Linux安全——iptables防火墙基本设置

最新推荐文章于 2023-11-11 15:43:26 发布
最新推荐文章于 2023-11-11 15:43:26 发布
阅读量224 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48760717/article/details/110135014
版权

语法

iptables(选项)(参数)

选项

-t<表>:指定要操纵的表;
-A:向规则链中添加条目;
-D:从规则链中删除条目;
-i:向规则链中插入条目;
-R:替换规则链中的条目;
-L:显示规则链中已有的条目;
-F:清楚规则链中已有的条目;
-Z:清空规则链中的数据包计算器和字节计数器;
-N:创建新的用户自定义规则链;
-P:定义规则链中的默认目标;
-h:显示帮助信息;
-p:指定要匹配的数据包协议类型;
-s:指定要匹配的数据包源ip地址;
-j<目标>:指定要跳转的目标;
-i<网络接口>:指定数据包进入本机的网络接口;
-o<网络接口>:指定数据包要离开本机所使用的网络接口。
iptables命令选项输入顺序:

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

SNAT

原理:修改数据包中的源IP地址
作用:可以实现局域网共享上网

配置的表及链:nat表中的POSTROUTING
实现方法:
1)主机、服务器配置正确的ip地址及网关
2)网关服务器开启路由功能
a、echo 1 > /proc/sys/net/ipv4/ip_forward
b、vim /etc/sysctl.conf
net.ip…….ip_forward = 1
sysctl -p
3)设置SNAT
a、网关服务器外网卡的IP地址固定
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j SNAT –to-source 网关服务器外网卡的IP地址

b、网关服务器外网卡的IP地址不固定
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j MASQUERADE

在linux系统中利用ADSL拨号连接外网,将上述的网卡接口名称进行修改(ppp0,ppp1等),如果没有办法确认网络接口的名称可以采用ppp+替代。

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ppp1 -j
MASQUERA

说明:条件匹配根据具体情况适当添加

DNAT

原理:修改数据包中的目标IP地址
作用:将内网中服务器进行发布

配置在nat表中的PREROUTING链上

实现方法:
a、正确配置ip地址及网关
b、开启网关服务器的路由功能功
c、进行DNAT配置(最好先配置SNAT,内网的用户就可以直接访问外网)

例子:
iptables -t nat -A PREROUTING -d 210.99.19.2 -p tcp –dport 80 -j DNAT –to-destination 192.168.10.5

用户访问不使用默认的端口
iptables -t nat -A PREROUTING -d 210.99.19.2 -p tcp –dport 8080 -j DNAT –to-destination 192.168.10.5:80

内外网通信规则

具体实现方法:
(1)中间的防火墙充当路由器,开启nat功能;
(2)防火墙上做策略,指定192.168.2.0/24的主机转换成192.168.3.20

内网主机

网卡vm1:192.168.2.10
网卡地址配置:

[root@server1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
IPADDR=192.168.2.10
NETMASK=255.255.255.0
GATEWAY=192.168.2.20 #需要指网关才能上网
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=08232f73-ef4f-4daf-804a-d9d70834f6ca
DEVICE=ens33
ONBOOT=YES
[root@server1 ~]# systemctl restart network #重启网卡

[root@server1 ~]# route -n #允许内外网通信的规则创建后会由一个默认路由指向服务器外网卡
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         192.168.2.20    0.0.0.0         UG    100    0        0 ens33
192.168.2.0     0.0.0.0         255.255.255.0   U     100    0        0 ens33
192.168.122.0   0.0.0.0         255.255.255.0   U     0      0        0 virbr0

服务器

网卡vm1:192.168.2.20 (内网卡)
网卡vm2:192.168.3.20 (外网卡)
网卡地址配置:

[root@server1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
#服务器本身不用设置网卡
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
IPADDR=192.168.2.20 
NETMASK=255.255.255.0
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=5384c845-a48a-4970-aabd-10b16ee36e29
DEVICE=ens33
ONBOOT=yes
[root@server1 ~]# systemctl restart network #重启网卡

