iptables 防火墙配置

最新推荐文章于 2024-01-25 18:34:36 发布
最新推荐文章于 2024-01-25 18:34:36 发布
阅读量3.9k 收藏 23
点赞数 14
分类专栏: Linux 文章标签: 网络安全 防火墙 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58783105/article/details/132894676
版权

文章目录

iptables 防火墙配置

防火墙就是堵和通的作用。

iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器和网络免受潜在的安全威胁。

防火墙是一种位于网络与主机之间的安全屏障,它可以监控和控制进出网络的数据流量。通过 iptables,管理员可以创建一系列规则来控制数据包的流动。每个规则由匹配条件(如源 IP 地址、目标 IP 地址、端口等)和操作指令组成。当数据包经过 Linux 内核时,iptables 会按照预先定义的规则集进行匹配和处理。根据规则的定义,iptables 可以允许、拒绝、丢弃或重定向数据包,以实现对流量的精确控制。

规则链的分类–五链

在进行路由选择前处理的数据包:PREROUTING

处理流入的数据包:INPUT

处理流出的数据包:OUTPUT

处理转发的数据包:FORWARD

在进行路由选择后处理的数据包:POSTROUTING

处理的动作

ACCEPT:允许流量通过。

REJECT:拒绝流量通过,(流量拒绝会通知,会返回流量的拒绝信息)

LOG:记录日志信息。

DROP:拒绝流量通过,丢弃 (直接把流量丢弃,不会返回任何值)

iptables 常用参数和作用

参数作用
-P设置默认策略
-F清空规则链
-L查看规则链
-A在规则链的末尾加入新的规则
-I num在规则链的头部加入新的规则
-D num删除某一条规则链
-s匹配来源的ip/MASK
-d配置目标地址
-i 网卡名称匹配这块网卡流入的数据
-o 网卡名称匹配这块网卡流出的数据
-p匹配协议,例如:TCP,UDP,ICMP
–dport num匹配目标端口号
–sport num匹配来源端口号
-j指定匹配到数据包后的动作,如 ACCEPT、DROP、REJECT等。

实验环境:redhat8 ip:192.168.188.186

在redhat8有iptables和firewalld,这里我们停掉firewalld。

systemctl stop firewalld		# 关闭firewalld防火墙

systemctl status firewalld		# 查看firewalld防火墙状态

在这里插入图片描述

设置firewalld为开启不启动。

systemctl disable firewalld

image-20230910144541377

iptables 防火墙配置

查看规则链

iptables -L

image-20230910144941262

清空规则链

iptables -F

image-20230910145137370

由于我们没有配置规则链,所以本来就是空的。

设置默认规则将流入的流量丢弃

iptables -P INPUT DROP

image-20230910145629008

在输入命令后,发现无法输入命令了已经,因为我是通过SSH连接到redhat8中的,流量属于流入的流量,通过设置默认规则后,将流入的流量全部禁掉了,所以无法使用SSH连接了。

并且主机也无法使用ping命令ping通redhat8了。

image-20230910150011882

允许ICMP协议流量通过

iptables -I INPUT -p icmp -j ACCEPT

image-20230910150819617

source表示源,不管从任何地方来的ICMP协议都允许通过。

测试网络连通性,发现可以ping通。

image-20230910150844452

虽然可以ping通,但是SSH还是无法连接不,因为没有设置允许TCP协议流量通过。(SSH协议用的是TCP协议)

删除默认策略

iptables -D INPUT 1

image-20230910151252103

可以看到模式是DROP

说明1 表示规则的编号,这里指的是第 1 条规则。

允许所以流量通过

iptables -P INPUT ACCEPT

image-20230910151750375

这样SSH就可以连接了

image-20230910152141826

设置将所有流入22端口的流量全部拒绝

iptables -A INPUT -p tcp --dport 22 -j REJECT

image-20230910153138656

命令执行后,SSH就无法连接了。

查看配置的规则

image-20230910153356076

允许指定网段的22端口通过

iptables -I INPUT -s 192.168.188.0/24 -p tcp --dport 22 -j ACCEPT

该命令的含义是进入22端口所有的TCP流量只能允许192.168.188.0网段通过。

image-20230910154457295

注意防火墙的匹配规则是从上往下进行匹配的

说明:流量进入后,先匹配第一个规则,查看是否属于192.168.188.0该网段的,如果属于则同意通过。如果不是192.168.188.0该网段的,就会拒绝所有,也就是匹配到了第二个规则。这里设置的效果和白名单一样。

