2. 程式人生 > >linux系統iptables的使用

linux系統iptables的使用

阿新 發佈:2018-04-19
防火墻 iptables firewalld

一,iptables和firewalld比較

在CentOS 7系統中,firewalld防火墻取代了iptables防火墻。其實,iptables與firewalld都不是真正的防火墻,它們都只是用來定義防火墻策略的防火墻管理工具或者服務。
iptables服務會把配置好的防火墻策略交由內核層面的netfilter網絡過濾器來處理,而firewalld服務則是把配置好的防火墻策略交由內核層面的nftables包過濾框架來處理。換句話說,當前在Linux系統中其實存在多個防火墻管理工具,旨在方便運維人員管理Linux系統中的防火墻策略,我們只需要配置妥當其中的一個就足夠了。雖然這些工具各有優劣,但它們在防火墻策略的配置思路上是保持一致的。

二,iptables語法

語法:

iptables (選項) (參數)

iptables命令選項輸入順序:

iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源端口 <-d 目標IP/目標子網> --dport 目標端口 -j 觸發動作(目標值)

註:
-t(table) 表 四表:filter,nat,mangle,raw (默認表是filter)
-A(append) 追加添加 -I(insert)插入 行號 -D(delete)刪除 行號 -R(replace)替換

-i(in-interface)流入接口 -o(out-interface)流出接口
-p(protocol) 協議 tcp, udp, udplite, icmp等
-s(source) 源地址 --sport(source port)源端口
-d(destination)目標地址 --dport(destination port) 目標端口
-j(jump) 執行 ACCPET/DROP/REJECT/DNAT/SNAT/MASQUERADE/REDIRECT/LOG(必須大寫)

三,iptables工作流程

技術分享圖片
iptables過濾的規則順序是:

由上至下,匹配即停止。
iptables有四表和五鏈:(鏈名必須大寫)
四表:
filter(過濾規則表):(默認)INPUT,OUPUT,FORWARD
nat(地址轉發規則表):PREROUTING,OUTPUT,POSTROUTING
mangle(修改數據位規則表):PREROUTING,INPUT,OUPUT,FORWARD,POSTROUTING
raw(跟蹤數據表規則表):PRERONTING,OUTOUT

五鏈:PREROUTING(路由前過濾),INPUT(入站過濾),OUTPUT(出站過濾),FORWARD(轉發過濾),POSTROUTING(路由後過濾)

四,iptables命令

以下配置的系統環境:redhat6.7

[root@host61 ~]# cat /etc/redhat-release    
Red Hat Enterprise Linux Server release 6.7 (Santiago)

首先是防火墻服務的啟動停止:

service iptables save | stop | start | restart | status | save  //CentOS6保存,停止,啟動,重啟,查看狀態,保存
chkconfig iptables on| off  //開機自起或關閉
systemctl stop | start | restart | status   firewalld  //CentOS7停止,啟動,重啟,查看狀態
systemctl enable | disable firewalld   //開機自起或關閉

1.主機型防火墻
技術分享圖片
每次配置完後需要保存配置:
/etc/init.d/iptables save 或者 serveice iptables save

1.1 在61主機上開啟iptables服務。只允許192.168.4.254的主機訪問自己的ssh服務。

[root@host61 ~]# iptables -F
[root@host61 ~]# iptables  -t  filter  -A  INPUT  -s  192.168.4.254 -p tcp  --dport 22  -j ACCEPT
[root@host61 ~]# iptables  -t  filter   -P  INPUT  DROP
[root@host61 ~]# serveice iptables save
[root@host61 ~]# iptables  -t  filter  -nL  INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.4.254        0.0.0.0/0           tcp dpt:22

1.2 在61主機上添加1條新的規則,允許網絡中的所有主機訪問本機的網站服務。

[root@host61 ~]# iptables  -t  filter  -A  INPUT    -p tcp  --dport  80  -j   ACCEPT
[root@host61 ~]# serveice iptables save
[root@host61 ~]# iptables  -t  filter  -nL  INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.4.254        0.0.0.0/0           tcp dpt:22 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80

1.3 在61主機上添加1條新的規則,不允許192.168.4.62主機訪問本機的網站服務。

[root@host61 ~]# iptables  -t  filter  -I  INPUT  2  -s  192.168.4.62  -p tcp  --dport  80  -j  ACCEPT
[root@host61 ~]# serveice iptables save
[root@host61 ~]# iptables  -t  filter  -nL  INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.4.254        0.0.0.0/0           tcp dpt:22 
ACCEPT     tcp  --  192.168.4.62         0.0.0.0/0           tcp dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80