[root@server1 ~]# cp /etc/sysconfig/network-scripts/ifcfg-ens33 /etc/sysconfig/network-scripts/ifcfg-ens36 #新建网卡后默认没有配置文件,复制存在的网卡配置文件

[root@server1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens36
#服务器本身不用设置网卡
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
IPADDR=192.168.3.20
NETMASK=255.255.255.0
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens36
DEVICE=ens36
ONBOOT=yes

[root@server1 ~]# echo "net.ipv4.ip_forward=1" > /etc/sysctl.conf #开启路由功能
[root@server1 ~]# sysctl -p #加载配置
net.ipv4.ip_forward = 1

[root@server1 ~]# iptables -F #清空规则
[root@server1 ~]# iptables -n -L #查看现有规则
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

[root@server1 ~]# iptables -t nat -I POSTROUTING -s 192.168.2.0/24 -o ens36 -j SNAT --to-source 192.168.3.20 #编写防火墙规则

[root@server1 ~]# iptables -t nat -L #检查nat表规则,POSTROUTING链里包含创建的规则
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  192.168.2.0/24       anywhere             to:192.168.3.20

###此时内网主机可以ping外网主机,但外网主机不能ping内网网段,内网主机会有一条默认路由指向外网卡

外网主机

vm2:192.168.3.30
[root@server1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
IPADDR=192.168.3.30 #外网不需要配置网卡
NETMASK=255.255.255.0
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=3b8888d1-1c1e-4481-a5b5-75085e119ac5
DEVICE=ens33
ONBOOT=yes
[root@server1 ~]# systemctl restart network #重启网卡

外网用户访问内网发布的服务

DNAT:相当于华为路由器中的servernat,让外网的用户可以访问内网发布的服务。
具体的实现方法:
(1)中间的防火墙充当路由器,开启nat功能;
(2)防火墙上做策略,指定访问网关的某服务映射给内网服务器

内网主机

[root@server1 ~]# yum -y install httpd #安装apache服务
[root@server1 ~]# echo "this is web" > /var/www/html/index.html #主页内容
[root@server1 ~]# systemctl start httpd #启动apache服务
[root@server1 ~]# netstat -anpt | grep httpd #查看apache开启情况
tcp6       0      0 :::80                   :::*                    LISTEN      8351/httpd

服务器

[root@server1 ~]# iptables -t nat -A PREROUTING -i  ens36 -d 192.168.3.20 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.10 #定义规则,协议加端口号为服务

[root@server1 ~]# iptables -t nat -L #查看规则情况
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             server1              tcp dpt:http to:192.168.2.10

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  192.168.2.0/24       anywhere             to:192.168.3.20

外网主机

[root@server1 ~]# curl http://192.168.3.20 #测试访问内网服务
this is web
l文峰
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web服务器iptables安全配置
weixin_34097242的博客
07-20 123
centos6.5的iptables防火墙规则#!/bin/bash############clear all chains#########iptables --delete-chainiptables --flush###########defaulet policy#########iptables -P INPUT DROPiptables -P FORWAR...
iptables安全标准配置
weixin_34014277的博客
11-27 113
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 外网ipa.x内ipc.x 内网ipb.x #Generatedbyiptables-savev1....
十三项目任务二 配置安全Iptables防火墙
qq_40775812的博客
07-09 223
     第一步:配置网关服务器ip地址第二步:打开服务器的路由器转发功能第三步:在NAT表中添加地址转换规则第四步:禁止客户机访问不健康网站第五步:禁止某些客户机上网第六步:禁止客户机访问某些服务第七步:强制访问指定的站点第八步:禁止客服机使用qq第九步:禁止使用ICMP协议和第十步:智能DNS服务第十一步:发布内部网络服务器第十二步;防止IP欺骗第十三步:防止广播包从IP代理服务器进入局域网第...
Linux系统安全配置iptables服务
linus.lin的博客
12-09 184
linux防火墙介绍 Linux系统防火墙功能是由内核实现的,从2.4版本之后的内核中,包过滤机制是netfilter,管理工具是iptables netfilter 位于系统内核中的包过滤防火墙功能体系,被称为Linux防火墙的“内核态” iptables 位于/sbin/iptables,是用来管理防火墙的命令工具,被称为linux防火墙的“用户态” iptables的表与链介绍 链是防火墙规...
linux centos 服务器网络安全配置与系统安全配置 (iptables配置 )
sun_itbest的博客
02-26 177
1.关闭selinux(如何关闭selinux) 查看selinux配置 cat /etc/selinux/config selinux 的状态 enforcing 开启状态 permissive 提醒状态 disabled 关闭状态 命令关闭 生效命令: setenforce 0 2.iptables配置 路径 /etc/sysconfig/iptables 推荐配置 iptables -P INPUT ACCEPT iptables -F iptables -A INPUT -p tc
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
linux实验——企业防火墙的架设与维护.doc
01-09
● 能熟练完成利用Iptables架设企业NAT服务器。 ● 能熟练完成企业Squid代理服务器的架设与维护。
Linux互联网技术》项目10 Linux防火墙实现——iptables1.pptx
04-13
Linux互联网技术》项目10 Linux防火墙实现——iptables1.pptx
Linux互联网技术》项目10Linux防火墙实现——iptables1.pptx
09-27
Linux互联网技术》项目10Linux防火墙实现——iptables1.pptx
iptables防火墙策略(慎用)
weixin_39218464的博客
01-17 371
iptables防火墙策略 没事别搞这个,有腾讯云或者阿里云的安全组是一样的,慎用,我这刚用了所有端口被清空了,22号远程端口被断开通过vnc登录操作了一波 关闭 firewalld systemctl stop firewalld 安装 iptables-services yum -y install iptables-services 启动 iptables systemctl enable iptables 打开 iptables(重要) systemctl start iptables
Linuxlinux设置IP地址及开通外网
小朋友的博客
08-24 8956
Linux设置IP地址及开通外网
Iptables NAT 命令介绍1
weixin_34122810的博客
09-17 216
<< Back to man.ChinaUnix.net 红帽企业 Linux 4: 安全指南 后退 第 7章 . 防火墙 前进 7.4. FORWARD 和 NAT 规则 多数机构从它们的 ISP 处得到数量有限的可公开选路的 IP 地址。鉴于这种限额,管理员必须积极寻求分享互联网服务的创建性方法,而又不必把稀有的 ...
linux-iptables nat设置路由转换
Coohx
04-01 1万+
DNATDestination Network Address Translation,目的地址转换) 通常被叫做目的映射。而SNAT(Source Network Address Translation,源地址转换)通常被叫做源映射。这是我们在设置Linux网关或者防火墙时经常要用来的两种方式。以前对这两个都解释得不太清楚,现在我在这里解释一下
iptables命令、规则、参数详解
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables防火墙之SNAT与DNAT
weixin_45305723的博客
05-01 2236
1、SNAT策略概述 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 2、SNAT工作原理 数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP 当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP 3、SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linu
iptables防火墙SNAT和DNAT
Hard work results, technology is willing to dream
02-10 1446
iptables防火墙SNAT和DNAT
Linux安全防火墙iptables)配置策略
最新发布
qq_51545656的博客
11-11 5480
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables配置——NAT地址转换
热门推荐
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
iptables外网一端口通过NAT转发内网一服务器端口上
weixin_34124651的博客
03-05 261
命令格式 -A PREROUTING -d 服务器IP -p tcp -m tcp --dport 端口2222 -j DNAT --to-destination 内网IP:22 -A POSTROUTING -s 192.168.10.0/255.255.255.0 -o 网卡eth0 -j SNAT --to-source  服务器IP 直接修改/etc/sysconfig/iptabl...
linux iptables个人防火墙基本原理和设置方法
03-28
Linux iptables是一个强大的防火墙工具,它可以保护系统免受攻击。其基本原理是通过规则来过滤进出系统的网络数据包,从而保证系统的安全iptables可以根据不同的规则来允许或者拒绝特定的数据包,以及对数据包进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值