设置某个端口的流量全部拒绝(UDP,TCP)

iptables -A INPUT -p tcp --dport 80 -j REJECT
iptables -A INPUT -p udp --dport 80 -j REJECT

image-20230910155854397

在input链中添加某个IP拒绝访问某个端口

iptables -A INPUT -p tcp -s 192.168.188.1 --dport 8080 -j REJECT

image-20230910160545834

这样192.168.188.1这个ip地址就无法访问8080端口。

在redhat8中部署http服务

python3 -m http.server 8080

image-20230910161115976

然后在真实机中无法访问

image-20230910161150043

在新开启的kali中可以访问

image-20230910161231173

禁用指定的端口范围内的TCP数据包进入服务器

iptables -A INPUT -p tcp --dport 8000:9000 -j REJECT

image-20230910161912096

保存规则

在重启虚拟机后设置的规则都会消失,所以我们需要保存设置好的规则。

在Redhat8中使用的命令

iptables-save

在Centos7/Redhat7中使用的命令

service iptables save
来日可期x
关注
  • 14
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
『运维备忘录』之 iptables 防火墙使用指南
流浪字节的博客
03-07 1073
iptables 是一个配置 Linux 内核防火墙的命令行工具,它是用来设置、维护和检查Linux内核的IP包过滤规则的。本文将介绍iptables 的基础知识和使用示例。
Linux安全防火墙iptables配置策略
qq_51545656的博客
11-11 5985
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables防火墙)详细教程
菜鸟学安全的博客
04-14 2781
iptables防火墙详解
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4106
本文主要内容是Linux iptables防火墙的基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
Iptables防火墙配置详解
chengxuyuanyonghu的专栏
09-18 516
iptables防火墙配置详解 iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。 (1)filter表负责过滤数据包,包括的规则链有,input,output和forward; (2)nat表则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output
Linux防火墙iptables
hujunbo553271的专栏
03-03 1960
Linux防火墙iptables
保存 iptables 配置并设置开机启动
qq_42599616的博客
06-23 6456
在上一篇中,设置的 iptables 路由转发只是保存在内存当中,假设服务器重启,那么就会丢失该配置信息。本文中介绍如何安装 iptables(centos7 版本默认没有安装 iptables),并保存相关配置信息,做到开机自启动。...
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4531
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
iptables简单配置
jin415147的博客
11-21 199
iptables -A 将一个规则添加到链末尾iptables -D 将指定的链中删除规则iptables -F 将指定的链中删除所有规则iptables -I 将在指定链的指定编号位置插入一个规则,默认添加位置为第一行iptables -L 列出指定链中所有规则iptables -t nat -L 列出所有NAT链中所有规则iptables -N 建立用户定义链iptables -X 删除用户定义链。
防火墙规则保存及自定义链
weixin_53865404的博客
12-03 1438
类似于函数,将类型相同的规则放入同一个链中#自定义添加WEB链#创建一个名为WEB的链,使用离散方式定义tcp协议的目的端口80和443,允许通过#在WEB链中添加,允许TCP协议的目的端口8080允许通过的规则​​​​#在INPUR链中添加规则,将WEB链的规则加载到主机192.168.190.130上​​​#删除WEB链#当WEB链被赋予链接,及链内有规则时,不可以被删除​​​​​#先将与WEB链关联的INPUT规则删除#再将WEB链内的规则全部清空。
【Linux】Linux防火墙iptables)基础操作指南
u012153104的博客
04-14 1377
本文重点介绍了 iptables 的基本原理、基本规则和配置命令,并通过实例让大家更深入地了解了 iptables 的使用方法。当然,iptables配置非常灵活,实际应用中还需要更加深入学习和掌握,以提高安全性和性能优化。
