2. 程式人生 > >網路防火牆iptables

網路防火牆iptables

阿新 發佈:2018-12-27

linux作業系統自身可以充當交換機,還可以當路由器,也就是說linux多網絡卡之間擁有互相轉發資料包的能力,這種能力的實現主要依靠的是防火牆的功能進行資料包的轉發和入站。
路由選擇點,就是在一個點分辨出事轉發還是入站,在路由選擇點之前的路叫路由選著前,出站之後的路叫路由選擇後
儲存鏈的表示filter 和nat
filter裡村的是入站出站,和轉發
nat存的是路由前,路由後和出站。

入站叫INPUT

出站叫OUTPUT

轉發叫FORWARD

入站前叫PREROUTING

出站叫之後叫POSTROUTING

儲存防火牆規則的配置檔案/etc/sysconfig/iptables

匯出備份的命令

iptables-save > 檔案路徑

匯入還原命令

iptables-restore < 檔案路徑

iptables的命令用法和引數

iptables -t 【表名】 選項 【鏈名】 【條件】 【-j控制型別】

注意事項:

不指定表名時:預設的是filter表

不指定鏈名時:預設是表內所有的鏈

除非設定鏈的預設匹配,否則必須知道匹配條件

選項、鏈名、控制型別使用大寫字母、其餘的均為小寫

控制型別常用的引數

ACCEPT:允許通過

DROP:直接丟包,不給出任何的迴應

REJECT:拒絕通過 ,必要時會給出提示

LOG:記錄日誌資訊,然後傳給下一條規則繼續匹配

選項類的引數

-A:在鏈的末尾追加一條規則,

-I:在鏈的開頭(或指定序號)插入一條規則

查看錶規則引數。

-L:列出所有的規則條目

-n:以數字形式顯示地址,埠等資訊

-v:以更詳細的方式顯示規則資訊

--line-numbers:檢視規則時,顯示規則的序號。--line與之同效

刪除清空規則的引數

-D:刪除鏈內指定序號(或內容)的一條規則

-F:清空所有的規則

iptables -D INPUT 3
刪除input鏈上的序號是3的規則

修改、替換規則

-R:修改替換規則

修改鏈規則

-P:修改鏈的規則

iptables -P FORWARD -j DROP
所有的轉發鏈都丟包

通用匹配引數

-p:協議匹配,指定協議

-s:來源地址匹配,指定來源

-d:目標地址匹配,指定目標

-i:指定入站的網絡卡匹配

-o:指定出站的網絡卡匹配

隱含的匹配

隱含的匹配需要在有通用的匹配後才能使用,--開頭

--sport:來源埠,需要指定協議後才能匹配

--dport:目標埠,需要指定協議後才能匹配

iptables -A INPUT -s 192.168.200.0/24 -p tcp --sport 22:21 -dport 53 -j ACCEPT
例句的意思是在input鏈上追加一條,來源ip為200網段的tcp協議,來源埠是22~21,目標埠是53的都同一通過

--tcp-flags:檢查範圍被設定的標記

iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,RST,ADK,SYN -j DROP
例句的意思是在input鏈上插入一條從eth1網絡卡進來的tcp協議,被標記的syn等包都丟掉

icmp協議的隱含匹配

--icmp-type 型別

8 Echo request 請求包

0 Echo reply 應答包

3 錯誤回顯

iptables -A INPUT -p icmp --icmp-type 8 -j DROP
例句的意思是最近一條規則在input鏈,所有的icmp協議的請求包都丟掉

狀態匹配 -m state --state 連線狀態

常見的連線狀態

NEW:新連線

ESTABLISHED:響應請求,或已經建立連線的

RELATED:與已連線有相關性的,如ftp資料連線

iptables -A INPUT -p tcp --dport 80 -m state --state ESTABLISHED,RELATED,NEW -j DROP
命令的意思是在input鏈上追加一條tcp規則已經連線和有關聯的連線新的連線都拒絕

 SNAT將來源的ip轉換成自己設定的ip

iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth1 -j SNAT --to-source 192.168.100.100
例句的意思是指定nat表最近一條針對出站後的鏈來源ip是200網段的從eth1出的,統統把來源ip換成192.169.100.100

DNAT將目標ip轉換成自己設定的ip

iptables -t nat -A PREROUTING -i eth0 -d 192.168.100.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.200.88:8080
例句的意思是將nat表 入站前 從eth網絡卡來的目標ip是192.168.100.100 埠是80來的tcp協議都改成目標ip為192.168.200.88埠是8080

相關推薦

網路防火牆iptables

linux作業系統自身可以充當交換機,還可以當路由器,也就是說linux多網絡卡之間擁有互相轉發資料包的能力,這種能力的實現主要依靠的是防火牆的功能進行資料包的轉發和入站。 路由選擇點,就是在一個點分辨出事轉發還是入站,在路由選擇點之前的路叫路由選著前,出站之後的路叫路由選擇後儲存鏈的表示filter 和na

linux網路防火牆-iptables配置詳解

Chain RH-Firewall-1-INPUT (0 references) target       prot opt source                 destination          ACCEPT       all    --    0.0.0.0/0             

網路防火牆iptables的前世今生和歸宿

作者簡介:永福,7年大型網際網路Linux運維實戰經驗,先後供職於好豆網、芒果TV,從零構建行業領先運維架構,精通web叢集、資料庫叢集、分散式檔案系統架構、大資料運維架構等。研發的waf應用於各大行業網站。 摘要:任何事物都有一個從無到有,再歸於無的過程。是的,我這裡用了一個絕對詞:任何。

linux系統之網路防火牆(firewalld服務和iptables服務)