1.4 在61主機上添加新的規則,61可以ping網絡中的其他主機 ,但其他主機不可以ping61主機。

[root@host61 ~]# iptables  -t  filter  -A  INPUT  -p  icmp   --icmp-type  echo-reply  -j  ACCEPT
[root@host61 ~]# serveice iptables save
[root@host61 ~]# iptables  -t  filter  -nL  INPUT
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.4.254        0.0.0.0/0           tcp dpt:22 
ACCEPT     tcp  --  192.168.4.62         0.0.0.0/0           tcp dpt:80 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 0

2.網絡型型防火墻
技術分享圖片
註:主機65和67的網關是192.168.4.68
2.1 讓局域網內所有的主機共享一個公網ip地址上網。

[root@host68 ~]# iptables -F
[root@host68 ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j SNAT --to-source 192.168.2.68
[root@host68 ~]# iptables -t nat -nL POSTROUTING 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  192.168.4.0/24       0.0.0.0/0           to:192.168.2.68

2.2 發布局域網內的網站服務。

[root@host68 ~]# iptables -t nat -A PREROUTING -i eth1 -d 192.168.2.68 -p tcp --dport 80 -j DNAT --to-destination 192.168.4.67
[root@host68 ~]# iptables -t nat -nL PREROUTING 
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            192.168.2.68        tcp dpt:80 to:192.168.4.67

共勉:I hear and I forget , I see and I remember, I do and I understand!

參考資料:
http://man.linuxde.net/iptables
https://www.cnblogs.com/alimac/p/5848372.html
https://www.cnblogs.com/can-H/p/6726743.html
http://www.benet.wang/%E6%8A%80%E6%9C%AF%E9%9D%A2%E8%AF%95/174.html
https://www.cnblogs.com/wajika/p/6382853.html
http://www.jb51.net/article/112698.htm

linux系統iptables的使用

相關推薦

linux系統iptables的使用

防火墻 iptables firewalld 一,iptables和firewalld比較 在CentOS 7系統中,firewalld防火墻取代了iptables防火墻。其實,iptables與firewalld都不是真正的防火墻,它們都只是用來定義防火墻策略的防火墻管理工具或者服務。iptab

解決Linux系統沒有/etc/sysconfig/iptables文件

iptable linux put out 防火墻規則 創建文件 linu color ice Linux系統中,防火墻默認是不開啟的,一般也沒有配置過任何防火墻的策略,所以不存在/etc/sysconfig/iptables文件。 一、常規解決方法: 1、在控制臺使用

Linux系統/etc/sysconfig目錄下沒有iptables文件

防火墻 accept con sys file .cn rec cep png 在新安裝的linux系統中,防火墻默認是被禁掉的,一般也沒有配置過任何防火墻的策略,所有不存在/etc/sysconfig/iptables文件。 解決辦法: 1.鍵入以下命令,新建文件 2.

Linux系統安全04使用iptables阻止訪問特定網站

tps sid string onf 系統安全 post eth ide PE 主要使用iptables的string擴展模塊,使用string參數阻止訪問特定網站的http/https服務,使用hex-string參數阻止對特定域名進行DNS解析。 比如,阻止訪問ba

Linux 系統安全配置 Debian => 禁止root SSH登陸+配置SSH Key+配置iptables

ssh-key fir 應用 ble exc 當前 root密碼 exchange ports Linux 系統安全配置 Debian => 禁止root SSH登陸+配置SSH Key+配置iptables 當我們安裝完Linux系統作為服務器後,總有一系列的安全配

linux系統中的防火牆(iptables與firewalld)——iptables

iptables 關閉firewalld開啟iptables 相關概念 IPTABLES 是與最新的 3.5 版本 Linux 核心整合的 IP 資訊包過濾系統。如果 Linux 系統連線到因特網或 LAN、伺服器或連線 LAN 和因特網的代理伺服器, 則該系統有利於在 Lin

linux系統中的防火牆(iptables與firewalld)——firewalld

防火牆 防火牆是整個資料包進入主機前的第一道關卡。防火牆主要通過Netfilter與TCPwrappers兩個機制來管理的。 1)Netfilter:資料包過濾機制 2)TCP Wrappers:程式管理機制 關於資料包過濾機制有兩個軟體:firewalld與iptables cento