防火墙ip配置
最新发布
m0_64771829的博客
01-25 565
配置dmz区域IP地址,同时启用管理勾选ping命令方便检测。7.进入安全区域,创建生产区和办公区,以便于将细化管理。1.首先在交换机7上创建vlan 2 3 命令如下。2.分别进入0/0/3 和0/0/2接口。9.通过ping命令测试是否通路。5.进入防火墙,开启web服务。如图所示需要配置该拓扑的ip。6.进入防火墙后台,配置ip。4.进入0/0/1接口。3.定义所属vlan。以上是配置防火墙ip。
iptables防火墙策略学习
x202231的博客
04-12 416
Linux下防火墙有两种分别是iptables和firewalld,在centos7之前centos用的防火墙iptables,自从centos7过后防火墙的使用就从iptables变成了firewalld。防火墙的作用是根据系统管理员设定的规则来控制数据的包的进出,今天我们来重点介绍iptables防火墙
iptables的备份和还原
五彩斑斓的黑@的博客
08-15 336
例:内网地址192.168.233.21要对外网地址12.0.0.10进行访问,内网地址要进行转换,源地址192.168.233.21要转换成10.0.0.10,在用10.0.0.10来对外网进行访问。例:外网12.0.0.10要把数据返回到内网,但是不能直接和内网地址进行通信,目标地址是192.168.233.21,首先要换一个能和内网地址进行通信的地址10.0.0.10。自定义链的规则被默认链使用,要先在默认链中删除,再把自定义链当中的规则删除,最后才能把自定义链删除。
Iptables配置与查看
天之蓝
08-16 1227
  iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT -to-ports 8080 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 -------------------------------------...
iptables防火墙配置管理
lilygg的博客
12-14 387
1.启用iptables ##1.先关闭firewalld火墙 [root@localhost Desktop]# systemctl stop firewalld [root@localhost Desktop]# systemctl disable firewalld ##冻结firewalld(注意:mask表示冻结,unmask表示解冻) [root@localhost Desktop]#...
linux中用iptables开启指定端口
weixin_30508309的博客
09-09 609
centos默认开启的端口只有22端口,专供于SSH服务,其他端口都需要自行开启. 1.修改/etc/sysconfig/iptables文件,增加如下一行:  -A INPUT -m state --state NEW -m tcp -p tcp --dport 10000 -j ACCEPT  -A RH-Firewall-1-INPUT -m state --state NEW ...
iptables常用配置整理
lifeneedyou的专栏
01-03 179
整理下centos下面的iptables的常用配置 1.查看所有的iptables配置   iptables -L -n   2.添加允许INPUT访问规则,以下时常见服务的端口设置,如果需要拒绝访问,则将ACCEPT改为DROP即可 写道 #SSHiptables -A INPUT -p tcp --dport 22 -j ACCEPT#HTTPiptables -A INPU...
iptables 还原配置
11-03
iptables是Linux系统中一个非常重要的网络安全工具,可以用来配置和管理网络规则。当我们需要还原之前备份的iptables配置时,可以使用iptables-restore命令来实现。具体步骤如下: 1.首先,我们需要备份当前的iptables配置,使用iptables-save命令将当前的iptables配置保存到一个文件中,例如/opt/ky30.bak: ```shell iptables-save > /opt/ky30.bak ``` 2.接下来,我们可以使用iptables-restore命令来还原之前备份的iptables配置,将备份文件作为输入: ```shell iptables-restore < /opt/ky30.bak ``` 3.如果我们需要在还原iptables表时,还原当前的数据包计数器和字节计数器的值,可以使用-c参数: ```shell iptables-restore -c < /opt/ky30.bak ``` 4.如果我们需要指定要还原的iptables表,可以使用-t参数: ```shell iptables-restore -t nat < /opt/ky30.bak ``` 引用和提供了iptables-restore命令的语法格式和常用参数,可以根据需要进行使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

来日可期x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值