iptables与firewalld使用指南

已于 2024-06-28 18:25:17 修改
阅读量1.3k 收藏
点赞数
分类专栏: linux系统 文章标签: linux iptable firewalld 网络
于 2013-01-31 14:58:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuntiank/article/details/8556621
版权

一、基本用法

1.1. 基本语法

$ iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
$ firewall-cmd --permanent --zone=zone_name --add-rich-rule='rule family="ipv4/ipv6" source address="源IP/源子网" destination address="目标IP/目标子网" protocol value="协议名" port port="端口" protocol="tcp/udp" accept/drop/reject'

1.2. 命令参数

参数常用选项描述
-tfilter:用于过滤数据包,是默认表。
nat:用于网络地址转换(NAT)。
mangle:用于更改数据包的特定字段。
raw:用于在数据包追踪之前处理数据包。

指定要操作的表

-A追加(append)规则到规则链末尾
-I插入(insert)规则到指定位置
-D删除(delete)规则
-R替换(replace)规则
规则链名INPUT:进入到本机的数据包。
OUTPUT:从本机发出的数据包。
FORWARD:转发的数据包。
PREROUTING:用于在数据包进入路由决策之前进行处理(主要用于NAT)。
POSTROUTING:用于在数据包离开路由决策之后进行处理(主要用于NAT)。
[规则号]主要用于删除或插入规则时指定规则的位置
-i代码输入接口(网卡名)
-o输出接口(网卡名
-ptcpudpicmp指定协议类型
-jACCEPT:接受数据包。
DROP:丢弃数据包。
REJECT:拒绝数据包并发送响应。
LOG:记录数据包信息到日志中。		指定动作,即当数据包匹配该规则时执行的动作

Firewalld防火墙管理区域

阻塞区域(block):任何传入的网络数据包都将被阻止。
工作区域(work):相信网络上的其他计算机,不会损害你的计算机。
家庭区域(home):相信网络上的其他计算机,不会损害你的计算机。
公共区域(public):不相信网络上的任何计算机,只有选择接受传入的网络连接。
隔离区域(DMZ):隔离区域也称为非军事区域,内外网络之间增加的一层网络,起到缓冲作用。对于隔离区域,只有选择接受传入的网络连接。
信任区域(trusted):所有的网络连接都可以接受。
丢弃区域(drop):任何传入的网络连接都被拒绝。
内部区域(internal):信任网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。
外部区域(external):不相信网络上的其他计算机,不会损害你的计算机。只有选择接受传入的网络连接。

注:FirewallD的默认区域是public。
firewalld默认提供了九个zone配置文件:block.xml、dmz.xml、drop.xml、external.xml、 home.xml、internal.xml、public.xml、trusted.xml、work.xml,他们都保存在“/usr/lib/firewalld/zones/”目录下。

1.3. 服务管理

systemctl status iptables   # 查看服务状态
systemctl enable iptables   # 启用服务
systemctl disable iptables  # 禁用服务
systemctl start iptables    # 启动服务
systemctl restart iptables  # 重启服务
systemctl stop iptables     # 关闭服务
systemctl status firewalld    # 查看服务状态
systemctl enable firewalld    # 启用服务
systemctl disable firewalld    # 禁用服务
systemctl start firewalld    # 启动服务
systemctl restart firewalld    # 重启服务
systemctl stop firewalld    # 关闭服务

1.4. 规则配置

# 设置默认策略为拒绝所有流量
iptables --policy INPUT DROP  # 设置输入链的默认策略为 DROP
iptables --policy OUTPUT DROP  # 设置输出链的默认策略为 DROP
iptables --policy FORWARD DROP  # 设置转发链的默认策略为 DROP