Linux系統中防火牆管理-iptables

一.iptables概述 iptables(網路過濾器)是一個工作於使用者空間的防火牆應用軟體。iptable是Linux下的資料包過濾軟體 。 iptables有三張表五條鏈: 1.Filter:資料包流通是否訪問Linux核心的表 Filter包含三條鏈input、 forward

Linux系統iptables(防火牆)的有關操作命令

1、檢視當前iptables(防火牆)規則       可使用"iptables –L –n"檢視當前iptables規則       例如:         2、新增指定埠到防火牆中

Linux系統使用iptables建立可訪問白名單

目前由於專案要求需要修復一些linux系統的漏洞,部分使用了iptables的功能,因此研究了一下iptables的原理,並講述建立系統訪問白名單的過程。 1.iptables的工作機制 首先列出iptables在linux核心中涉及的五個位置: 1.

linux系統中檢視己設定iptables規則

1、iptables -L 檢視filter表的iptables規則,包括所有的鏈。filter表包含INPUT、OUTPUT、FORWARD三個規則鏈。 說明:-L是--list的簡寫,作用是列出規則。 2、iptables -L [-t 表名] 只檢視某

linux系統之網路防火牆(firewalld服務和iptables服務)

一.對於防火牆的理解 防火牆,其實就是用於實現Linux下訪問控制的功能的,它分為硬體的和軟體的兩種。 無論是在哪個網路中,防火牆工作的地方一定是在網路的邊緣。 而我們的任務就是需要去定義到底防火牆如何工作,這就是防火牆的策略,規則, 以達到讓它對出入網路的IP、資料進行檢

基於嵌入式Linux系統的3G/4G路由器設計——iptables nat 模式

1. 3G/4G路由器設計方案   本路由器的設計是基於三個模組來實現的,分別為3G模組、WiFi模組和Linux硬體平臺,如圖1所示。3G模組的功能是利用運營商的無線資料卡進行PPP撥號,使得路由器能通過運營商網路連線至網際網路。WiFi模組的功能是使得無線網絡卡工

Linux系統中無iptables檔案

CentOS7開始,預設是沒有iptables的,而是使用firewall防火牆。本文將遮蔽掉firewall,使用iptables Centos7版本解決方法: 1、停止並遮蔽firewalld服務 停止 systemctl stop firewalld 遮蔽 syst

linux系統管理

網絡管理 linux 基礎知識 Linux系統管理1.存儲管理傳統的磁盤分區RAID技術,軟RAID的實現LVM文件系統管理ext,xfs,btrfs(了解)2.程序包管理rpm、yum、dnf3.sed、gawk4.進程管理5.網絡管理網絡基礎知識(Cisco CCNA+CCNP)網絡屬性管理網

正確學習Linux系統的5個建議

windows 服務器 應用軟件 安全性 穩定性 最近幾年Linux系統應用越來越廣泛,以至於很多人開始熱衷學習Linux。但是我們都是從小都是學習windows系統長大的,從windows 98到現在的windows 10,而根據學習windows系統的經驗來學習Linux,使很多人越學

Linux系統自帶服務羅列

會話 nscd 協議 etl 證明 ber 快的 rest 聯系 /ect/services 文件列出了系統詳細的服務 紅色字體為常用服務 acpid ACPI(全稱 Advanced Configuration and Power Interface)服務是電源管理接口。

VMware裝Linux系統全屏問題

點擊 錯誤 bsp 出現 ogr 意思 接下來 linux 文件的   在VMware上出裝Linux,有強迫癥的患者總是無法接受它不能全屏的問題,當然網上也有該問題的解決方案,但是搜索出來的答案總是零零散散,讓很多初學者望而卻步!今天筆者根據自己的機遇總結一遍最完備的解決

java工具類,在Windows,Linux系統獲取電腦的MAC地址、本地IP、電腦名

copy iter 去掉m [] equals linu stat cli catch package com.cloudssaas.util; import java.io.BufferedReader; import java.io.IOException;

Linux系統目錄結構介紹

型號 系統安全 原因 能夠 源碼包安裝 -h ifcfg domain .html 參考博客: http://www.cnblogs.com/chensiqiqi/p/6243549.html 感謝原博主為我學習Linux指明方向!! linux目錄:一切從&ld