2. 程式人生 > >網路之 Iptables總結

網路之 Iptables總結

阿新 發佈:2018-12-17

 

查詢
iptables -L 預設 filter表
iptables -L -t filter
iptables -L -t nat
iptables -L -t mangle

Filter表
service iptables start
service iptables stop
iptables -t filter -A INPUT -j DROP

Centos6
service iptables save 儲存規則
儲存規則的路徑:/etc/sysconfig/iptables
Centos7
iptables-save > /tmp/iptables.rules 儲存
iptables-restore /tmp/iptables.rules 恢復
iptables -t filter -F 清除filter表所有規則
iptables -t filter -F INPUT 清除filter表INPUT鏈所有規則
iptables -t filter -A INPUT -j DROP 新增規則
iptables -t filter -A INPUT -j ACCEPT
iptables -t filter -I INPUT 1 -j ACCEPT 指定位置插入規則
iptables -t filter -I INPUT 2 -j ACCEPT
iptables -t filter -R INPUT 3 -j ACCEPT 修改規則
iptables -t filter -D INPUT -j ACCEPT 刪除規則
iptables -t filter -D INPUT 3 指定刪除規則的行號
iptables -L --line-numbers 查詢規則行號
iptables -t filter -P INPUT DROP 修改預設值

根據IP地址
270/557
iptables -t filter -A INPUT -s 172.16.110.92 -j DROP
iptables -t filter -A INPUT -d 172.16.110.1 -j DROP
iptables -t filter -A INPUT ! -s 172.16.110.92 -j DROP
iptables -t filter -A INPUT -s 172.16.110.0/24 -j DROP
eg:
禁止你的同桌對你的訪問(在INPUT和OUTPUT各寫出規則) 幾條?
iptables -A INPUT -s 172.16.110.92 -j DROP
iptables -A OUTPUT -d 172.16.110.92 -j DROP
根據協議
iptables -A INPUT -s 172.16.110.92 -p icmp -j DROP
iptables -A INPUT -s 172.16.110.92 -p tcp -j DROP
iptables -A INPUT -s 172.16.110.92 ! -p tcp -j DROP
根據埠
iptables -A INPUT -s 172.16.110.92 -p tcp --dport 22 -j DROP
iptables -A INPUT -s 172.16.110.92 -p tcp ! --dport 22 -j DROP
iptables -A INPUT -s 172.16.110.92 -p tcp --dport 22:80 -j DROP
iptables -A INPUT -s 172.16.110.92 -p tcp --dport 22: -j DROP 22號埠到最後埠
iptables -A INPUT -s 172.16.110.92 -p tcp --dport :80 -j DROP 0到80埠
eg:
禁止同桌訪問你的80埠在(INPUT 和 OUTPUT)
iptables -A INPUT -s 172.16.110.92 -p tcp --dport 80 -j DROP
iptables -A OUTPUT -d 172.16.110.92 -p tcp --sport 80 -j DROP
eg
1.只允許別人訪問你的80埠
iptables -A INPUT -p tcp ! --dport 80 -j DROP
2.拒絕所有人登入你的sshd服務
iptables -A INPUT -p tcp --dport 22 -j DROP
3.只允許別人訪問的ftp服務
埠模式(主動)
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -j DROP
被動
vim /etc/vsftpd/vsftpd.conf
pasv_min_port=10000
pasv_max_port=11000
service vsftpd restart
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000:11000 -j ACCEPT
iptables -A INPUT -j DROP

根據網絡卡
iptables -A INPUT -i eth0 -j DROP
iptables -A OUTPUT -o eth0 -j DROP

自定義鏈
iptables -N lian1 建立
iptables -A INPUT -j lian1 新增連結
iptables -A lian1 -j DROP 自定義鏈動作
iptables -E lian1 newlian 修改鏈名
刪除自已定義鏈
iptables -D INPUT 1 清除連結
iptables -F newlian 刪除自定義鏈內規則
iptables -X newlian 刪除自定義鏈
動作 -j
DROP
ACCEPT
自定以鏈
REJECT
271/557
LOG
iptables -A INPUT -j LOG
埠模組multiport(最多匹配15個埠)
目標埠匹配
iptables -A INPUT -p tcp -m multiport --dport 20,21,23,25,80 -j DROP
源埠匹配
iptables -A OUTPUT -p tcp -m multiport --sport 20,21,23,25,80 -j DROP
埠匹配
iptables -A OUTPUT -p tcp -m multiport --port 20,21,23,25,80 -j DROP
iptables模組 狀態防火牆