# 按链和规则编号删除规则
iptables -D INPUT 10  # 删除输入链中编号为 10 的规则

# 按规则规范删除规则
iptables -D INPUT -m conntrack --ctstate INVALID -j DROP  # 删除输入链中与连接状态为 INVALID 相关的规则

# 刷新所有规则,并接受所有流量
iptables -P INPUT ACCEPT  # 接受所有输入链的流量
iptables -P FORWARD ACCEPT  # 接受所有转发链的流量
iptables -P OUTPUT ACCEPT  # 接受所有输出链的流量
iptables -t nat -F  # 刷新 NAT 表的所有规则
iptables -t mangle -F  # 刷新 MANGLE 表的所有规则
iptables -F  # 刷新所有默认表的规则
iptables -X  # 删除所有用户自定义链

# 冲洗所有链的规则
iptables -F  # 冲洗所有链的规则

# 刷新特定链的规则
iptables -F INPUT  # 刷新输入链的规则

# 插入规则以拒绝特定源 IP 的数据包
iptables -I INPUT 2 -s 202.54.1.2 -j DROP  # 在输入链中第二条位置插入拒绝来自 202.54.1.2 的数据包的规则

# 显示所有活动的 iptables 规则,包括数据包计数
iptables -n -L -v  # 详细打印出所有链的规则和数据包计数信息

# 显示特定链的规则列表,包括数据包计数
iptables -L INPUT -v  # 显示输入链的规则列表和数据包计数

# 在基于 Debian 的系统上保存 iptables 规则
netfilter-persistent save  # 将当前 iptables 规则保存到 Debian 系统中

# 在基于 RedHat 的系统上保存 iptables 规则
service iptables save  # 将当前 iptables 规则保存到 RedHat 系统中
# 设置默认策略为拒绝所有流量
firewall-cmd --permanent --set-default-zone=drop  # 设置默认区域为 drop,拒绝所有流量
firewall-cmd --reload  # 重新加载防火墙规则

# 按链和规则编号删除规则
firewall-cmd --zone=public --remove-rule="rule family='ipv4' source address='0.0.0.0/0' accept" --permanent  # 删除指定规则
firewall-cmd --reload  # 重新加载防火墙规则

# 按规则规范删除规则
firewall-cmd --zone=public --remove-rich-rule='rule family=ipv4 connection state=INVALID drop' --permanent  # 删除与连接状态为 INVALID 相关的规则
firewall-cmd --reload  # 重新加载防火墙规则

# 刷新所有规则,并接受所有流量
firewall-cmd --permanent --set-default-zone=trusted  # 设置默认区域为 trusted,接受所有流量
firewall-cmd --reload  # 重新加载防火墙规则

# 冲洗所有链的规则
firewall-cmd --complete-reload  # 完全重新加载防火墙规则,冲洗所有链的规则

# 插入规则以拒绝特定源 IP 的数据包
firewall-cmd --zone=public --add-rich-rule='rule family=ipv4 source address=202.54.1.2 reject' --permanent  # 拒绝来自 202.54.1.2 的数据包
firewall-cmd --reload  # 重新加载防火墙规则

# 显示所有活动的 firewalld 规则,包括数据包计数
firewall-cmd --list-all --zone=public  # 显示所有活动的规则和数据包计数信息

# 显示特定区域的规则列表,包括数据包计数
firewall-cmd --zone=public --list-all  # 显示特定区域(例如 public)的规则列表和数据包计数信息

# 在基于 Debian 的系统上保存 firewalld 规则
firewall-cmd --runtime-to-permanent  # 将当前 firewalld 规则保存到 Debian 系统中

# 在基于 RedHat 的系统上保存 firewalld 规则
firewall-cmd --runtime-to-permanent  # 将当前 firewalld 规则保存到 RedHat 系统中

二、使用示例

2.1. 清空当前的所有规则和计数

$ iptables -F   # 清空所有的防火墙规则
$ iptables -X   # 删除用户自定义的空链
$ iptables -Z   # 清空计数

# 清空所有的防火墙规则
firewall-cmd --complete-reload  # 完全重新加载防火墙规则,清空所有规则
# 查询规则
firewall-cmd --zone=public --query-rich-rule='rule family=ipv4 source address=0.0.0.0/0'  
# firewalld 中没有直接清空计数的命令,这个命令用来查询规则是否存在

