IPtables---火墙管理工具 用法及策略修改

最新推荐文章于 2024-06-01 07:38:55 发布
最新推荐文章于 2024-06-01 07:38:55 发布
阅读量328 收藏
点赞数
分类专栏: LINUX 文章标签: iptables linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47727383/article/details/108116672
版权

一、常见的两种火墙

  1. iptables 防火墙:

    iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,如果加载了防火墙的模块,需要在重新加载后进行手动加载防火墙的模块。

  2. firewalld防火墙:

    使用 python 语言开发,管理防火墙规则的模式(动态):任何规则的变更都不需要对整个防火墙规则列表进行重新加载,只需要将变更部分保存并更新到运行中的 iptables 即可。还有命令行和图形界面配置工具,它仅仅是替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。

    Filewalld(动态防火墙)作为系统中变更对于netfilter内核模块的管理工具;

二、火墙管理工具切换

在rhle8中默认使用firewalld

1.firewalld----------->iptables

1.iptables----------->firewalld

 

三、iptables

1.iptables防火墙基础知识

<1>概述:保护内部主机和内部网络的安全,通过过滤的方式对网络层的ip地址和端口进行处理;

<2>了解防火墙:

  硬件防火墙:ASA

  软件防火墙:iptables(linux平台)、ISA(windows自带的)

<3>iptables防火墙结构:

  netfilter内核模块、iptables用户工具、firewall用户工具

<4>iptables的表:按照不同功能来划分;

  raw(状态跟踪)、mangle(标记)、nat(修改)、filter(过滤)

  raw:主要是为了提高效率使用的,raw本身的含义是指“原生的”、“未经过加工 的”,符合raw表所对应规则的数据包将会跳过一些检查,这样就可以提高效率;

  mangle:mangle表的规则可以对数据包进行修改,比如修改ttl值等;

  nat:进行源地址或目标地址修改转换;

  filter:通过过滤数据包的ip地址、mac地址、协议、端口,对数据包进行控制;

<5>iptables规则链:根据不同时机来划分链,在链中存放规则;

  INPUT(入站)、OUTPUT(出站)、FORWARD(转发)、PREROUTING(路由前)、POSTROUTING(路由后)

<6>表中默认包含链:

  raw:PREROUTING、OUTPUT

  mangle:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

  nat: PREROUTING、POSTROUTING、OUTPUT

  filter:INPUT、FORWARD、OUTPUT

2.火墙策略的永久保存

 

  1. 火墙策略的永久保存

  2. /etc/sysconfig/iptables ##iptables策略记录文件

  3.  

  4. 不保存策略重启服务后自动恢复最初的策略

  5.  

  6. 永久保存策略两种方法

  7. iptables-save > /etc/sysconfig/iptables

  8. service iptables save ##常用方法

 

3.iptables的命令用法

 

  1. ##iptables规则链

  2. INPUT(入站)、OUTPUT(出站)、FORWARD(转发)、PREROUTING(路由前)、POSTROUTING(路由后)

  3. ##表中默认包含链

  4.  raw: PREROUTING、OUTPUT

  5.  mangle:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

  6.  nat: PREROUTING、POSTROUTING、OUTPUT

  7.  filter:INPUT、FORWARD、OUTPUT

  8. ##iptables匹配流程 ##(根据数据流的方向确定匹配顺序)

  9.    链: 入站数据流向:PREROUTING、INPUT

  10.   出站数据流向:OUTPUT、POSTROUTING

  11.   转发数据流向:PREROUTING、FORWARD、POSTROUTING

  12.    表: raw--mangle--nat--filter

  13. 总结:链内规则匹配顺序:从上到下、匹配即停止、未匹配使用默认规则;

 

  • 火墙读取的方式有一定问题,一个一个来同意效率慢。

  • 更改火墙策略,访问过后将被记忆

 

  1. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  2. iptables -A INPUT -i lo -m state --state NEW -j ACCEPT

  3. iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

  4. iptables -A INPUT ! -s 172.25.254.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT

  5. iptables -A INPUT -s 172.25.254.10 -p tcp --dport 22 -m state --state NEW -j ACCEPT

  6. iptables -A INPUT -j REJECT

  7. iptables -nL

  1. 在系统中设定火墙只允许访问dns,httpd服务
  2. 设定火墙仅允许172.25.254.250链接SSHD服务

 

 

  1. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

  2. iptables -A INPUT -i lo -m state --state NEW -j ACCEPT

  3. iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

  4. iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT

  5. iptables -A INPUT -s 172.25.254.250 -p tcp --dport 22 -m state --state NEW -j ACCEPT

  6. iptables -A INPUT -j REJECT

  7. service iptables save

 

