LinuxCast学习笔记三十IPtable_basic

最新推荐文章于 2024-08-05 16:49:09 发布
最新推荐文章于 2024-08-05 16:49:09 发布
阅读量523 收藏
点赞数
分类专栏: Linux 文章标签: Linux iptable
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhrrongshuai/article/details/21410863
版权


常见的访问控制包括:哪些IP可以访问服务器,可以使用哪些协议,哪些接口,是否需要对数据包进行修改等.如果服务器受到某IP攻击,可以禁止该IP的访问.

         Linux内核通过netfilter模块实现网络访问控制,IPtable程序对netfilter进行控制管理

netfilter支持通过以下方式对数据包进行分类:

源IP地址

目标IP地址

使用接口

使用协议

端口号

连接状态(new,establish,related,invalid)

常用功能:

作为服务器使用

过滤到本机的流量         input链 filter表

过滤到本机发出的流量         output链,filter表

 

作为路由器使用:  

过滤转发的流量:             forward链,filter表

对转发数据的源 目标IP进行修改(NAT)Prerouting或Postrouting,nat表.

IPtable通过规则对数据进行访问控制.一个规则使用一行配置并按顺序排列

通过iptables命令创建一个规则

iptables–t filter –A INPUT –s 192.168.1.1 –j DROP

由表\链\匹配属性\配置后的动作进行

 

通过iptables –L可以查看当前系统现配置的规则

插入规则

开启22号端口命令

iptables–I INPUT 1 –p tcp –dport 22 –j ACCEPT

设置好后可以查看到22号端口自动换成了协议信息.

删除规则:

iptables–D INPUT 3

iptables–D INPUT –s 192.168.1.2 –j DROP

删除所有规则:

iptables–F

匹配参数

基于IP地址

-s192.168.1.1

-d10.0.0.1

基于接口

-i eth0

-o eth1

排除参数

-s “!”192.168.1.0/24

基于协议及端口

-p tcp–dport 23

-p udp–sport 53

-p icmp

当使用Linux作为跌幅设备使用的时候,可以通过定义forword规则进行转发控制

iptables–A FORWARD –s 102.168.1.0/24 –d 10.1.1.0/24 –j DROP

NAT网络地址转换用于对数据包的IP地址进行修改

SNAT 源地址转换,伪装内部地址(常用的NAT)

DNAT 目标地址转换,通常用于跳转

通过NAT进行跳转

iptables–t nat –A PREROUTING –p tcp –dport 80 –j DNAT –to0dest 192.168.1.10

通过NAT对出向数据进行跳转

iptables–t nat –A OUTPUT –p tcp –dport 80 –j DNAT –to-dest 192.168.1.100:8080

通过NAT对数据流进行伪装

(将内部地址伪装为一个外部公网IP地址)

iptables–t nat –A POSTROUTING –o eth0 –j MASQUERADE

通过NAT隐藏源IP地址

iptables–t nat –A POSTROUTING –j SNAT –to-source 1.2.3.4

iptable添加命令只是写入内存中,要永久有效需要在/etc/sysconfig/iptables

通过命令service iptablessave,使更改永久有效.

远程管理最好先创建允许自身ssh的规则.