2.2. 配置允许 ssh 端口连接

$ iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
# 允许 192.168.1.0/24 网段的机器连接 ssh 端口 22

# 向public区域添加一条富规则,允许来自192.168.1.0/24网段的IPv4流量访问TCP端口22
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept' --permanent
# 重新加载防火墙规则以使更改生效
firewall-cmd --reload

2.3. 允许本地回环地址可以正常使用

$ iptables -A INPUT -i lo -j ACCEPT
$ iptables -A OUTPUT -o lo -j ACCEPT
# 允许本地回环地址 127.0.0.1 的进出

# 将本地回环接口lo添加到public区域(这一步通常不是必需的,因为lo接口默认在trusted区域)
# 并将其从public区域更改到trusted区域,trusted区域默认允许所有流量
firewall-cmd --zone=public --add-interface=lo --permanent
firewall-cmd --zone=public --change-interface=lo --zone=trusted --permanent
# 重新加载防火墙以使配置生效
firewall-cmd --reload

2.4. 设置默认的规则

$ iptables -P INPUT DROP
$ iptables -P FORWARD DROP
$ iptables -P OUTPUT ACCEPT
# 默认不允许外部连接,不允许转发,允许内部发出

# 永久添加富规则,允许来自本地回环地址 127.0.0.1/8 的所有 IPv4 流量
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="127.0.0.1/8" accept'

# 永久添加富规则,允许发往本地回环地址 127.0.0.1/8 的所有 IPv4 流量
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" destination address="127.0.0.1/8" accept'

# 重新加载防火墙规则以使更改生效
firewall-cmd --reload

2.5. 配置白名单

$ iptables -A INPUT -p all -s 192.168.1.0/24 -j ACCEPT
$ iptables -A INPUT -p all -s 192.168.140.0/24 -j ACCEPT
$ iptables -A INPUT -p tcp -s 183.121.3.7 --dport 3380 -j ACCEPT
# 允许特定网段和IP访问特定端口

2.6. 开启相应的服务端口

$ iptables -A INPUT -p tcp --dport 80 -j ACCEPT
$ iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许 HTTP、ping 和已建立连接的流量

2.7. 保存规则到配置文件中

$ cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak
$ iptables-save > /etc/sysconfig/iptables
$ cat /etc/sysconfig/iptables
# 备份和保存当前规则

2.8. 清除已有规则

$ iptables -F INPUT
$ iptables -X INPUT
$ iptables -Z INPUT
# 清空、删除和清零 INPUT 链的所有规则

2.9. 删除已添加的规则

$ iptables -A INPUT -s 192.168.1.5 -j DROP
$ iptables -L -n --line-numbers
$ iptables -D INPUT 8
# 添加规则,查看规则编号,删除指定编号的规则

2.10. 列出已设置的规则

$ iptables -L -t nat
$ iptables -L -t nat --line-numbers
$ iptables -L INPUT
$ iptables -L -nv
# 列出 NAT 表和 INPUT 链的规则

2.11. 开放指定的端口

$ iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
$ iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ iptables -A OUTPUT -j ACCEPT
$ iptables -A INPUT -p tcp --dport 22 -j ACCEPT
$ iptables -A INPUT -p tcp --dport 80 -j ACCEPT
$ iptables -A INPUT -p tcp --dport 21 -j ACCEPT
$ iptables -A INPUT -p tcp --dport 20 -j ACCEPT
$ iptables -A INPUT -j reject
$ iptables -A FORWARD -j REJECT
# 允许常用端口的访问,拒绝其他未允许的流量