SNAT表(地址裝換表)

172.16.110.2----------->172.16.110.1
10.10.10.1---------------------------10.10.10.200
1.客戶端:閘道器
route add default gw 172.16.110.1
2.SNAT開轉發
echo 1 > /proc/sys/net/ipv4/ip_forward
寫防火牆規則
iptables -t nat -A POSTROUTING -s 172.16.110.0/24 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -s 172.16.110.0/24 -j MASQUERADE
172.16.110.2-----------------172.16.110.1
客戶端 10.10.10.1<----------------10.10.10.200
測試:
elinks --dump 10.10.10.200

DNAT
1.伺服器:閘道器
route add default gw 10.10.10.1
2.DNAT開轉發
echo 1 > /proc/sys/net/ipv4/ip_forward
防火牆規則
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 10.10.10.200
測試
elinsk --dump 172.16.110.1

相關推薦

網路 Iptables總結

  查詢 iptables -L 預設 filter表 iptables -L -t filter iptables -L -t nat iptables -L -t mangle Filter表 service iptables start service iptabl

【搞定網路協議】計算機網路基礎知識總結

本文按照五層網路模型進行基礎知識點的總結: 目   錄: 各層網路協議總覽: 1、各層的協議單元 2、各層的主要協議 3 、網絡卡、路由器、交換機 一  應用層 1、HTTP協議 2、DHCP協議 3、DNS協議和HTTP請求過程

網路防火牆iptables的前世今生和歸宿

作者簡介:永福,7年大型網際網路Linux運維實戰經驗,先後供職於好豆網、芒果TV,從零構建行業領先運維架構,精通web叢集、資料庫叢集、分散式檔案系統架構、大資料運維架構等。研發的waf應用於各大行業網站。 摘要:任何事物都有一個從無到有,再歸於無的過程。是的,我這裡用了一個絕對詞:任何。

Qt網路程式設計錯誤總結

最近在做Qt網路程式設計,主要是專案需要,學習下Qt下網路程式設計的多執行緒實現。  1。 QTcpSocket 中的connectToHost() 是void型別的,所以呼叫這個函式後無論是否連上就傳送資料的話,在未連線的情況下會出現如下錯誤 QNativeSocket

筆試題————網路安全、web安全、滲透測試筆試總結(二)

主要講解內容1.什麼是WebShell? 2.什麼是網路釣魚? 3.你獲取網路安全知識途徑有哪些? 4.什麼是CC攻擊? 5.Web伺服器被入侵後,怎樣進行排查? 6.dll檔案是什麼意思,有什麼用?DLL劫持原理 7.0day漏洞 8.Rootkit是什麼意思 9.蜜罐 1

IO多路復用epoll總結

io多路復用之epoll總結IO多路復用之epoll總結 epoll是在2.6內核中提出的,是之前的select和poll的增強版本。相對於select和poll來說,epoll更加靈活,沒有描述符限制。epoll使用一個文件描述符管理多個描述符,將用戶關系的文件描述符的事件存放到內核的一個事件表中,這樣

十八掌大數據zk總結

zk hadoop 大數據 zookeeper--------------- 動物園管理員。 開源框架,用於分布式協同。 集中式服務,配置信息、命名服務、分布式同步、分組。 架構簡單、API解決了分布式環境下復雜的協同配置。安裝zk(本地模式,單機版)-------------- 1.下載 zo

python 入門總結

chm 報錯 分享 urn 豆瓣 長整型 利用 run log Python簡介 Python前世今生 python的創始人為吉多·範羅蘇姆(Guido van Rossum)。1989年的聖誕節期間,吉多·範羅蘇姆為了在阿姆斯特丹打發時間,決心開發一個新的腳本解釋程序,

