linux运维学习笔记三之iptables

最新推荐文章于 2024-09-03 14:16:23 发布
最新推荐文章于 2024-09-03 14:16:23 发布
阅读量151 收藏
点赞数
分类专栏: linux运维笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44419639/article/details/114131191
版权 
一、iptables
    用户空间的iptables + 内核空间的netfilter
    iptables实现的是2-4层防火墙功能,7层需要重编内核
    1.1  firewall
        firewall-cmd --help
    1.2  iptables
        信息查看
        -L  列出所有链的规则
        -n  将地址和端口以数字形式展示
        -v  显示更多信息
        --line-numbers  列出信息的时候将编号输出
        -S  打印出所有规则
        保存规则   iptables-save > iptables_file
        清除规则  iptables -D 链名 规则编号|规则样式
        清除所有  -Z 计数器     -X 自定义链的删除       -F 所有链中的规则
        恢复规则    1.iptables-restore       2.重启服务
        更改规则   iptables -P 链名 target动作
        target动作  ACCEPT 允许数据包通过  DROP 禁止数据包通过    REJECT 拒绝数据包通过
    1.3  规则
        存在链中,对接收到的数据包进行匹配获取,并对匹配到的数据包进行处理
        规则命令:  iptables [-t 表] -子命令 <链> <规则策略> 选项
        处理动作:
            默认动作(man iptables):ACCEPT DROP RETURN
            扩展动作(man iptables-extensions): SNAT  REJECT..
    1.4  规则实践
        追加规则
            iptables -A 链名 [匹配条件] [参数]
            iptables -A INPUT -s 192.168.9.15 -j DROP
        插入规则
            iptables -I 链名 位置 [匹配条件] [参数]
            iptables -I INPUT 2 -s 192.168.9.15 -j DROP
        删除规则
            -D 链名 编号|匹配条件
            iptables -D INPUT 2
            iptables -D INPUT -s 192.168.9.15 -j DROP
        更改规则
            -R 链名 编号 [匹配条件] [参数]
            iptables -R INPUT 1 -s 192.168.9.15 -j DROP
二、五表五链
    2.1  链
        将对数据包的操作规则存放起来
        默认的链:INPUT FORWARD OUTPUT
        五链:PREROOUTING   对输入的数据包进行预处理 
                  INPUT    数据包本机处理
                  FORWARD    数据包本机转发
                  OUTPUT        数据包本机发出
                  POSTROUTING    对输出的数据包进行预处理
        链的关系:本机处理 PREROUTING  INPUT
                        本机转发  PREROUTING FORWARD POSTROUTING
                        本机响应  OUTPUT POSTROUTING
    2.2  链实践
        原则:对于某个链中的多规则,是按照从上到下的顺序来对数据包进行操作的
        如果多个数据包规则出现内容部分重复,强烈注意规则的先后顺序
        -N    创建自定义链   iptables -N 链名
        -X    清除自定义链
        -E    自定义链改名
    2.3  五表
        将不同的链组合在一起实现不同特务场景下的功能
        它是由netfilter模块在内存中维护的几个空间
        不同的表可以存在相同的链,这些链针对的对象是不一样的
        security表   mac                                INPUT OUTPUT  FORWARD
        filter   数据包过滤     默认的,最重要   I   O  F
        NAT表  网络地址转换                          I O PREROUTING POSTROUTING
        mangle表  数据包拆修封,自定义        I O F P P
        raw表  特殊的nat表                            PREROUTING OUTPUT
    2.4  表实践
        表信息查看    iptables -t 表名 -vnL
    2.5  表链关系
        表中链、链中表
        表优先级、链优先级
        规则变现:1.定方向   表和链      2.定顺序   链中的规则
三、规则进阶
    3.1  普通匹配
        -s   源地址
            ,            多地址使用逗号隔开 
            网段       mask
            !            非要结合默认规则
        -d   目标地址
            ! 不能与多ip地址结合使用
        -p  协议名|协议编号
            iptables -A INPUT  -s ip -P tcp -j DROP
        -i  数据包入口  网卡
            iptables -A INPUT -s ip -i eth0 -j DROP
