2. 程式人生 > >通過iptables為Linux伺服器配置動態防火牆

通過iptables為Linux伺服器配置動態防火牆

阿新 發佈:2018-12-29

Linux iptalbes 初級用法

作業系統Centos6.10
為方便操作,請切換root使用者
警告:以下命令請勿直接在生產環境操作,僅供技術參考!!!

  • 背景知識
  • 防火牆開啟、關閉、檢視、重啟、儲存當前狀態
  • 命令引數釋義
  • 例項

背景知識

Iptables 是用來設定、維護和檢查Linux核心的IP包過濾規則的。可以定義不同的表(通常只用到預設表filter),每個表都包含幾個內部的鏈,也能包含使用者定義的鏈。每個鏈都是一個規則列表,對對應的包進行匹配:每條規則指定應當如何處理與之相匹配的包。--來自《百度百科》
1.如果資料包的目的地址是本機,則系統將資料包送往Input鏈。如果通過規則檢查,則該包被髮給相應的本地程序處理;如果沒有通過規則檢查,系統就會將這個包丟掉。
2.如果資料包的目的地址不是本機,也就是說,這個包將被轉發,則系統將資料包送往forward鏈。如果通過規則檢查,則該包被髮給相應的本地程序處理;如果沒有通過規則檢查,系統就會將這個包丟掉。
3.如果資料包是由本地系統程序產生的,則系統將其送往output鏈。如果通過規則檢查,則該包被髮給相應的本地程序處理;如果沒有通過規則檢查,系統就會將這個包丟掉。
制定規則的時候有個原則就是 放行的要先放在前面, 禁止的要放在最後.

防火牆服務開啟、關閉、檢視、重啟、儲存當前狀態

  • service iptables start —開啟
  • service iptables stop —關閉
  • service iptables status —檢視當前狀態
  • service iptables restart —重啟
  • service iptables save —儲存

命令引數釋義

-t   table        指定處理的表名
-P   policy     設定鏈拉目標規則
-A append    在所選擇的鏈末新增一條或更多規則
-D delete      從所選鏈中刪除一條或更多規則。
-L  list           顯示所選鏈的所有規則。如果沒有選擇鏈,所有鏈將被顯示。
-F  flush        清空所選鏈。這等於把所有規則一個個的刪除。
-p -protocal [!]protocol   指定規則對應的協議, 選項可以是tcp、udp、icmp或者0,0代表這三個全部。
-s --source [!] address[/mask]  指定源地址,可以是主機名、網路名和清楚的IP地址。
-d --destination [!] address[/mask]  指定目標地址
-j jump  目標跳轉

例項

說明:以下規則預設使用iptables的預設表filter
step 0:檢視所有表規則
iptables -L -n
第一
step 1:清空表規則
iptables -F 所有鏈的規則
在這裡插入圖片描述
step 2: 設定鏈的目標(預設情況下,此步驟可直接跳過)
iptables -P INPUT DROP
釋義:在iptables的filter表的INPUT鏈上設定DROP目標
功能:所有經過INPUT入站的資料將全部被丟棄
iptables -P OUTPUT ACCEPT
釋義:在iptables的filter表的OUTPUT鏈上設定ACCEPT目標
功能:所有經過INPUT入站的資料將全部被接受
iptables -P FORWARD DROP
釋義:在iptables的filter表的FORWARD鏈上設定DROP目標
功能:所有經過FORWARD入站的資料將全部被丟棄
step 3: 新增入站規則(對應的,可新增DROP目標)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
釋義:在iptables的filter表的INPUT鏈上設定針對tcp協議的22埠的ACCEPT目標
功能:允許任意外部主機的tcp型別資料包經由22埠入站
iptables -A INPUT -p tcp --dport 6379:6388 -j ACCEPT
釋義:在iptables的filter表的INPUT鏈上設定針對tcp協議的從6379到6388範圍內埠的ACCEPT目標
功能:允許任意外部主機的tcp型別資料包經由從6379到6388範圍內的埠入站
iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
釋義:在iptables的filter表的INPUT鏈上設定針對tcp協議的22埠的ACCEPT目標
功能:允許ip為192.168.0.3的tcp型別資料包經由22埠入站
step 4: 允許icmp包入站(ping)
iptables -A INPUT -p icmp -j ACCEPT
step 5: 允許loopback(本地環回)
iptables -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
iptables -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
功能: 使得127.0.0.1網絡卡可收發資料
step 6:如果需要,可以將現有的規則列表中的某一條刪除
1. service iptables status 檢視所有表的規則,每條規則都有一個序號
2. iptables -D INPUT 1 按序號刪除規則

相關推薦

通過iptablesLinux伺服器配置動態防火牆

Linux iptalbes 初級用法 作業系統Centos6.10 為方便操作,請切換root使用者 警告:以下命令請勿直接在生產環境操作,僅供技術參考!!! 背景知識 防火牆開啟、關閉、檢視、重啟、儲存當前狀態 命令引數釋義 例項 背景知識