2.12. 屏蔽 IP

$ iptables -A INPUT -p tcp -m tcp -s 192.168.0.8 -j DROP
$ iptables -I INPUT -s 123.45.6.7 -j DROP
$ iptables -I INPUT -s 123.0.0.0/8 -j DROP
$ iptables -I INPUT -s 124.45.0.0/16 -j DROP
$ iptables -I INPUT -s 123.45.6.0/24 -j DROP
# 屏蔽恶意主机或 IP 段

2.13. 查看已添加的规则

$ iptables -L -n -v
# 详细列出所有规则

2.14. 启动网络转发规则

$ iptables -t nat -A PREROUTING -d 212.11.11.11 -p tcp --dport 2222 -j DNAT --to-dest 192.168.10.11:22
# 将本机的 2222 端口映射到内网虚拟机的 22 端口

2.15. 阻止 Windows 蠕虫的攻击

$ iptables -I INPUT -j DROP -p tcp -s 0.0.0.0/0 -m string --algo kmp --string "cmd.exe"
# 阻止包含特定字符串的恶意流量

2.16. 防止 SYN 洪水攻击

$ iptables -A INPUT -p tcp --syn -m limit --limit 5/second -j ACCEPT
# 限制每秒新连接数

2.17. 阻止带有虚假 TCP 标志的数据包

iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP  # 丢弃不包含任何 TCP 标志的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,SYN FIN,SYN -j DROP  # 丢弃同时设置了 FIN 和 SYN 标志的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags SYN,RST SYN,RST -j DROP  # 丢弃同时设置了 SYN 和 RST 标志的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,RST FIN,RST -j DROP  # 丢弃同时设置了 FIN 和 RST 标志的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags FIN,ACK FIN -j DROP  # 丢弃设置了 FIN 但未设置 ACK 的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,URG URG -j DROP  # 丢弃设置了 URG 但未设置 ACK 的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,FIN FIN -j DROP  # 丢弃同时设置了 ACK 和 FIN 标志的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ACK,PSH PSH -j DROP  # 丢弃设置了 PSH 但未设置 ACK 的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL ALL -j DROP  # 丢弃设置了所有标志(FIN, SYN, RST, PSH, ACK, URG)的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL NONE -j DROP  # 丢弃没有设置任何标志的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP  # 丢弃同时设置了 FIN, PSH, URG 但未设置 SYN, RST, ACK 的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j DROP  # 丢弃同时设置了 SYN, FIN, PSH, URG 标志的数据包
iptables -t mangle -A PREROUTING -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP  # 丢弃设置了所有标志(除了 PSH)的数据包
# 丢弃带有异常 TCP 标志的数据包

2.18. 其他常用规则

# 允许环回连接
$ iptables -A INPUT -i lo -j ACCEPT
$ iptables -A OUTPUT -o lo -j ACCEPT

# 允许已建立和相关的传入连接
$ iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 允许已建立的传出连接
$ iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

# 丢弃无效数据包
$ iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

# 阻止和拒绝特定 IP 地址
$ iptables -A INPUT -s 192.168.1.10 -j REJECT
$ iptables -A INPUT -s 192.168.1.10 -j DROP

# 允许所有传入的 SSH
$ iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# 允许来自特定 IP 地址或子网的传入 SSH
$ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# 允许传入 HTTP
$ iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# 允许传入 HTTPS
$ iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# 允许传入 HTTP 和 HTTPS
$ iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# 允许来自特定 IP 地址或子网的 MySQL
$ iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# 允许所有传入的 SMTP
$ iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
$ iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT

# 记录和丢弃数据包
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

# 阻止或接受来自特定 Mac 地址的流量
$ iptables -A INPUT -m mac --mac-source 00:1F:EA:51:02:04 -j DROP
$ iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT

# 阻止 ICMP Ping 请求
$ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
$ iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP

# 允许指定多个端口的连接
$ iptables -A INPUT -i eth0 -p tcp -m state --state NEW -m multiport --dports ssh,smtp,http,https -j ACCEPT

