建设工作站服务器

Linux防火墙iptables-基础和创建防火墙规则. txt

创建Linux防火墙基础知识和防火墙规则

3359 www.cn blogs.com/l 2366/p/9285917.html

linux防火墙配置规则

3359 blog.csdn.net/lemon tree 1945/article/details/79309273

iptables详细信息(1)至( 14 )

33559 www.zsy think.net/archives/category /运输相关/iptables/

3359 www.cn blogs.com/wan stack/category/1153938.html

linux系统防火墙iptables命令规则和配置示例

linux系统防火墙iptables命令规则和配置示例

Linux系统更改防火墙配置

3359 www.cn blogs.com/ixan/p/8243623.html

Linux Centos 7防火墙配置

3359 www.cn blogs.com/su-king/p/9996633.html

RHEL 7.0防火墙配置更改

3359 blog.csdn.net/weixin _ 30488085/article/details/95228014

3359 blog.csdn.net/catoop/article/details/47861583

规则链：规则的集合

五种链条：(必须是大写字母) )。

输入：入站

输出：出站

转发：转发

定位：路由后转换

路由前转换

1 ) INPUT链)在接收到接入防火墙本地地址的分组(入站)的情况下应用该链中的规则。

2 )输出链：对于防火墙的本机传输包(出站)，应用此链的规则。

3 ) FORWARD链)在防火墙内接收到需要传送到其他地址的数据包)时，适用该链内的规则。

4 ) PREROUTING链(在路由分组之前应用该链中的规则)。

5 )定位链)路由包之后应用该链中的规则。

规则表：规则链集合

有四个表：

原始：状态跟踪

Mangle :设定标记

Nat :地址转换

过滤器：包过滤

1 )过滤器表)用于过滤数据包，表中包括输入、转发和输出三个链

2 ) Nat表： Nat表主要用于修改分组的ip地址、端口号等信息。 包括PREROUTING、POSTROUTING、OUTPUT三个链

3 ) Mangle表)修改数据包的TOS、TTL，给数据包设置MARL标识，实现流量整形、策略路由等高级APP。 包括五个链条，前向、后向、输入、输出和前向

4 )原始表)用于确定是否进行分组状态跟踪，包括输出、轮询两个链

Iptables -t表名命令选项链名条件选项-j控制类型

1 )不指定表名，作为过滤器表

2 )命令选项、链名、控件类型必须为大写，其他必须为小写

3 )可以设置多个条件选项

命令选项：

-A :添加到末尾

-I )插入(默认为第一条插入) )

-L :显示

-D :删除(必须添加序列号) ) ) )。

-F :清空，但不清空默认策略

-P :只有默认策略、ACCEPT或DROP两种

-R :替换

-X :删除自定义链

-N :新的定制链

-n :用数字表示

line-number :添加序列号

控制类型：

1 )接受：允许

2 ) REJECT :拒绝，回复信息

3 ) DROP )处置，无信息

4 ) LOG )记录日志，传递给以下规则

5 ) SNAT )源地址转换

6 ) DNAT )目标地址转换

7 ) MASQUERADE:ip伪装、源地址转换

8 )重定向：重定向

条件选项：

1 )通用匹配：不依赖于任何条件就可以直接使用

-s :发送源地址-d :目标地址

-p :协议-i :入口

-o :出口！取反

2 )隐式匹配)依赖于指定的协议

sport :源端口dport :目标端口

TCP—flags:TCP标记

icmp-type:icmp类型有以下两种：

echo-request(8 (可以用8代替)请求

Echo-reply(0 (可以用0代替)响应

打开转发功能：

永久有效： vim /etc/sysctl.conf

Net.ipv4.ip_forward=1

生效： sysctl -p

传输，立即生效

Sysctl -w net.ipv4.ip_forward=1

echo“1”/proc/sys/net/IP v4/IP _ forward

3 )显示配置：依赖指定的功能模块，必须明确指定模块名称才能使用

多端口匹配：-mmultiportsports源端口列表

- mmultiportdports目标端口列表

IP范围匹配：-mi prangesrc-range IP范围

MAC地址匹配：-mmacMAC-source MAC地址

状态一致：-mstatestate连接状态

验证本地IPTABLES的设置

iptables -nL

服务iptables状态

将新设定的规则保存到文件

格式： iptables -save [-t table]