        -o  数据包出口
    3.2  扩展匹配
        一些基本匹配条件基础上,增加的其他功能
        匹配模块(小写)和目标动作(大写)
        模块扩展匹配:  显示扩展  -m 模块名     
                                隐式扩展     基于协议名,不加-m使用
        端口范围
            -m tcp --sport --dport
            -m multiport --sports --dports --ports
        地址扩展
            iptables -m iprange -h  指定ip地址范围
    3.3 web扩展
        时间扩展
            -m time -h
            常见属性  --timestart  time           
                            --timestop time                
                            --monthdays value
                            --weekdays value     一定要保证是utc时间
        字符扩展
            -m string -h
            --algo bm kmp  设定内容匹配的算法
            --string   过滤关键字
        连接数量
            -m connlimit -h
                --connlimit-above   单个客户端ip连接到本机的最大连接数量
        内容数量
            -m limit -h
                --limit avgrate/second/minute/hour/day     平均访问速率
                --limit-burst    峰值数量,默认5
        连接状态
            -m state -h   基于数据包连接状态过滤
                --state
                    INVALID ESTABLISHED NEW RELATE UNTRACKED
    3.4  网络防火墙
        基于路由器的网络转发环境,来实现网络防火墙的功能
        步骤: 1 .准备基本环境    两个网段,一个路由器主机(开启内核转发功能)
                   2.防火墙实践    在路由器主机上,关闭默认防火墙策略          
                            开启外网通向内网的数据转发      开启内网响应外网的数据转发
                   3.测试
    3.5  网络地址转换
        SNAT:  数据包的源ip地址发生了转换
        DNAT:  数据包的目标ip地址发生了转换
            --to-destination
        PNAT:将公司内网的多台web服务器,映射在同一ip的不同端口上
        MASQUERADE:  动态外网ip
仰下
关注
专栏目录
零基础学Linux运维,看这一篇就够了(含30G自学教程笔记
Cloud_Native的博客
07-03 2372
干啥不好,非要做运维,听人劝,吃饱饭,趁年轻,换行吧!
iptables
kej_linux的博客
06-03 509
iptables中内置五个表: filter:过滤表,也是默认表 nat:地址转换表 mangle raw security 内核中内置五链: PREROUTING INPUT FARWORD OUTPUT POSTROUTING 用户可以自定义链 查看本机iptables的filter表的规则 #本机默认关掉了firewalld,并且没有添加任何规则 [root@localhost ~]#...
iptables基础知识详解
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -&gt; Tables -&g...
iptables中的return
wsclinux的专栏
11-21 1万+
1. 从一个CHAIN里可以jump到另一个CHAIN, jump到的那个CHAIN是子CHAIN. 2. 从子CHAIN return后,回到触发jump的那条规则,从那条规则的下一条继续匹配. 3. 如果return不是在子CHAIN里,而是在main CHAIN,那么就以默认规则进行.
Iptables详解
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
Linuxiptables常用配置范例(1)
jibing57的学习摘录
12-31 619
转自:http://www.ha97.com/3928.html 以下是来自 http://wiki.ubuntu.org.cn/IptablesHowTo 上的配置说明 可以通过/sbin/iptables -F清除所有规则来暂时停止防火墙: (警告:这只适合在没有配置防火墙的环境中,如果已经配置过默认规则为deny的环境,此步骤将使系统的所有网络访问中断) 如果想清空的话,先执行
Linux运维学习笔记
六月生的博客
10-04 463
笔记学习https://www.bilibili.com/video/BV1nW411L7xm/?vd_source=3f851e85e66ef33269a2eefee664cec2的学习记录,目前持续更新中,希望能找到运维的实习吖 O(≧▽≦)O列出当前目录所有文件列出指定路径下的文件:列出指定路径下的文件并以指定的格式显示:详细列表形式展示:显示所有文件(包括隐藏文件)ls -lh 路径:列出指定文件夹的名称,并显示大小:输出结果到指定的地方:覆盖输出,会覆盖掉原来文件的内容:追加输出,在原始内
linux系列之常用运维命令整理笔录
热门推荐
Nicky's blog
11-02 33万+
本博客记录工作中需要的linux运维命令,大学时候开始接触linux,会一些基本操作,可是都没有整理起来,加上是做开发,不做运维,有些命令忘记了,所以现在整理成博客,当然vi,文件操作等就不介绍了,慢慢积累一些其它拓展的命令,博客不定时更新 free -m 其中:m表示兆,也可以用g,注意都要小写 Men:表示物理内存统计 total:表示物理内存总数(total=used+free) use......