# 限制连接数
$ iptables -A FORWARD -m state --state NEW -p tcp -m multiport --dport http,https -o eth0 -i eth1 -m limit --limit 20/hour --limit-burst 5 -j ACCEPT
$ iptables -A INPUT -p tcp -m state --state NEW --dport http -m iplimit --iplimit-above 5 -j DROP

# 匹配数据包数据负载中的字符串
$ iptables -A FORWARD -m string --string '.com' -j DROP
$ iptables -A FORWARD -m string --string '.exe' -j DROP

# 防止端口扫描
$ iptables -N port-scanning
$ iptables -A port-scanning -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s --limit-burst 2 -j RETURN
$ iptables -A port-scanning -j DROP

# SSH 暴力破解保护
$ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --set
$ iptables -A INPUT -p tcp --dport ssh -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

jay
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewall:使用 iptablesLinux 中生成防火墙的 bash 脚本集。 基于
06-08
防火墙使用 iptablesLinux 上管理防火墙的脚本。标准用法您只需要运行一个脚本来管理防火墙,但您可以向其传递各种命令。 它们通常应按显示的顺序运行。 请注意,所有命令都需要以 root 权限执行(例如,通过...
iptables系列教程(二)| iptables语法规则
Dragon的博客
05-15 1641
目录 iptables 命令基本语法 -t table command参数 条件匹配参数 目的动作 iptables 常用附加模块: iptables 规则备份和恢复 iptables 命令基本语法iptables [-t table] command [链名] [条件匹配] [-j 目标动作] 以下是对 iptables 命令的拆分讲解: -t table 用来指明使用的表,有三种选项:filter,nat,mangle。若未指定,则默认使用filter表。 com.
Iptables语法详解
weixin_34025051的博客
09-10 191
语法1. 对链的操作建立一个新链 (-N)。删除一个空链 (-X)。改变一个内建链的原则 (-P)。列出一个链中的规则 (-L)。清除一个链中的所有规则 (-F)。归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。2. 对规则的操作加入(append) 一个新规则到一个链 (-A)的最后。在链内某个位置插入(insert) 一个新规则(-I),通常是...
iptables系列教程(二) iptables语法规则_iptables -a output -d
最新发布
2401_83621784的博客
04-17 289
匹配数据进入的网络接口,此参数主要应用nat表,例如目标地址转换。注意:-F 是清空链中规则,但并不影响 -P 设置的默认规则。匹配源地址,可以是IP、网段、域名,也可空(代表任何地址)源地址转换,支持转换为单IP,也支持转换到IP地址池。当数据包没有被任何规则匹配时,则按默认规则处理。匹配协议类型,可以是TCP、UDP、ICMP等。可以是单个端口,也可以是端口范围。Insert,在指定的位置插入规则。Delete,从规则列表中删除规则。Policy,设置某个链的默认规则。Flush,清空规则。
iptables 使用介绍
逢歌的博客
02-01 2350
iptables 使用介绍 一、iptables简介 iptables是集成在linux内核中的包过滤防火墙系统, 是linux防火墙系统的重要组成部分。 二、iptables原理 先来看下主机如何处理数据包:当主机收到一个数据包后, 数据包会先在内核空间进行处理, 若发现目的地址是自身, 则传到用户空间交给相应的应用程序处理, 若目的地址不是自身, 则会将包丢弃或转发。 而iptables的主要功能就是在内核处理数据包的几个关键位置添加对数据包的处理“规则”,即对数据包进出设备及转发的控制。 数据包在内核
iptables语法规则(一)
ruth13156402807的博客
11-29 1888
iptables 一、简介 1、iptables 内核:netfilter 2、四表 raw:数据包跟踪 mangle:标记数据包 nat:网络地址转换 filter:数据包过滤 3、五链 PREROUTING:路由之前 INPUT:数据包流入 FORWARD:数据包经过 OUTPUT:数据包流出 POSTROUTING:路由之后 执行顺序由上到下 4、匹配条件 协议: ​ -p tcp ​ -p icmp (仅有ping使用) ​ -p udp 端口:必须和协议一起写 ​ --dport 目标端