拾丨壹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Iptables火墙策略
Liu_Fang_Hong的博客
06-14 1151
Linux 系统的防火墙——netfilter/iptablesIP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
火墙管理工具iptables ---iptables用法火墙策略修改
Horizon_carry的博客
07-01 450
一、常见的两种火墙 iptables火墙iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,如果加载了防火墙的模块,需要在重新加载后进行手动加载防火墙的模块。 firewalld
iptables火墙概念-规则命令详解-配置文件修改
weixin_45266856的博客
02-15 3462
火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,在数据包过滤表中,规则被分组放在我们所谓的(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。
Linux安全防火墙iptables)配置策略
最新发布
qq_53058639的博客
06-01 1496
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义中,根据需求进行配置。如果想要删除自定义,确保满足以下条件:自定义没有被任何默认引用,即自定义的引用计数为0。自定义中没有任何规则,即自定义为空。可以使用-x示例自定义使用自定义添加:iptables -N custom(名) 创建自定义改名:iptables -E custom(原来名称) ky29(新名称) 自定义改名。
ansible常用模块之 -- iptables模块 – 修改iptables规则
weixin_44762073的博客
10-27 1075
ansible常用模块之 -- iptables模块 – 修改iptables规则
宝山区linux运维,25个常用的iptable策略
weixin_33725576的博客
05-13 185
25个最常用的iptables策略1,清空存在的策略当你开始创建新的策略,你可能想清除所有的默认策略,和存在的策略,可以这么做:iptables -F 或者iptables --flush2,设置默认策略默认策略是ACCEPT,改变所有的策略为DROP:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP3...
火墙管理工具iptables ---iptables用法火墙策略修改
Rengar_Yang的博客
08-23 294
一、常见的两种火墙 iptables火墙iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,如果加载了防火墙的模块,需要在重新加载后进行手动加载防火墙的模块。 firewalld防
iptables-1.1.9指南中文版(PDF)
10-21
这个“iptables-1.1.9指南中文版”旨在为用户详细解读iptables的使用方法和功能,帮助管理员更好地管理网络流量和安全策略iptables有五个主要的表格(表),每个表都有自己的特定用途: 1. **滤波器表**...
Iptables 指南1.1-Oskar Andreasson
05-10
- **iptables-save**:详细介绍了iptables-save命令的使用方法,这是保存iptables规则的主要工具。 - **iptables-restore**:解释了iptables-restore命令的用法,它是用来恢复之前保存的规则集的。 #### 规则的构建...
docs-sysadmin:系统管理员文件
03-11
系统管理员需要了解不同的备份类型(如全量备份、增量备份、差异备份),并熟悉使用rsync、tar、dd等工具进行备份操作。同时,了解如何从备份中恢复数据也是必备技能。 八、虚拟化与容器技术 随着云计算的发展,...
yaib-daemon:IP阻止列表-可以管理数千个IP地址-开源
05-08
总的来说,yaib-daemon 是一个强大的工具,为系统管理员提供了管理和执行大规模IP阻止策略的能力,同时保持了系统资源的有效利用。通过其开源性质和哈希表技术,它在保障网络安全的同时,也体现了开源社区的智慧和...
iptables命令实例
08-04
iptables 命令实例 本文档主要介绍了 Linux 中的iptables 命令的实例,涵盖了 iptables 的基本用法、规则设定、端口控制、NAT 转发等方面的...通过本文档,读者可以了解到 iptables 命令的使用方法和常用的规则设定。
iptables火墙详解
虎哥LoveDroid
02-16 1850
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙iptables免费开源,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 是用来设置、维护和检查 Linux 内核的防火墙 IP 报文过滤规则和网络地址转换规则的。Linux火墙通常包含两部分,分别为 iptables 和 netfilter。iptablesLinux 管理防火墙规则的命令行工具,处于用户空间。
iptables修改规则和保存规则
m0_56573171的博客
12-28 1342
如果上图中的命令没有使用-s指定对应规则中原本的源地址,那么在修改完成后,你修改的规则中的源地址对应的原本的匹配条件会自动变成0.0.0.0/0(此IP表示所以网段的IP地址),而此时,-j对应的动作又为REJECT,所以在执行上述命令时,如果没有指明规则原本的源地址,那么所有IP的请求都被拒绝了(因为没有指定原本的源地址,当前规则的源地址自动变成0.0.0.0/0),如果你正在使用ssh远程到服务器上进行iptables设置,那么你的ssh请求也将会被阻断。iptables -t 表名。
iptables火墙
识途老码
09-03 2229
iptables火墙火墙优先级防火墙的几种策略ACCEPTREJECTDROPLOGiptanbles的表和显示当前已有的所有防火墙策略清空现有的所有策略配置防火墙的默认策略设置默认拒绝策略,添加允许策略1设置默认拒绝策略2添加允许策略设置默认允许策略,添加拒绝策略1设置默认允许策略2添加拒绝策略保存防火墙策略--配置完必须执行!!! 防火墙优先级 iptables优先级最高,是内核级别的 firewalld 防火墙策略次之 tcpd服务器配置文件优先级最低 防火墙的几种策略 ACCEPT 放行
关于iptables的规则配置方法(笔记)
剁椒鱼头没剁椒的博客
02-08 9830
关于iptables的规则配置方法(笔记)
Iptables火墙策略详解
Iands。的博客
02-24 939
一、iptables Linux 系统的防火墙——netfilter/iptables IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables 关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables
iptables增加、删除、修改、查询、保存防火墙策略教程
u012242646的博客
11-23 1854
一.查看现有防火墙策略 二.增加防火墙策略(以22端口为例) 说明: 1.-A代理在末尾追加,如果要在开头插入使用 -I 2.多IP使用逗号(半角)相隔,多端口添加-m multiport然后端口使用逗号(半角)相隔 3.对于连续IP合用–src-range iptables -I INPUT -m iprange --src-range 192.168.220.128-192.168.22...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值