2. 程式人生 > 其它 >Linux中Iptables防火牆的使用

Linux中Iptables防火牆的使用

阿新 發佈:2021-12-30

Linux中Iptables防火牆的使用

  • Iptables的使用
  • Iptables動作
  • Iptables基本的條件匹配
  • -s源地址、-d目標地址
  • --sport源埠、--dport目標埠
  • -i、-o、-m、-j動作
  • 模組

一、Iptables的使用

  1.安裝Iptables

[root@m01 ~]# yum install iptables*
可以使用 rpm -q iptables 命令檢視iptables是否安裝

  2.啟動Iptables

[root@m01 ~]# systemctl start iptables
可以使用 systemctl status iptables 命令檢視iptables狀態

  3.關閉firewalld

[root@m01 ~]# systemctl disable --now firewalld

  格式:

-t               指定操作的表
-L, --list       列出當前的規則
-v               顯示資料包和資料包大小
-n               不反解地址
-A, --append     追加一條規則到鏈中
-I, --insert     插入一條規則,插入到頂部
-F, --flush      清空
-Z, --zero       清空計數器(  包數量 、包大小)

-D, --delete     刪除鏈中的規則

-R, --replace    修改
-S, --list-rules 列出所有的規則


-N, --new-chain  建立一個自定義 鏈
-X, --delete-chain 刪除一個自定義鏈
-P, --policy     指定鏈的預設策略

二、Iptables動作

ACCEPT     將資料包放行,進行完此處理動作後,將不再比對其它規則,直接跳往下一個規則鏈。
REJECT     攔阻該資料包,並傳送資料包通知對方。
DROP       丟棄包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程式。
REDIRECT   將包重新導向到另一個埠,進行完此處理動作後,將會繼續比對其它規則。

三、Iptables基本的條件匹配

TCP(http)
UDP
ICMP(ping)
ALL

四、-s源地址、-d目標地址

  源地址:傳送請求的地址

  目標地址:訪問的地址

五、--sport源埠、--dport目標埠

  源埠:傳送請求的埠

  目標埠:訪問的埠

六、-i、-o、-m、-j動作

-i : 進來的網絡卡
-o : 出去的網絡卡
-m : 指定模組
-j : 轉發動作
-p :指定協議

七、案例

  案例1:只允許22埠可以訪問,其他埠全部無法訪問

iptables -t filter -A INPUT -p TCP --dport 22  -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

  案例2:只允許22,80,443埠可以訪問,其他埠全部無法訪問

iptables -t filter -A INPUT -p TCP --dport 22  -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 80  -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 443  -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

  案例3:只允許22,80,443埠可以訪問,其他埠全部無法訪問,但是本機可以訪問百度

  

  案例4:要求使用192.168.15.81能夠通過22埠連結,但是其他的不行

iptables -t filter -A INPUT -p TCP -d 192.168.15.81 --dport 22  -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

  案例5:只允許192.168.15.71能夠通過22埠連結,其他的不行

iptables -t filter -A INPUT -p  TCP -s 192.168.15.71  -d 192.168.15.81 --dport 22 -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

  案例6:要求192.168.15.71對外部不可見

iptables -t filter -A INPUT -p TCP -d 192.168.15.71 -j DROP

  案例7:要求使用eth0網絡卡的所有請求全部拒絕

iptables -t filter -A INPUT -p TCP -i eth0 -j DROP

  案例8:要求訪問伺服器的8080埠轉發至80埠

iptables -t nat -A PREROUTING -p TCP --dport 8080 -j REDIRECT --to-port 80

  案例9:要求只允許windows通過ssh連線192.168.15.81,其他的拒絕

iptables -t filter -I INPUT -p TCP -s 192.168.15.1 -d 192.168.15.81 --dport 22 -j ACCEPT
iptables -t filter -A INPUT -p TCP --dport 22 -j DROP

  知識儲備:

    檢視本機端口占用命令

netstat -nutlp

八、模組

  拓展Iptables的功能

-m : 指定模組

  1.連續匹配多個埠(multiport)

--dports  : 指定多個埠(不同埠之間以逗號分割,連續的埠使用冒號分割)

  2.指定一段連續的ip地址範圍(iprange)

--src-range from[-to]:源地址範圍
--dst-range from[-to]:目標地址範圍

  3.匹配指定字串(string)

--string pattern  # 指定要匹配的字串
--algo {bm|kmp}  # 匹配的查詢演算法

  4.根據時間段匹配報文(time)

--timestart hh:mm[:ss]    # 開始時間
--timestop hh:mm[:ss]    # 結束時間
--monthdays day[,day...]    # 指定一個月的某一天
--weekdays day[,day...]    # 指定周 還是  周天

  5.禁ping, 預設本機無法ping別人 、別人無法ping自己

--icmp-type {type[/code]|typename}
echo-request  (8) 請求 
echo-reply    (0) 迴應

  6.限制連結數,併發連線數(connlimit)

--connlimit-upto n        #  如果現有連線數小於或等於  n  則 匹配
--connlimit-above n       #  如果現有連線數大於n 則匹配

  7.針對 報文速率 進行限制。 秒、分鐘、小時、天

--limit rate[/second|/minute|/hour|/day]  # 報文數量 
--limit-burst number  # 報文數量(預設:5

  

九、模組案例

  1.要求將22,80,443以及30000-50000之間所有的埠向外暴露,其他埠拒絕

iptables -t filter -A INPUT -p TCP -m multiport --dports 22,80,443,30000:50000 -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

  2.要求訪問資料包中包含HelloWorld的資料不允許通過

iptables -t filter -A INPUT -p TCP -m string --string "HelloWorld" --algo kmp -j DROP

