防火墙——IPtables的基本用法

最新推荐文章于 2023-08-20 18:34:58 发布
最新推荐文章于 2023-08-20 18:34:58 发布
阅读量388 收藏 1
点赞数 1
分类专栏: Linux基础 文章标签: linux centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangmomo1/article/details/106555356
版权

(1)容许192.168.42.1 访问22端口,容许192.168.42.0/24 访问80 ,其他所有请求拒绝

[root@localhost ~]# iptables -t filter -I INPUT -p ICMP -j REJECT
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 22 -s 192.168.42.1 -j ACCEPT
[root@localhost ~]# iptables -t filter -A INPUT -j REJECT
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 80 -s 192.168.42.0/24 -j ACCEPT
[root@localhost ~]# iptables -t filter -D INPUT 4

(2)外网 ---- 防火墙 ----- 内网
------->

路由转发功能的开始:
[

root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward #查看
[root@localhost ~]# echo “1” > /proc/sys/net/ipv4/ip_forward #临时修改
[root@localhost ~]# vim /etc/sysctl.conf net.ipv4.ip_forward=1
[root@localhost ~]# sysctl -p #生效,检查语法
[root@localhost ~]# vim /etc/sysctl.d/xxxx.conf
[root@localhost ~]# iptables -t filter -I INPUT -p ICMP -s 192.168.147.0/24 -j ACCEPT
[root@localhost ~]# iptables -I FORWARD -j REJECT
[root@localhost ~]# iptables -I FORWARD -p tcp -dport 80 -s 192.168.42.134 -j ACCEPT
[root@localhost ~]# iptables -I FORWARD -p tcp -sport 80 -d 192.168.42.134 -j ACCEPT
[root@localhost ~]# iptables -I FORWARD -p tcp -dport 22 -s 192.168.42.134 -j ACCEPT
[root@localhost ~]# iptables -I FORWARD -p tcp -sport 22 -d 192.168.42.134 -j ACCEPT
[root@localhost ~]# iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

自定义链:
(1)创建

[root@localhost ~]# iptables -t filter -N IN_WEB

(2)添加规则

[root@localhost ~]# iptables -t filter -I IN_WEB -p tcp --dport 80 -s 192.168.42.61 -j REJECT

(3)引用

[root@localhost ~]# iptables -I INPUT -j IN_WEB

(4)修改

[root@localhost ~]# iptables -E IN_WEB WEB   #修改之后挂载的内容自动发生变化

(5)删除

[root@localhost ~]# iptables -F INPUT  
[root@localhost ~]# iptables -F WEB
[root@localhost ~]# iptables -X WEB

条件:(1)没有应用
(2)没有规则

LOG动作:

 [root@localhost ~]# iptables -t filter -I INPUT -p tcp -dport 80 -j LOG

对数据包不做操作,只是将数据请求记录到了日志中,默认是/var/log/messages.

修改配置生成Iptables的log文件。

/etc/rsyslog.conf
kern.warning  /var/log/iptables.log

REJECT : --reject-with

端口映射:

[root@localhost ~]# vim /etc/httpd/conf/httpd.conf 
Port:8080
[root@localhost ~]# systemctl restart httpd

[root@localhost ~]# iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
80 ----》8080

****原地址和目的地址的转化:

[root@localhost ~]# iptables -t nat -I POSTROUTING -p tcp --dport 80 -s 192.168.42.61 -j SNAT --to-source 192.168.147.145
[root@localhost ~]# iptables -t nat -I PREROUTING -p tcp  --sport 80 -d 192.168.147.145 -j DNAT --to-destination 192.168.42.61

iptables 模块:

(1)iprange:

[root@localhost ~]# iptables -t nat -I POSTROUTING -p tcp --dport 80 -m iprange --src-range 192.168.42.50-192.168.42.100 -j SNAT --to-source 192.168.147.145
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 80 -m iprange --src-range 192.168.42.50-192.168.42.100 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 22 -m iprange --src-range 192.168.42.50-192.168.42.100 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --sport 22 -m iprange --dst-range 192.168.42.50-192.168.42.100 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --sport 80 -m iprange --dst-range 192.168.42.50-192.168.42.100 -j ACCEPT
[root@localhost ~]# iptables -t filter -A INPUT -j REJECT

(2)string:

[root@localhost~]# mkdir /var/www/html/aaa
[root@localhost~]# cd /var/www/html/aaa
[root@localhost~]# vim cret.html
xxxxxxxxxxxxxx cret
[root@localhost~]# vim anliu.html
xxxxxxxxxxxxxx anliu
[root@localhost aaa]# iptables -t filter -I INPUT -m string --algo kmp
–string “cret” -j REJECT

