方法一:临时打开,重启后失效 $sudo su #echo 1 >/proc/sys/net/ipv4/ip_forward 方法二:永久打开,重启依然有效 编辑/etc/sysctl.conf文件,将net.ipv4.ip_forward=1前面的#注释去掉,保存文件,然后执行sudo sysctl -p使其生效 ...
linux如何启动portmap服务,linux使用nfs、portmap服务共享远程磁盘的方法
weixin_42503076的博客
05-03 1189
NFS的安装配置:centos 5 :yum install nfs-utils portmapcentos 6 :yum install nfs-utils rpcbind本节是使用centos 6的配置过程:设备:两台 centos6 OS 安装的时候选择的是"Basic Server"软件配置包。首先,让两台机器都安装NFS的 软件包,如下显示的是服务器端:[root@roothomes /...
iptables全面详解(图文并茂含命令指南)
程序人生
08-04 1万+
iptables原理详解及操作指南
服务器安全之iptables iptables
linuxlsq的博客
09-21 3448
服务器安全之iptables 感谢老男孩老师为我们讲解iptables  优化之路 iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低
iptables实现端口映射(本地和远程端口映射)
Sonsay的专栏
05-13 6275
iptables实现端口映射(本地和远程端口映射) 说明: 需要将外网访问本地IP(192.168.75.5)的80端口转换为访问192.168.75.3的8000端口,这就需要用到iptables的端口映射实现: 1. 需要先开启linux的数据转发功能 # vi /etc/sysctl.conf,将net.ipv4.ip_forward=0更改为net.ipv4.ip_forward=1 # sysctl -p //使数据转发功能生效 2. 更改iptables,使之实现nat映射功能 .
ansible-iptables:使用iptables进行防火墙设置的Ansible角色
05-09
iptables 使用iptables配置防火墙。 该角色支持入口和出口过滤。 启用出口过滤后,将自动允许某些常用协议。 这包括: 对/etc/resolv.conf的名称服务器的DNS请求软件包管理(Gentoo,Debian,Alpine)要求需要使用...
iptables-devel-1.4.21-33.el7.x86_64.rpm
05-08
替换系统自带防火墙应用,直接rpm -ivh安装即可 需要先查找并卸载系统自带的firewalld iptables配置 vi /etc/sysconfig/iptables
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
iptables教程-linux-iptable防火墙-基本认识.docx
11-29
iptables教程-linux-iptable防火墙-基本认识.docx
2小时学会iptables_完整版
11-08
2小时学会iptables_完整版,从基础到实战演示,完整版ppt,通俗易懂。
VIP Load Balance via iptables on Linux
Dreamming Time的博客
12-11 750
这里所谓的VIP load balance via iptables,是指在CentOS 7系统上,基于iptables规则,利用VNI(Virtual Network Interface)创建的VIP(Virtual IP),实现网络流量的负载均衡。
Docker容器防火墙报端口映射错误WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w10 -t filter -F DOCKER' failed: ipt
热门推荐
记录日常
09-23 1万+
错误: 从网上找了各种问题还是报错,什么重启docker ,关掉防火墙,重启服务器,在另一台服务器也测试同样的,。。。搞了几个小时,暴脾气都来了。 解决办法: 服务是启动的是8081端口 我docker映射的端口是8080 要么将服务端口号改为8080,或者将映射端口改为8081 结语:找不到问题写代码都打瞌睡,与其花几个小时找问题,还解决不了,还不如找大佬问问,省时...
企业防火墙iptables
惨绿少年 | 欢迎访问CLSN博客站点 http://clsn.io
01-26 270

 1.1 企业中安全优化配置原则
 尽可能不给服务器配置外网ip ,可以通过代理转发或者通过防火墙映射.并发不是特别大情况有外网ip,可以开启防火墙服务.
 大并发的情况,不能开iptables,影响性能,利用硬件防火墙提升架构安全
 1.1.1 生产中iptables的实际应用
 主要应用方向
 1、主机防火墙(filter...
iptables 使用
weixin_34345560的博客
04-19 353
原文链接 本文介绍25个常用的iptables用法。如果你对iptables还不甚了解,可以参考上一篇iptables详细教程:基础、架构、清空规则、追加规则、应用实例,看完这篇文章,你就能明白iptables的用法和本文提到的基本术语。 一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认链策略 ipta...
记录一次Linux Firewalld防火墙故障排查的案例Error:Action org.fedoraproject.FirewallD1.config.info is not registered
watermelonbig的专栏
04-26 1万+
1、故障现象在一个生产服务器上,系统为CentOS7.3,防火墙使用的是系统默认的firewalld。偶然发现,在执行以下防火墙管理命令时,报错如下:# firewall-cmd --list-allError: Action org.fedoraproject.FirewallD1.config.info is not registered虽然查看防火墙配置规则列表的命令报错了,但其它的规则配置...
iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -Z
最新发布
11-30
1. iptables -F:清空所有防火墙规则。 2. iptables -X:删除所有用户自定义的链。 3. iptables -Z:将所有链的所有计数器归零。 4. iptables -t nat -F:清空nat表中的所有规则。 5. iptables -t nat -X:删除nat表...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值