LINUX伺服器配置NFS服務,掛載外部儲存實現目錄共享

安裝nfs  rpcbind         一、服務端配置          安裝 NFS 伺服器所需的軟體包:nfs 和&nbs

Linux 伺服器配置網站以及繫結域名

  Apache 服務繫結域名的方法     例如使用一鍵安裝包配置的 Apache 環境,新增網站配置方法如下:     1、進入站點配置檔案目錄,命令如下:   cd /alidata/server/httpd/conf/vhosts/     2、建

Linux伺服器配置---安裝centos

安裝centos 1、插入光碟,啟動,可以選擇第一項進行安裝   2、根據實際需求,一般會選擇skip   3、選擇語言“簡體中文”   4、選擇第一項   5、設定主機名字,使用預設     6、選擇時區

Linux伺服器---配置apache支援php

apache支援php       php是最好用的伺服器語言了,Apache對php有很強大的支援     1、檢測是否安裝php,如果什麼資訊也沒有,那麼你就要自己安裝php了 [[ema

linux伺服器配置SSH基於祕鑰免密登入

一:免密配置 1)3臺CENTOS分別是128(xucj1)、129(xucj2)、131(xucj3) --ip(主機名) cat /etc/sysconfig/network --檢視主機名 2)每臺分別執行 ssh-keygen -t rsa 產生公鑰和私鑰: 3)

阿里雲或linux伺服器配置https及使用nginx啟用https並執行springboot jar包

首先需要伺服器和一個可連外網的域名。 在阿里雲後臺申請ssl證書,為域名配置證書並下載for nginx證書檔案儲存好,後面會用。參考:https://jingyan.baidu.com/article/a3aad71aeceea0b1fb00969c.html

Linux伺服器配置---phpmyadmin

phpMyAdmin 工具 1、檢測是否已安裝php、php-mysql、apache等工具 [[email protected] src]# rpm -qa |grep php php-cli-5.3.3-26.el6.i686 php-gd-5.

Linux伺服器配置---ftp限制頻寬

限制頻寬       ftp伺服器可以設定每個使用者的頻寬,這樣根據實際需求來分配,更加充分的利用系統資源。頻寬通過引數“anon_max_rate“和”local_max_rate“來設定,這兩個引數在配置檔案中如果找不到,那麼使用者可以在末尾追加。   1、設

Linux伺服器配置javaweb專案

連線伺服器需要使用外掛,這裡使用xshell 下載安裝編輯器及檔案上傳工具 首先修改下載源為阿里雲 1.進入cd /etc/yum.repos.d 2.備份CentOS-Base.repo mv CentOS-Base.repo CentOS-Base.repo.bak 3.修改

Linux伺服器配置---ftp限制ip

ftp限制IP 1、通過vsftpd的配置檔案以及“hosts.deny”和“hosts.allow”檔案設定允許某個ip地址訪問       1)修改配置檔案“/etc/vsftpd/vsftpd.conf”中的引數“tcp_wrapper”,確保這個引數是yes

Linux伺服器配置---ftp使用者黑名單

使用者黑白名單       一個Linux主機中會多個使用者,而我們希望有些使用者不能去訪問ftp。ftp伺服器可以通過配置檔案“/etc/vsftpd/user_list”來設定一個使用者列表,這個列表可以是黑名單,也可以是白名單,具體要根據配置檔案的引數“userlist_

linux伺服器---配置bind

配置bind 1、確定已經安裝bind軟體,需要安裝3 個bind、bind-chroot、bind-util [[email protected] wj]# yum install –y bind bind-chroot bind-uti

linux伺服器---配置samba

配置samba使用使用者名稱和密碼登入    1、當samba配置檔案中的secure設定為user的時候,需要正確的使用者名稱和密碼才能登入。 [email protected] /]#gedit /etc/samba/smb.conf

Linux伺服器配置與管理系列---解決依賴關係破壞---yum回滾

軟體包依賴關係破壞如何解決 軟體包依賴關係破壞解決方案 1.背景     今天準備搭建一個DNS伺服器,奈何在安裝bind系列軟體時候報錯,提示軟體包依賴關係破壞,不能安裝。思考了一下,找到出錯的原因:以前我用的是網易的CentOS源

Linux伺服器配置---ssh配置

Ssh配置             通過配置檔案,我們可以有效的管理ssh 1、空閒時間關閉連線         1)修改配置檔案“/etc/ssh/sshd_config

Linux伺服器配置與管理系列(一)

一. 本地yum源/軟體倉庫搭建 實驗環境—Windows10 professional+VMware 12+Red Hat 6.8-64-bit 目錄 軟體與環境

Linux伺服器配置---安裝telnet

安裝telnet        telnet是標準的遠端登入協議,歷史悠久。但是telnet的對話資料沒有加密,甚至使用者名稱和密碼都是明文顯示,這樣的服務風險極大。目前大多數系統多已經不會再安裝這個服務了,使用者需要自己手動安裝   1、安裝

Linux伺服器 配置 nginx 執行專案

1.建立資料夾 mkdir /usr/local/nginx 下載資源 wget http://nginx.org/download/nginx-1.5.9.tar.gz 3.解壓 tar -zxvf nginx-1.5.9.tar.gz 4.安裝

Linux伺服器配置---配置telnet

配置telnet           通過配置檔案,我們可以設定telnet的連線時間、連線數、連線ip等,實現更加安全的連線 1、設定連線時間,引數“access_times” [[email&#