Red Hat Linux 7服务器使用指南
09-21
安全管理是另一个重点,包括设置防火墙(firewalldiptables)、加密数据(如使用LUKS加密文件系统)、以及使用SELinux(强制访问控制)增强安全策略。定期更新系统和软件包以修复安全漏洞也是必不可少的。 在Red ...
Linux网站建设技术指南
07-08
Linux上,我们需关注防火墙配置(如iptablesfirewalld)、SSL/TLS证书的使用以实现HTTPS加密,以及定期更新系统和应用程序以修复安全漏洞。此外,了解如何设置权限、限制SSH登录方式(如使用密钥对而非密码)也...
Linux管理员指南
12-12
系统安全优化则涉及防火墙配置(如iptablesfirewalld)、Selinux策略设置、日志监控以及定期备份等。 此外,Linux命令行是管理员日常工作的主要工具,熟练掌握如ls、cd、mv、cp、rm、vi/vim编辑器、grep、awk、...
Red Hat Linux指南:基础与系统管理篇
12-02
3. 防火墙设置:使用firewalldiptables配置防火墙规则,控制入站和出站流量。 通过《Red Hat Linux指南:基础与系统管理篇》的学习,读者将能够熟练掌握Red Hat Linux的基本操作,为后续深入学习和使用Linux打下...
iptables用法总结
qiuweifan的博客
12-07 2023
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。
iptables 命令解析
互联网的修罗场
10-29 1750
iptables概述 Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。 常用命令列表: 命令 -A, --append 范例 iptables -...
LinuxIptables 详解与实战案例
康师傅没有眼泪
07-03 4001
​ netfilter/iptables(简称为iptables)组成 Linux 平台下的网络数据包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。...
iptables防火墙基本概念与基本语法
5L2g556F5ZWl77yf
09-26 1273
一. 防火墙概述。 防火墙由硬件防火墙,软件防火墙,软硬兼容等。防火墙一般部署在网络边缘,作用于过滤某些字符,IP,根据规则,执行:允许,拒绝,转发,丢弃等。防火墙根据其管理的范围右可以分为可以将其划分为主机防火墙和网络防火墙;根据其工作机制来区分又可分为包过滤型防火墙(netfilter)和代理服务器(Proxy)。我们接下来在这篇笔记中主要说说**包过滤型防火墙(netfilter)。 ...
iptables日常使用
基地种土豆的博客
02-01 258
CentOS 中firewalldiptables centos7/8中firewall-cmd代替了iptables,换回来使用以下命令: yum install iptables-services #安装iptables systemctl stop firewalld.service #停止firewalld systemctl mask fi...
linux firewalldiptables的区别
06-13 1437
firewalldiptables的比较: 1,firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效; 2,firewalld使用区域和服务而不是链式规则; 3,firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制; 4,firewalld自身...
iptables
weixin_30314793的博客
09-01 109
iptables 基本概念 四张表: 表里有链 (chain ) filter: 用来进行包过滤: INPUT OUTPUT FORWARD nat: 用来网络地址转换: network address translation ,允许一个内网地址块,通过NAT转换成公网IP,实现对公网的访问,解决IP地址不足 PREROUTING POSTROUTING OUT...
第三章:iptables语法 --- 重点
webcenterol
10-26 134
一、iptables命令格式(较为复杂) iptables [-t table] command [chain] [rules] [-j target](1)table ------- 指定表名(raw表、mangle表、nat表、filter表) (2)command ------- 对链的操作命令(-A:追加规则(最下面进行追加规则)、-I:插入(一般在相应的哪条规则前后插入)) ...
Linux防火墙——iptables详解
Lqj的博客
04-19 3763
iptablesLinux中的软件防火墙,基于Linux的内核(NetFilter)实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值