xhrrongshuai
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptable_netfilter介绍以及简单代码分析
atrouble的博客
04-15 1916
前言 Linux kernel 版本:5.4.1 Netfilter特指内核中的netfilter框架 iptables指用户空间的配置工具 概念 Linux 上最常用的防火墙工具是 iptables。iptables 与协议栈内有包过滤功能的 hook 交 互来完成工作。这些内核 hook 构成了 netfilter 框架。 每个进入网络系统的包(接收或发送)在经过协议栈时都会触发这些 ho...
FATAL: Module iptable_nat not found解决办法
scaleqiao的专栏
06-25 9102
当你在系统中执行modprobe iptable_nat,系统报错FATAL: Module iptable_nat not found时,说明你的内核中没有编译这个模块,你需要重新编译内核。这里介绍一下Centos下使用make menuconfig如何添加NAT相关模块。 1)依次进入Networking support -> Networking options -> Network pa
iptable 详解_iptable详解
weixin_39852688的博客
12-21 1109
查看iptables状态-重启iptables 所在目录 /etc/sysconfig/iptablesservice iptables status 查看iptables状态service iptables restart iptables服务重启service iptables stop iptables服务禁用启动iptablesmodprobeip_tables关闭iptables(关闭命...
linux 自启动iptable_保存iptable规则并开机自动加载
weixin_31089065的博客
12-24 4589
iptables-save利用iptables-save命令可以将iptable规则保存到一个持久化存储的目录中,不同的系统保存的目录也有所不同(IPv4):Debian/Ubuntu:iptables-save> /etc/iptables/rules.v4RHEL/CentOS:iptables-save> /etc/sysconfig/iptables保存之后,可以通过i...
linux 自启动iptable_Linux下启动iptables防火墙说明
weixin_34684705的博客
01-14 1127
iptables-IINPUT-ptcp-mmultiport--dports22,23-jDROP#拒绝访问设置,多个端口间用英文逗号隔开iptables-IINPUT-s192.168.11.1/26,192.168.13.111-ptcp-mmultiport--dports22,23-jACCEPT#允许访问的IP段、IP地址设置,多个地址...
Linux学习笔记:iptables命令管理
最新发布
欢迎相互探讨交流知识呀~
08-05 992
其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。-t:指定需要维护的防火墙规则表 filter、nat、mangle或raw。在不使用 -t 时则默认使用 filter 表。COMMAND:子命令,定义对规则的管理。chain:指明链表。CRETIRIA:匹配参数。ACTION:触发动作。1. filter表——三个链:INPUT、FORWARD、OUTPUT。
linux 自启动iptable_Linux防火墙iptables的设置与启动[转]
weixin_42554042的博客
12-24 1046
查看当前配置:iptables -L防火墙配置文件:vi /etc/sysconfig/iptables开放80端口:/*-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT经测试无效/iptables -A INPUT -p tcp -s 0/0 --dport 8180 -j ACCEPT重...
Iptable
weixin_44233888的博客
03-23 2547
1.iptable介绍 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具 iptables是基于内核的防火墙,功能非常强大,基于数据包的过滤!特别是可以在一台非常低的硬件配置下跑的非常好 iptables主要工作在OSI七层的2.3.4层。七层的控制可以使用squid代理+iptables。 iptabes:生产中根据具体情况,一般,内网关闭,外网打开。大并发的情况不能开iptables,影响性能(消耗cpu
2024年运维最新linux防火墙查看状态firewall、iptable_linux查看防火墙状态命令
2401_83627805的博客
05-01 4680
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
iptable_完整版(含网络基础).zip
05-07
iptable_完整版(含网络基础).zip
iptable_使用实例
12-13
多个实用的linux iptable实例应用。让你快速掌握好linux iptable的部署使用。
linux内核协议栈 netfilter 之 ip 层的 hook 注册概述以及 hook 的调用场景
10-29 1914
1三层netfilterhook点的注册与注销 我们知道使用iptables,添加规则时需要指定表,在iptables中有filter、nat、mangle三张表,因为我们接下来几节分析的内容也是从这三个table表加上连接跟踪,此处我们也已这四个模块来将,而不是按HOOK点的分类来分析 1.1filter 表 hook 注册 struct nf_hook_ops ipt_ops Filter表主要在以下几个hook点上其作用: NF_IP_LOCAL_IN NF_IP_LOCAL_OUT ...
Linux常用关机重启命令shutdown\halt\reboot\init
xhrrongshuai的专栏
02-21 1179
linux中关机命令 初步学习linux,常见的一些关机/重启命令有shutdown、halt、reboot、及init 1.shutdown shutdown命令能够起到安全地将系统关机。 只有系统管理员才有资格进行的操作,并且可以通知在线的用户关机的相关信息,在设定关机前的五分钟,用户是被禁止登录的。 shutdown的运行原理是送信号〔signal〕给init程序﹐init是整个Li
Linux实战:用户远程登录文件分享服务器的搭建
xhrrongshuai的专栏
03-03 1011
以前工作室的个人资料分享都是通过百度云在一个账号上完成的,每个人都输入相同的账号密码并在里面自己的文件夹下分享信息,这样做很显然存在很多的安全问题。 1. 百度云可以分享的资料空间虽然说是2个T的量,但是都使用同一个账号是很不安全的,自己就是用那个号登了两次,结果两次都被认定为异常登录,要求输入邮箱号进行确认 2. 就算是登上去了,但是毕竟的一个号进行的管理,对于文件的权限是很大的,想怎么弄就
Linux学习笔记十三:LVM_Reduce_Extend
xhrrongshuai的专栏
03-05 761
逻辑卷的空间是可以动态的拉伸和缩小的,这点优势是传统的分区加载卸载无法比拟的,所以逻辑卷在日常系统维护中是很常见的操作。 拉伸缩小一个逻辑卷的相关操作: 1、  查看是否有足够的空间用于拉伸  vgdisplay  2、  扩充逻辑卷 lvextend  –L  +1G  /dev/LVM/mylvm 3、  更新文件系统   resize2fs /dev/LVM/mylvm
LinuxCast学习笔记十二LVM_Create
xhrrongshuai的专栏
03-05 736
1、将物理磁盘设备初始化为物理卷 procreate /dev/sdb  /dev/sdc 2、创建卷组,并将PV加入卷组中 vgcreate linuxcast   /dev/sdb    /dev/sdc 3、基于卷组创建逻辑卷 lcreate –n mylv –L 2G linuxcast 4、为创建好的逻辑卷创建文件系统 mkfs.ext4 /dev/linuxcast/my
关于ftp,ssh,nfs平台搭建的简单总结
xhrrongshuai的专栏
03-20 731
要学会Linux系统的运维,搭建好平台是基本的技能,经过几天的探索,学会了三个平台的搭建方法,这里给自己总结下,方便记忆:          ftp:          ftp平台的搭建要用到vsftp软件,这是一个安全性很高的软件,端口号默认为22,作为客户端要用SFTP协议的软件才能顺利进行连接.          在类Ubuntu系统中用apt-getinstall vsftp进行安装
LinuxCast学习笔记(一)Linux_install安装
xhrrongshuai的专栏
03-03 728
虚拟机可以让一台计算机上运行多个系统,功能很强大,常用的安装系统虚拟机主流有:VirtualBox,VMware WorkStation及微软的VirtualPC等,各自都有优势,但是听评价说的是VM与VirtualPC采用的是最先进的虚拟技术,但看LinuxCast视频上是用VirtualBox进行教学的,原来是因为VirtualBox是开源的,而且功能强大,能够在各个平台上运行而且具有详细的帮
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值