Linux防火墻iptables參數

iptablesiptables命令參數1、清理參數[[email protected]~]# /etc/init.d/iptables start 啟動iptables[[email protected]~]# /etc/init.d/iptables status 查看iptables

基於大數據的電影網站項目開發階段性總結(三)

字符 crc -c ... chown root per edi 第一個字符 一、基礎講解 1. 主機ping不同虛擬機   虛擬機要設置IP地址,ip段是vmware 編輯菜單-->虛擬網絡編輯器 網段, 網關:192.168.XXX.2

網絡安全iptables防火墻

ted dos con inter 調用 sna 遠程 probe 2.6 1》各種傳輸方式到最後都會轉化為能夠通過網絡發送的數據格式:   1>文本格式;   2>二進制格式;2》TCP三次握手連接,四次斷開,連接時客戶端是主動打開

2017上海QCon總結(上)

發送 避免 queue 不必要 進展 jvm es2017 功能 簡單的 本來這個公眾號的交流消息中間件相關的技術的。這周去上海參加了QCon,第一次參加這樣的技術會議,感受挺多的,所以整理一下自己的一些想法接公眾號和大家交流一下。 下面進入正題,從自己參加了的一些分享中

CTF雜項總結

文件的 crc校驗 加密 mp3 進行 lsp 腦洞大開 都是 信息 0x00前言   1 剛入門CTF,做了幾道隱寫類的題目後,對隱寫有了很大的興趣,然後慢慢從隱寫逐漸轉型到雜項。總結出來,也是對這段時間的一個總結。   2 雜項   3 我認為雜項是進入CTF競賽

精通Groovy簡要總結

很好 機制 for循環 static none vpn 可見 Education 能力 簡介 Groovy 是 JVM 的一個替代語言 —替代 是指可以用 Groovy 在 Java 平臺上進行 Java 編程,使用方式基本與使用 Java 代碼的方式相同。在

django 知識點總結以及Form組件

fields clas 從數據 顯示 view inpu 當前 js文件 login 一、model常用操作   1、13個API查詢:all,filter,get ,values,values_list,distinct,order_by ,reverse , exclu

2017上海QCon總結(下)

最終 方式 這場 監控 第一個 -c 感覺 服務端 備份 本來這個公眾號的交流消息中間件相關的技術的。十月去上海參加了QCon,第一次參加這樣的技術會議,感受挺多的,所以整理一下自己的一些想法接公眾號和大家交流一下。 三天的內容還挺多的,之前已經有上篇和中篇,這一片是最後

iptables總結

dex 狀態 斷開 ati 優化 red 檢測 -s 內存 iptables: 包過濾型防火墻 Firewall: 防火墻,隔離工具;工作於主機或網絡的邊緣,對於進出本主機或網絡的報文根據事先定義好的檢查規則作匹配檢測,對於能夠被規則所匹配到的報文做出相應

Alpha十天沖刺失敗總結

問題 後端 方法 cnblogs 添加 腳踏實地 繼續 後來 有時 首先自己預計了一下,項目gg的可能有百分之50這裏面有百分之80是我的責任。沖刺失敗我承擔主要責任。 前期具體問題:我們遇到了哪些問題? 1.前期的前端路線方針錯誤。在前期的時候學習方法錯誤,一開始的時候

linux壓縮命令(五)tar總結

tar linux tar linux壓縮 tar支持打包和壓縮,支持目錄和文件,使用linux上使用比較廣泛的壓縮工具tar打包:tar -cvf 171210.tar ? ../d6z/打包一個目錄,格式是先打包後的文件名,打包的目錄,如果打包後的文件名存在,會直接覆蓋而不提示tar -xvf

linux壓縮命令(四)zip總結

zip linux zip unzip linux壓縮 zip支持目錄壓縮zip 2.zip 2.txt壓縮文件,支持重命名,源文件不消失zip -r test.zip ? ../d6z/壓縮目錄,壓縮後源文件不消失unzip 11.zip -d ./1/解壓縮都指定目錄,源文件不消失,自動生