一.對於防火牆的理解 防火牆,其實就是用於實現Linux下訪問控制的功能的,它分為硬體的和軟體的兩種。 無論是在哪個網路中,防火牆工作的地方一定是在網路的邊緣。 而我們的任務就是需要去定義到底防火牆如何工作,這就是防火牆的策略,規則, 以達到讓它對出入網路的IP、資料進行檢

iptables實現網路防火牆(一)

前言    關於防火牆的相關概念,我們在之前的文章中已經進行了相關的介紹,這裡就不再重複。感興趣的朋友可以移步    初識Linux防火牆    今天重點記錄一下,如何使用iptables來搭建網路防火牆,實現控制訪問。 實

網路防火牆技術

1、防火牆簡介                防火牆有網路防火牆和計算機防火牆的提法。網路防火牆是指在外部網路和內部網路之間設定網路防火牆;計算機防火牆是指在外部網路和使用者計算機之間設定防火牆。計算機防火牆也可以是使用者計算機的一部分,我們這裡說的都是網路防

Linux6.x和Linux7.x關閉防火牆iptables命令區別

Linux7.x系統關閉防火牆iptables命令如下: 檢視防火牆的狀態:firewall-cmd --state或者使用iptables -L 關閉防火牆:systemctl stop firewalld.service,但是開機之後還會啟動防火牆 systemctl disab

Liunx防火牆--iptables(二)攻擊與防禦篇

網路層攻擊的定義       網路層攻擊定義為:通過傳送濫用網路層的首部欄位的一個或者一系列的資料包以利用網路棧漏洞或消耗網路層資源進行攻擊。 1.首部濫用:包含有惡意構造的,損壞的或經過非法改造的網路層首部的資料包。(如虛假源ip地址,

Linux防火牆--iptables(一)基礎篇

一.iptables 簡介       iptables防火牆是由Netfilter專案開發的,iptables提供了全面的協議狀態跟蹤、資料包的應用層檢查、速率限制、指定策略過濾等。而iptables使用Netfilter框架進行過濾。Netfilter本身不

防火牆iptables >>[1]

防火牆iptables >>[1] 防火牆的作用: 抵禦網路安全隱患 木馬:導致資料洩密、被人惡意控制—防火牆 病毒:破壞系統中的檔案、硬體-------防毒軟體 防火牆的常見型別 軟體:iptables、ISA 硬體:pix 思科 思捷 IPTABLES

防火牆iptables如何做匹配

防火牆iptables如何做匹配 iptables如何做匹配 通用匹配:iptables內建功能模組就可以實現的匹配方式 擴充套件匹配:需要依賴額外的模組才能實現匹配 一.通用匹配 -s:指定源ip -d:指定目標ip -i:指定進入資料包所經過網絡卡名稱 -o:指定發出資料包所

Linux防火牆iptables規則設定

iptables命令是Linux上常用的防火牆軟體,是netfilter專案的一部分。可以直接配置,也可以通過許多前端和圖形介面配置。 語法 iptables(選項)(引數) 選項 -t<表&

網路Iptables總結

  查詢 iptables -L 預設 filter表 iptables -L -t filter iptables -L -t nat iptables -L -t mangle Filter表 service iptables start service iptabl

四川智匯藍圖科技有限公司的四大網路防火牆技術

大家都知道網路防火牆分為四種類型,第一種:整合防火牆功能的路由器,第二種:整合防火牆功能的代理伺服器,第三種專用的軟體防火牆,第四種:專用的軟硬體結合的防火牆。下面就讓我們來分別瞭解一下這些防火牆技術。   一、 四川智匯藍圖科技有限公司的整合在路由器中的防火

網路防火牆開發二三事 轉

              ┌───┐               │ Head │               └─┬─┘                   ↓     ┌──────────────┐      ┌───────────┐     │ TCPIP Protocol Block      

windows網路防火牆開發二三事

網路防火牆開發二三事- haoxg - 花了近一個月的時間研究 Windows 平臺下的網路防火牆相關技術,並實現了一個簡單的防火牆。在獨自摸索的過程中,由於以往的開發經歷從未涉及此領域,所以碰到了不少困難,也走了些彎路。現此專案暫告一段,遂將相關心得整理成文。文章以歸納總結

Linux防火牆iptables基本使用方法

iptables是Linux上常用的防火牆軟體,iptables用來過濾網路封包,正確的設定 iptables 規則可以有效提升 Linux 網路安全,網管人員設定開放哪些 IP 與哪些 Port,來阻擋駭客攻擊。 iptables 的設計結構可以分三層, Table -> Chains ->

CentOS防火牆iptables的配置方法詳解

iptables是與Linux核心整合的IP資訊包過濾系統,其自帶防火牆功能,我們在配置完伺服器的角色功能後,需要修改iptables的配置。 配置CentOS和Ubuntu等Linux伺服器時需要對伺服器的iptables進行配置,以下是iptables常見的幾種配置方法

包過濾型防火牆iptables

1、防火牆 Firewall:防火牆,隔離工具,工作於主機或網路邊緣,對於進出本主機或本網路的報文根據事先定義的檢查規則作匹配檢測,對於能夠被規則匹配到的報文作出相應處理的元件。防火牆分為主機防火牆和網路防火牆,從組成結構上分為軟體防火牆(軟體邏輯)和硬體防火牆(硬體和軟體邏輯)。

Centos7防火牆iptables

防火牆配置iptables,filewalldhttps://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html#DNATTARGET三張表介紹:filter負責過濾資料包,包括的規則