linux 运维笔记
weixin_43358508的博客
09-03 1142
usr/lib/cloud-init/ds-identify 是cloud-init 在早期 genetaor阶段识别 配置(如 是否 禁用cloudinit),datasource 的脚本。是一次性的,执行完就立刻退出了,我这边在同地域,同规格,同镜像反复执行,cpu负载并不高。怀疑 云监控拿到的负载是否准确(这个不建议给客户说,避免引起产品负面的疑问), 这个脚本的日志在这里,/run/cloud-init/ds-identify.log ,可以客户给下,看有啥异常没。**学习英语口语(附带)
2024年运维最全linux防火墙iptables常用操作笔记(1)
AUZKAY的博客
05-01 470
iptables -A INPUT -m iprange --src-range 13.32.4.168-13.32.4.176 -j ACCEPT #匹配源IP。iptables -A INPUT -m iprange --dest-range 8.8.8.2-8.8.8.22 -j DROP #匹配目标IP。#-A 添加规则到链的结尾,最后一条 -I 插入规则到链的开头,第一条。越靠前的规则优先级越高。iptables -I INPUT 2 #指定位置插入规则,插入到INPUT链的第二行。
缘来是黎的运维学习笔记
11-04
【缘来是黎的运维学习笔记】是一份深入探讨Linux运维技术的学习资料,其中包含了作者在运维领域的经验总结和深入理解。在这个压缩包文件中,我们可以看到一个名为"sublime笔记"的子文件,暗示了内容可能与使用...
2024年最新2024整理 iptables防火墙学习笔记大全_modepro iptables,2024年最新最新Linux运维高级面试题汇总
2401_83621004的博客
05-04 581
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
Linux运维学习笔记十一:监控利器Nagios实战
放飞的心灵-记录学习的点点滴滴
05-25 4697
第四十二章 监控利器Nagios实战一、Nagios介绍1、哪些内容需要监控呢?(1)本地资源a、负载:uptime;b、CPU:top,sar,cpu温度;c、磁盘:df;d、内存:free;e、IO:iostat;f、RAIDg、passwd文件的变化(本地所有文件指纹识别)。(2)网络服务端口、URL、ping丢包、进程数、IDC网络流量(3)其他设备路由器、交换机端口流量、打印机、wind...
Linux运维学习笔记:批量无人值守安装CentOS
放飞的心灵-记录学习的点点滴滴
05-25 1368
第七部分其它运维知识第四十四章 批量无人值守安装CentOS一、概述无论是光驱引导安装,还是NFS、HTTP、FTP服务进行网络安装,都需要一个前提:需要安装引导介质(光盘、U盘等)。而自动化批量部署,是通过网络,无需介质,无人值守全自动化安装Linux操作系统。提升工作效率,减少消耗时间和人力成功,并有多种方式实现。本例以PXE+DHCP+NFS+Kickstart方式实现。一般在上千台服务器以...
目标检测数据集:瓶子图像缺陷检测数据【VOC标注格式】
10-17
目标检测数据集:瓶子图像缺陷检测数据【VOC标注格式】,数据保存按照文件夹保存,经测试,可直接用作目标检测数据集,无需额外处理。 【数据集详情】共3400张数据和对应的xml标注文件 关于yolo实战检测教程:https://blog.csdn.net/qq_44886601/article/details/134878776 yolov5的改进实战:https://blog.csdn.net/qq_44886601/category_12605353.html
毕业设计论文SpringBoot健身馆网站.docx
10-17
毕业设计论文
基于MATLAB车牌识别代码界面版(1).zip
10-17
压缩包
基于循环卷积神经网络RCNN的语音情感识别分类源码+数据集(识别语音输出情感).zip
最新发布
10-17
基于循环卷积神经网络RCNN的语音情感识别分类源码+数据集(识别语音输出情感).zip 1.多数小白下载后,在使用过程,可能会遇到些小问题,若自己解决不了,请及时私信描述你的问题,我会第一时间提供帮助,也可以远程指导 2.项目代码完整可靠,谈不上高分、满分(多数为夸大其词),但难度适中,满足一些毕设、课设要求,且属于易上手的优质项目,项目内基本都有说明文档,按照操作即可,遇到困难也可私信交流 3.适用人群:各大计算机相关专业行业的在校学生、高校老师、公司程序员等下载使用 4.特别是那种爱钻研学习的学霸,强烈推荐此项目,可以二次开发提升自己。如果确定自己是学渣,拿来作毕设、课设直接用也无妨,但自己还是尽可能弄懂项目最好!
毕业设计论文SpringBoot教师工作量计算系统.docx
10-17
毕业设计论文
Linux学习笔记:配置iptables防火墙与安全设置
本篇Linux学习笔记主要介绍了在Linux系统中进行网络配置和安全设置的一些关键步骤,以及使用iptables防火墙进行包过滤和策略管理。以下是对这些知识点的详细解释: 1. **网络接口设置**: 首先,脚本定义了外部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值