建设工作站服务器
Linux防火墙iptables-基础和创建防火墙规则. txt
创建Linux防火墙基础知识和防火墙规则
3359 www.cn blogs.com/l 2366/p/9285917.html
linux防火墙配置规则
3359 blog.csdn.net/lemon tree 1945/article/details/79309273
iptables详细信息(1)至( 14 )
33559 www.zsy think.net/archives/category /运输相关/iptables/
3359 www.cn blogs.com/wan stack/category/1153938.html
linux系统防火墙iptables命令规则和配置示例
linux系统防火墙iptables命令规则和配置示例
Linux系统更改防火墙配置
3359 www.cn blogs.com/ixan/p/8243623.html
Linux Centos 7防火墙配置
3359 www.cn blogs.com/su-king/p/9996633.html
RHEL 7.0防火墙配置更改
3359 blog.csdn.net/weixin _ 30488085/article/details/95228014
3359 blog.csdn.net/catoop/article/details/47861583
规则链:规则的集合
五种链条:(必须是大写字母) )。
输入:入站
输出:出站
转发:转发
定位:路由后转换
路由前转换
1 ) INPUT链)在接收到接入防火墙本地地址的分组(入站)的情况下应用该链中的规则。
2 )输出链:对于防火墙的本机传输包(出站),应用此链的规则。
3 ) FORWARD链)在防火墙内接收到需要传送到其他地址的数据包)时,适用该链内的规则。
4 ) PREROUTING链(在路由分组之前应用该链中的规则)。
5 )定位链)路由包之后应用该链中的规则。
规则表:规则链集合
有四个表:
原始:状态跟踪
Mangle :设定标记
Nat :地址转换
过滤器:包过滤
1 )过滤器表)用于过滤数据包,表中包括输入、转发和输出三个链
2 ) Nat表: Nat表主要用于修改分组的ip地址、端口号等信息。 包括PREROUTING、POSTROUTING、OUTPUT三个链
3 ) Mangle表)修改数据包的TOS、TTL,给数据包设置MARL标识,实现流量整形、策略路由等高级APP。 包括五个链条,前向、后向、输入、输出和前向
4 )原始表)用于确定是否进行分组状态跟踪,包括输出、轮询两个链
Iptables -t表名命令选项链名条件选项-j控制类型
1 )不指定表名,作为过滤器表
2 )命令选项、链名、控件类型必须为大写,其他必须为小写
3 )可以设置多个条件选项
命令选项:
-A :添加到末尾
-I )插入(默认为第一条插入) )
-L :显示
-D :删除(必须添加序列号) ) ) )。
-F :清空,但不清空默认策略
-P :只有默认策略、ACCEPT或DROP两种
-R :替换
-X :删除自定义链
-N :新的定制链
-n :用数字表示
line-number :添加序列号
控制类型:
1 )接受:允许
2 ) REJECT :拒绝,回复信息
3 ) DROP )处置,无信息
4 ) LOG )记录日志,传递给以下规则
5 ) SNAT )源地址转换
6 ) DNAT )目标地址转换
7 ) MASQUERADE:ip伪装、源地址转换
8 )重定向:重定向
条件选项:
1 )通用匹配:不依赖于任何条件就可以直接使用
-s :发送源地址-d :目标地址
-p :协议-i :入口
-o :出口!取反
2 )隐式匹配)依赖于指定的协议
sport :源端口dport :目标端口
TCP—flags:TCP标记
icmp-type:icmp类型有以下两种:
echo-request(8 (可以用8代替)请求
Echo-reply(0 (可以用0代替)响应
打开转发功能:
永久有效: vim /etc/sysctl.conf
Net.ipv4.ip_forward=1
生效: sysctl -p
传输,立即生效
Sysctl -w net.ipv4.ip_forward=1
echo“1”/proc/sys/net/IP v4/IP _ forward
3 )显示配置:依赖指定的功能模块,必须明确指定模块名称才能使用
多端口匹配:-mmultiportsports源端口列表
- mmultiportdports目标端口列表
IP范围匹配:-mi prangesrc-range IP范围
MAC地址匹配:-mmacMAC-source MAC地址
状态一致:-mstatestate连接状态
验证本地IPTABLES的设置
iptables -nL
服务iptables状态
将新设定的规则保存到文件
格式: iptables -save [-t table]
现在可以写入/etc/sysconfig/iptables文件。 写入后,请记住重新启动防火墙使其发挥作用。
其他格式: iptables [-t table] [-FXZ]