现在可以写入/etc/sysconfig/iptables文件。 写入后，请记住重新启动防火墙使其发挥作用。

其他格式： iptables [-t table] [-FXZ]

f :请排除您创建的所有规则

-X :删除所有用户“自定义”的chain

-Z :将所有统计值清零

添加规则：添加输入链。 输入链的缺省规则是DROP，规则中没有的所有内容都是DROP。

创建定制链

iptables -t filter -N self_control

-N=new

添加自定义链规则

iptables-t filter-iself _ control-s 192.151.102.2-j reject

浏览自定义链

iptables-t filter-I input-jself _ control

删除自定义链：

删除定制链有两个条件。

1 .定制链中没有规则

2 .定制链未被引用

清空自定义链规则：

iptables -t filter -F self_ctl

要删除链参照规则：

iptables -t filter -D INPUT 1

删除自定义链：

iptables -X self_ctl

重命名定制链

iptables -E self_control self_ctl

- e=rename-chain

样品

仅允许192.168.0.3的计算机进行SSH连接

iptables-a input-s 192.168.0.3-ptcp-dport 22-j accept

如果允许，则所限制的IP地址可以是192.168.0.0/24来表示192.168.0.1-255侧的所有IP。

172.16允许网段内的主机访问：

# iptables-t filter-a input-s 172.16.0.0/16-d 172.16.63.7-j accept

例如：-t表，默认的filter -A添加规则INPUT进入并接受-s检查源-d检查目标-j处理动作ACCEPT； 堆栈的目标是本机，所以-d是本机IP

172.16.63.66拒绝主机访问(现在172.16.63.66可以是ping主机，也可以是ssh等) :

iptables-t filter-a input-s 172.16.63.66-d 172.16.63.7-j reject

注：如果操作过第一个，此时设置后，发现172.16.63.66仍可进入ping。 本来我们增加了允许访问172.16网段的规则，所以这个规则是后来添加的，所以无效。 同样的服务规则，放在小范围上，顺序很重要。

对于多种不同的服务，规则排序是根据实际情况进行的。 例如，虽然web服务器每天的访问量很大，但是对某个IP服务器的禁止属于很小的范围。 如果把禁止某个IP服务放在前面，每个web服务都会首先检查这个IP，所以应该把一致性高的规则放在前面。

删除刚才添加的“允许访问172.16网段”规则。

iptables -D INPUT 1

注意：首先在- vnlline-numbers查询下，该规则属于第几个，如果这里是第一个，则必须删除第一个。

插入规则以阻止172.16.63.66主机进行本地访问。

iptables-I input-s 172.16.63.66-d 172.16.63.7-j reject

注：如果要插入第一条并插入第二条，请单击# iptables-I input2- s 172.16.63.66-d 172.16.63.7-j reject

注：像这样用172.16.63.66对本机进行ping时，会直接催促拒绝。 当然，这不友好，建议使用DROP直接丢弃。

替换第1条规则，禁止172.16.63.77的主机访问本机：

iptables-r input1- s 172.16.63.77-d 172.16.63.7-j drop

使用远程SSH登录打开22个端口

iptables-a input-ptcp-dport 22-j accept

iptables-a output-ptcp-sport 22-j accept

减少不安全的端口连接

iptables-a output-ptcp-sport 31337-j drop

iptables-a output-ptcp-dport 31337-j drop

其他规则连接也以同样的方式设定。 是前锋链

iptables-aforward-ie TH2-oeh0- j accept

处理IP碎片数量，防止攻击，每秒允许100个

iptables-aforward-f-m limitlimit 100/slimit-burst 100-j accept

设置ICMP包过滤，允许每秒一个数据包，触发条件限制为10个数据包

iptables-aforward-pic MP-m limitlimit1/slimit-burst 10-j accept

查看本机关于NAT的设置情况

iptables -t nat -L

防止外联网用内联网IP诈骗

iptables-tnat-a prerouting-ieth0- s 10.0.0.0/8-j drop

211.101.46.253禁止所有连接

iptables-tnat-a prerouting-d 211.101.46.253-j drop

详情请访问云服务器、域名注册、虚拟主机的问题，请访问西部数码代理商官方网站： www.chenqinet.cn