  3.要求192.168.15.1 - 192.168.15.10之間的所有IP能夠連線192.168.15.81,其他拒絕

iptables -t filter -A INPUT -p TCP -m iprange --src-range 192.168.15.1-192.168.15.10 -j ACCEPT 
iptables -t filter -A INPUT -p TCP -j DROP

  4.要求每天的12到13之間,不允許訪問

iptables -t filter -A INPUT -p TCP -m time  --timestart 4:00   --timestop 5:00 -j DROP

    注意:時間必須使用UTC時間

  5.要求別人不能ping本機,但是本機可以ping別人

iptables -t filter -A INPUT -p TCP -m icmp --icmp-type "echo-request" -j DROP

  6.要求主機連線最多有2個

iptables -t filter -A INPUT -p TCP --dport 22 -m connlimit --connlimit-above 2 -j DROP

  7.要求限制速率在500k/s左右

iptables -t filter -A INPUT -p TCP -m limit 333/s -j ACCEPT
iptables -t filter -A INPUT -p TCP -j DROP

相關推薦

LinuxIptables防火牆的使用

LinuxIptables防火牆的使用 Iptables的使用 Iptables動作 Iptables基本的條件匹配 -s源地址、-d目標地址

Linux防火牆netfilter/iptables簡介

一、Linux防火牆基礎 1.1 ptables的表、鏈結構 1.1.1 Linux包過濾防火牆概述 Inetfilter 位於Linux核心的包過濾功能體系稱為Linux防火牆的\"核心態\"iptables

Linux防火牆netfilter iptables 簡介

一、Linux防火牆基礎 1.1 ptables的表、鏈結構 1.1.1 Linux包過濾防火牆概述 netfilter 位於Linux核心的包過濾功能體系

Linux防火牆

firewalld 一、防火牆安全概述 firewalld支援命令列也支援GUI設定,相對於iptables,firewalld配置更加的方便。在底層的命令都是iptables

Linuxiptables基礎命令

防火牆(Firewalld)是一種隔離工具,防範與非授權的訪問,使主機更安全。它主要工作與網路或主機的邊緣,對於進出本網路或主機的通訊報文根據事先定義好的規則進行匹配檢測;對於能夠被規則所匹配到的報文

linux防火牆策略管理工具iptables

防火牆:內網和外網之間過濾流量的服務 1、iptables常用的命令引數 2、檢視已有的防火牆規則鏈

Linux伺服器利用防火牆iptables策略進行埠跳轉的方法

兩臺不同伺服器轉發 開啟埠轉發的功能 首先開啟IP轉發功能,預設是關閉的。

linux防火牆策略管理工具firewalld

firewalld擁有命令列介面(CLI)和圖形使用者介面(GUI) firewalld有區域的概念,區域就是防火牆配置策略的模板。

四表五鏈 Linux-iptables 防火牆

# 一、iptables概述 Linux 系統的防火牆: IP資訊包過濾系統,它實際上由兩個元件netfilter和iptables組成

Linux-iptables 防火牆

iptables概述 Linux 系統的防火牆:IP資訊包過濾系統,它實際上由兩個元件netfilter和iptables組成

Linux防火牆的四表五鏈以及三次握手四次揮手

三次握手四次揮手 三次握手 1.第一次握手:建立連線時,客戶端傳送syn包(syn=j)到伺服器,並進入SYN_SENT狀態,等待伺服器確認;SYN:同步序列編號(Synchronize Sequence Numbers)。

Linux firewall防火牆 換成 iptables 防火牆

一、firewalld 增加開放埠 firewall-cmd --zone=public --add-port=16010/tcp --permanent 命令含義:

linux架構之防火牆iptables

什麼是防火牆   防止惡意流量訪問的軟體就叫做防火牆 防火牆的種類   1、軟體防火牆

linux$符號的用法草集

linux使用版本: CentOS 7 [root@azfdbdfsdf230lqdg1ba91 ~]# cat /etc/redhat-release CentOS Linux release 7.4.1708 (Core)

如何使用 cron 任務在 Linux 計劃和自動化任務

有時,你可能需要定期或以預定的時間間隔執行任務。這些任務包括備份資料庫、更新系統、執行定期重新引導等。這些任務稱為 “cron 任務”。cron 任務用於“自動執行的任務”,它有助於簡化重複的、有時是乏味的任務的

詳解linux的backlog

什麼是backlog backlog是linux下socket函式之listen的引數,當應用程式呼叫listen系統呼叫讓一個socket進入LISTEN狀態時,需要指定一個backlog引數。這個引數經常被描述為,新連線佇列的長度限制。

Linux修改mysql預設編碼的方法步驟

在開發過程,如果還原MySQL資料庫後,資料庫資料出現亂碼,可以通過修改資料庫預設編碼來解決。

Linux MySQL 授權遠端連線的方法步驟

說明:當別的機子(IP )通過客戶端的方式在沒有授權的情況下是無法連線 MySQL 資料庫的,如果需要遠端連線 Linux 系統上的 MySQL 時,必須為其 IP 和 具體使用者 進行 授權 。一般 root 使用者不會提供給開發者。如

LinuxMongoDB如何實現遠端自動備份詳解

前言 看過上一篇接手老專案的痛——MongoDB學習及叢集搭建知道,最近接手了一個後媽養的專案,專案的資料庫沒有人維護,DBA以各種理由推脫暫時不接,面對裸奔沒有備份的資料庫,我的內心很焦灼,於是花了點時間把生產

詳解LinuxPostgreSQL和PostGIS的安裝和使用

安裝 PostgreSQL 和 PostGIS PostgreSQL 和 PostGIS 已經是熱門的開源工程,已經收錄在各大 Linux 發行版的 yum 或 apt 包。Ubuntu 為例,安裝以下包即可: