iptables防火墙策略学习

已于 2023-04-20 15:31:00 修改
阅读量404 收藏 1
点赞数
文章标签: linux 学习 网络安全
于 2023-04-12 13:53:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x202231/article/details/130101792
版权

前言

在比赛的时候,有linux的防火墙策略配置,相信有很多人跟我一样,瞬间就懵了,但是不要慌,跟着我一起,学习iptables防火墙配置策略吧。

防火墙的介绍,以及防火墙的四表五链

Linux下防火墙有两种分别是iptables和firewalld,在centos7之前centos用的防火墙是iptables,自从centos7过后防火墙的使用就从iptables变成了firewalld。防火墙的作用是根据系统管理员设定的规则来控制数据的包的进出,今天我们来重点介绍iptables防火墙

防火墙的四表五链:

链:

防火墙是由一个链多个规则,进行规则的,如图:8f67433f848c4695a19b333513c5c18c.jpg

表:

链条可以有很多个,集合到一起就是一张表,如图所示:

b3727b79aaab487bb53a009be66a3577.jpeg

 四张表:分别是

filter:决定一个数据包是否到达端口

mangle:可以修改数据包内容,比如ttl

nat:可以修改原和目标的ip地址、从而进行路由

raw:基于数据包的状态进行设定

上述表中内置一些链,每个链都内置处理策略、默认策略一般在链中的规则进行匹配生效。

每张表中的链有:

filter表中的链

INPUT链:对路由策略分派过来的包达到目标,进程端口,之前进行匹配并处理。

FORWARD链:对路由策略分派过来的包进行转发

OUTPUT:判断,从本地的目标进程端口处理好的包如何返回、要不要返回给请求方。

mangle表中的链有:

PREROUTING:包在到达网口时,进行规则匹配

INPUT:对路由策略分派过来的包达到目标,进程端口,之前进行匹配处理,(含义同:filter)

FORWARO:对路由策略分派过来的包进行转发(含义同:filter)

OUTPUT:判断,从本地的目标进程端口处理好的包如何返回、要不要返回给请求方。(含义同:filter)

POSTROUTLNG:包离开网口时进行匹配。

nat表中的链有:

PREROUTLNG:包离开网口时进行匹配(含义同:mangle)

OUTPUT:判断,从本地的目标进程端口处理好的包如何返回、要不要返回给请求方。(含义同:filter)

POSTROUTLNG:包离开网口时进行匹配。(含义同:mangle)

raw表中的链有:

PREROUTLNG:包离开网口时进行匹配(含义同:mangle)

OUTPUT:判断,从本地的目标进程端口处理好的包如何返回、要不要返回给请求方。(含义同:filter)

参数详情和常用的管理选项:

iptables -A: 在指定单独链的末尾追加一条新的规则

-I :在指定链开头插入一条新的规则,如果未指定则默认为第一条规则

-t:表示想查看那个表

-L:表示列出表所有的链和所有的规则

-V:详细信息会将规则匹配单独进出网口匹配出来

--line-nvmbers:表示给鬼册进行编号处理,方便进行下一步的操作

-s:表示包的来源ip,还可以进行指定ip

-j:表示最终动作

-D:表示删除的参数

-d:返回给ip.....的数据包都丢掉,不回应

-p:表示某个协议

-m:单元加载

-i:表示输入的网口

-o:表示数据包网口->目标网口

命令格式:

iptables -t [表名]管理选项[链名][匹配条件][-j控制类型]

iptables 命令输入后结果详解如图

 

实战案例:

一、我们在代码中输入:

iptables -t filetr -A FORWARO -p udp --dport 53 -s 172.16.0.0/24 -j ACCEPT

意思:

只允许转发来自172.16.0.0/24局域网网断的DNS解析数据包。

命令意思:

查看filetr表,在filetr表的FORWARO链里的末尾加入一个新的规则,协议为udp -指定ip为172.16.0.0/24 ,进行数据包通过动作。

其中:

-t:参数,后边加想要加入链的表

-A:在链的末尾增加一个新的规则

-p:指定协议,这里为udp协议

-s :指定ip ,这里指定172.16.0.0的所有IP

-j:表示进行最终的动作,这里的动作是通过

--dport:进行指定端口, 这里指定的端口为53

二、禁用23端口

iptables -t filetr -A INPUT -p tcp --dport 23 -j DROP

iptables -t filetr -A INPUT -p udp --dport 23 -j DROP

鬼子NB
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Iptables防火墙策略
Liu_Fang_Hong的博客
06-14 1131
Linux 系统的防火墙——netfilter/iptablesIP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
iptables详解
魏志标的博客
06-26 6510
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4502
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
Linux安全防火墙iptables)配置策略
qq_51545656的博客
11-11 5441
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux 禁用23端口
博客
05-23 4716
Linux 系统如何禁用23端口。以及在23端口被 sytemd占用的情况下,如何kill掉?
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
通过学习本节课程,学生将掌握 iptables 防火墙的基本管理、filter 表控制、扩展匹配、nat 表典型应用等内容。 一、iptables 防火墙基本管理 iptables 防火墙是 Linux 系统中的一种防火墙管理工具,用于控制网络...
Linux服务器利用防火墙iptables策略进行端口跳转的方法
09-14
主要介绍了Linux服务器利用防火墙iptables策略进行端口跳转的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
Linux防火墙配置 iptables配置
01-24
学习Linux防火墙的基础教程.包括Linux下的iptables防火墙策略学习和精通.
linux_linux个人学习笔记_
09-29
对于服务器管理员,了解DNS解析、防火墙规则(iptables或firewalld)以及SSH远程登录的配置也非常重要。 五、软件包管理 Linux发行版通常有自己的软件包管理系统,如Debian/Ubuntu的apt,Red Hat/CentOS的yum或dnf...
Linux学习未做笔记部分
04-12
在运维安全方面,重点应放在防火墙配置(如iptables和ufw)、用户权限管理、日志审计、安全更新和漏洞管理上。了解SELinux、AppArmor等强制访问控制机制也是提高系统安全性的必要步骤。面试技巧则涵盖自我介绍、项目...
iptables简单配置
最新发布
jin415147的博客
11-21 169
iptables -A 将一个规则添加到链末尾iptables -D 将指定的链中删除规则iptables -F 将指定的链中删除所有规则iptables -I 将在指定链的指定编号位置插入一个规则,默认添加位置为第一行iptables -L 列出指定链中所有规则iptables -t nat -L 列出所有NAT链中所有规则iptables -N 建立用户定义链iptables -X 删除用户定义链。
防火墙篇之iptables
kali_yao的博客
09-05 1315
目录 一.防火墙的概述 二.iptables基本原理 1.iptables防火墙具有4表5链 2.iptables命令的基本使用方法 三.filter过滤和转发控制 2.网络型防火墙案例 四.防火墙扩展规则 1.根据MAC地址过滤 2.基于多端口设置过滤规则 3.根据IP地址范围设置规则 五.配置SNAT实现共享上网 1.配置SNAT策略的概述 2.搭建内外网案例 一.防火墙的概述 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包
iptables策略详解
qk的专栏
03-18 869
iptables策略详解 时间:2013-01-21 10:00来源:未知 编辑:admin 点击: 1819 次 iptables可用操作 (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP (3)
linux之iptables防火墙
weixin_55609813的博客
05-25 284
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络型防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
iptables设置防火墙策略
qq_42478602的博客
04-29 456
redis集群为190.192.1.[224-229],添加访问6379端口的白名单,白名单为:190.192.1.[224-229],其他服务器无法访问redis的6379端口 1、服务器上创建:/opt/iptables目录,将iptables-1.4.21-34.el7.x86_64.rpm 和 iptables-services-1.4.21-34.el7.x86_64.rpm文件...
Linux命令02 - - iptables 防火墙策略管理工具
szb521的博客
08-19 1052
Linux命令03 - - iptables 防火墙策略管理工具
iptables 规则策略设置
weixin_33719619的博客
08-21 1150
Iptables一、防火墙基础知识1、防火墙是什么工作于主机或网络边缘,对于进出的定义的报文的规则做检查,进而对被规则匹配到的报文作为相应处理的套件2、防火墙的作用防火墙的作用主要是防***,防恶意***,有点类似于acl机制。主要针对服务器或者保护局域网中的主机。防火墙主要作用是不防病毒和***的,但是有一定的防护作用。3、防火墙的分类主机防火墙:工作在主机上的软件防火网络...
CentOS开启关闭端口方法
happyzhang的Blog
10-02 4358
打开端口: [root@host ~]# /sbin/iptables -I INPUT -p tcp --dport 8080 -j ACCEPT [root@host ~]# /etc/init.d/iptables save [root@host ~]# service iptables restart 关闭端口 [root@host ~]# /sbin/iptables -I
iptables防火墙策略
qq_41037606的博客
12-05 1197
firewalld和iptables两个管理工具,通过这两个插件管理防火墙。只能同时使用其中的一个 打开防火墙: systemctl start firewalld firewall-config   &     图形界面管理 watch -n 1 firewall-cmd --list-all  监控这个策略 permanent:永久,需要重启/重新加
iptables的常用策略
04-02
1. 允许本机访问外部网络 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 2. 允许SSH远程管理 iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 3. 允许HTTP和HTTPS服务 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT 4. 防止DDoS攻击 iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP 5. 允许FTP服务 iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT 6. 允许SMTP服务 iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A OUTPUT -p tcp --sport 25 -j ACCEPT 7. 允许DNS服务 iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A OUTPUT -p udp --sport 53 -j ACCEPT 8. 允许NTP服务 iptables -A INPUT -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -p udp --sport 123 -j ACCEPT 9. 允许ICMP协议 iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT 10. 拒绝所有其他流量 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值