f :请排除您创建的所有规则
-X :删除所有用户“自定义”的chain
-Z :将所有统计值清零
添加规则:添加输入链。 输入链的缺省规则是DROP,规则中没有的所有内容都是DROP。
创建定制链
iptables -t filter -N self_control
-N=new
添加自定义链规则
iptables-t filter-iself _ control-s 192.151.102.2-j reject
浏览自定义链
iptables-t filter-I input-jself _ control
删除自定义链:
删除定制链有两个条件。
1 .定制链中没有规则
2 .定制链未被引用
清空自定义链规则:
iptables -t filter -F self_ctl
要删除链参照规则:
iptables -t filter -D INPUT 1
删除自定义链:
iptables -X self_ctl
重命名定制链
iptables -E self_control self_ctl
- e=rename-chain
样品
仅允许192.168.0.3的计算机进行SSH连接
iptables-a input-s 192.168.0.3-ptcp-dport 22-j accept
如果允许,则所限制的IP地址可以是192.168.0.0/24来表示192.168.0.1-255侧的所有IP。
172.16允许网段内的主机访问:
# iptables-t filter-a input-s 172.16.0.0/16-d 172.16.63.7-j accept
例如:-t表,默认的filter -A添加规则INPUT进入并接受-s检查源-d检查目标-j处理动作ACCEPT; 堆栈的目标是本机,所以-d是本机IP
172.16.63.66拒绝主机访问(现在172.16.63.66可以是ping主机,也可以是ssh等) :
iptables-t filter-a input-s 172.16.63.66-d 172.16.63.7-j reject
注:如果操作过第一个,此时设置后,发现172.16.63.66仍可进入ping。 本来我们增加了允许访问172.16网段的规则,所以这个规则是后来添加的,所以无效。 同样的服务规则,放在小范围上,顺序很重要。
对于多种不同的服务,规则排序是根据实际情况进行的。 例如,虽然web服务器每天的访问量很大,但是对某个IP服务器的禁止属于很小的范围。 如果把禁止某个IP服务放在前面,每个web服务都会首先检查这个IP,所以应该把一致性高的规则放在前面。
删除刚才添加的“允许访问172.16网段”规则。
iptables -D INPUT 1
注意:首先在- vnlline-numbers查询下,该规则属于第几个,如果这里是第一个,则必须删除第一个。
插入规则以阻止172.16.63.66主机进行本地访问。
iptables-I input-s 172.16.63.66-d 172.16.63.7-j reject
注:如果要插入第一条并插入第二条,请单击# iptables-I input2- s 172.16.63.66-d 172.16.63.7-j reject
注:像这样用172.16.63.66对本机进行ping时,会直接催促拒绝。 当然,这不友好,建议使用DROP直接丢弃。
替换第1条规则,禁止172.16.63.77的主机访问本机:
iptables-r input1- s 172.16.63.77-d 172.16.63.7-j drop
使用远程SSH登录打开22个端口
iptables-a input-ptcp-dport 22-j accept
iptables-a output-ptcp-sport 22-j accept
减少不安全的端口连接
iptables-a output-ptcp-sport 31337-j drop
iptables-a output-ptcp-dport 31337-j drop
其他规则连接也以同样的方式设定。 是前锋链
iptables-aforward-ie TH2-oeh0- j accept
处理IP碎片数量,防止攻击,每秒允许100个
iptables-aforward-f-m limitlimit 100/slimit-burst 100-j accept
设置ICMP包过滤,允许每秒一个数据包,触发条件限制为10个数据包
iptables-aforward-pic MP-m limitlimit1/slimit-burst 10-j accept
查看本机关于NAT的设置情况
iptables -t nat -L
防止外联网用内联网IP诈骗
iptables-tnat-a prerouting-ieth0- s 10.0.0.0/8-j drop
211.101.46.253禁止所有连接
iptables-tnat-a prerouting-d 211.101.46.253-j drop
详情请访问云服务器、域名注册、虚拟主机的问题,请访问西部数码代理商官方网站: www.chenqinet.cn