[root@localhost ~]# curl 192.168.42.111:8080/aaa/anliu.html
“This is a test from anliu …”
[root@localhost ~]# curl 192.168.42.111:8080/aaa/cret.html

(3)time:
目前结论:只限制本机

[root@localhost aaa]# iptables -t filter -I OUTPUT -p TCP --dport 80 -m time --timestart 9:00:00  --timestop 10:00:00 -j REJECT
[root@localhost aaa]# iptables -t filter -I OUTPUT -p TCP --dport 80 -m time --weekdays 6,7 -j REJECT

(4)connlimit:
并发链接限制

(5)Limit
对流量的限制

[root@localhost aaa]# iptables -t filter -I INPUT -p icmp -m limit --limit-burst 10 --limit 10/min -j ACCEPT

(6) tcp-flags

[root@localhost aaa]# iptables -t filter -I INPUT -p tcp --dport 80 --tcp-flags ALL SYN -j REJECT
[root@localhost ~]# nmap -sT 192.168.42.111

Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-23 10:56 UTC
Nmap scan report for 192.168.42.111
Host is up (0.0032s latency).
Not shown: 999 closed ports
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 00:0C:29:6E:7D:A2 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 0.49 seconds

[root@localhost ~]# nmap -sS 192.168.42.111

Starting Nmap 6.40 ( http://nmap.org ) at 2020-05-23 10:57 UTC
Nmap scan report for 192.168.42.111
Host is up (0.00013s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
22/tcp open ssh
80/tcp filtered http
MAC Address: 00:0C:29:6E:7D:A2 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 1.77 seconds

练习:(1)对于目的地址有一个转到多个上,如何实现?
(2)如何测试connlimit模块的效果。

香香默默
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙
博客
09-15 920
iptables
iptables详细讲解及用法
最新发布
wyf_wyf_001的博客
05-26 1392
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
iptables详解
wdt3385的专栏
12-25 4828
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
网络安全课程设计之D防火墙——Iptables.docx
09-17
实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配条件和扩展匹配条件定义 iptables 规则。 3)在 iptables 中添加、管理和删除自定义链。 实验环境:虚拟机 VMware 或 ...
Linux 中的防火墙 ufw 简介
01-20
我们来研究下 Linux 上的 ufw(简单防火墙),为你更改防火墙提供一些见解和命令。 ufw(简单防火墙Uncomplicated FireWall)真正地简化了 iptables...首先,快速查看 ufw 配置的方法是查看其配置文件 —— /etc/defau
linux——test
07-26
`man`命令提供手册页,解释了各种系统调用和库函数的使用方法。例如,`man 2 write`会显示关于`write`系统调用的详细信息。 总的来说,Linux的学习涵盖了广泛的主题,从基本的命令行操作到深入的系统编程。通过实践...
linux精彩问答——为你解惑
09-26
这篇“Linux精彩问答——为你解惑”很可能包含了从基础到进阶的各种Linux相关问题,旨在为不同水平的学习者提供帮助,无论你是初学者还是资深用户,都能从中受益。以下是可能涵盖的一些关键知识点: 1. **Linux操作...
Linux下安装SVN服务端的方法步骤
09-14
安装完成后,我们进入下一步——配置SVN仓库。仓库是存储代码的地方,你可以将其想象为一个虚拟的文件系统。我们可以在任何你喜欢的位置创建仓库,例如在 `/home` 目录下创建一个名为 `svn` 的仓库: ```bash mkdir...
防火墙iptables
m0_71593537的博客
08-20 955
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包和netfilter的适配性好#查看有没有安装 iptables --version。
iptables 防火墙
weixin_40470303的博客
06-04 1199
一、iptable 防火墙介绍  现代的计算机环境是一个网络的环境,而且是一个非常开放的网络环境,在这个开放的网络环境中,用户可以获得大量的资讯信息,也可以更加轻松地进行社交、学生等。但这个开放的环境也给我们带来了一些不便,在开放的同时,网络中还伴有大量的攻击、发送垃圾邮件、盗号、欺诈等活动。对于IT运维人员而言,如何防止自己的服务器免受攻击?这需要管理员掌握扎实的安全理论基础知识以及专业工具的使...
centos 7.0关闭默认防火墙启用iptables防火墙的设置方法
04-28
CentOS 7.0的默认防火墙是Firewalld,如果要关闭默认防火墙并启用iptables防火墙...以上就是关闭默认防火墙启用iptables防火墙的设置方法,需要注意的是,iptables较为复杂,配置规则需要根据实际情况进行调整与修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值