2. 程式人生 > >iptables基本用法和linux網絡相關

iptables基本用法和linux網絡相關

阿新 發佈:2018-07-12
ttl 來源 sts network star odi 設備 進行 設置

ifconfig 命令

ifconfig在centos6中是默認安裝的,centos7版本默認是沒有這個命令的,需要使用yum來進行安裝: yum install net-tools
使用ifdown和ifup單獨啟動個別網卡

[root@localhost /]# ifdown enp0s3 && ifup enp0s3
成功斷開設備 ‘enp0s3‘。
成功激活的連接(D-Bus 激活路徑:/org/freedesktop/NetworkManager/ActiveConnection/2)

設置虛擬網卡,拷貝原網卡文件,修改網卡配置文件中的網卡名稱再次重啟後生成虛擬網卡,生成的虛擬網卡是一個有獨立ip的設備 ,可以使用這個ip和其他主機進行通信

[root@localhost network-scripts]# cp ifcfg-enp0s3 ifcfg-enp0s3\:0
[root@localhost network-scripts]# vim ifcfg-enp0s3\:0
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
NAME=enp0s3:0
UUID=bf8adc16-a9c3-494a-b47e-f572fad38639
DEVICE=enp0s3:0
[root@localhost network-scripts]# ifdown enp0s3 && ifup enp0s3
成功斷開設備 ‘enp0s3‘。
成功激活的連接(D-Bus 激活路徑:/org/freedesktop/NetworkManager/ActiveConnection/3)
[root@localhost network-scripts]# ifconfig
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        inet 192.168.1.223 netmask 255.255.255.0 broadcast 192.168.1.255
        ether 08:00:27:a7:f9:c2 txqueuelen 1000 (Ethernet)
        RX packets 20698 bytes 21236657 (20.2 MiB)
        RX errors 0 dropped 0 overruns 0 frame 0
        TX packets 9509 bytes 924400 (902.7 KiB)
        TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

enp0s3:0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
        inet 192.168.1.233 netmask 255.255.255.0 broadcast 192.168.1.255
        ether 08:00:27:a7:f9:c2 txqueuelen 1000 (Ethernet)

臨時修改主機名hostname 主機名 ; 永久修改linux主機名vim /etc/hostname ,重啟或source /etc/profile 重新加載系統環境變量文件
DNS配置文件: /etc/resolv.conf這裏的DNS文件優先級會低於網卡配置文件中指定的DNS,如果發生重啟會被網卡中的DNS配置所覆蓋
linux中簡單解析文件:/etc/hosts ,修改的解析只在本機生效, 一行內一個ip可以配置多個對應域名

[root@localhost network-scripts]# vim /etc/hosts
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.1.233 www.bilibili.com www.abc.com www.123.com
[root@localhost network-scripts]# ping www.bilibili.com
PING www.bilibili.com (192.168.1.233) 56(84) bytes of data.
64 bytes from www.bilibili.com (192.168.1.233): icmp_seq=1 ttl=64 time=0.219 ms

firewalld和netfilter工具

關閉selinux工具,selinux默認開啟狀態,安裝某些服務selinux會影響服務正常啟動,臨時關閉selinux:

[root@localhost network-scripts]# setenforce 0
[root@localhost network-scripts]# getenforce 
Disabled

永久關閉selinux

[root@localhost ~]# vim /etc/selinux/config 

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of three two values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected. 
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

停用firewalld改為使用netfilter工具,需要安裝iptables-services的yum包文件

[root@localhost network-scripts]# systemctl disable firewalld
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
Removed symlink /etc/systemd/system/basic.target.wants/firewalld.service.
[root@localhost network-scripts]# systemctl stop firewalld
[root@localhost network-scripts]# yum install -y iptables-services
已加載插件:fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * epel: mirrors.ustc.edu.cn
 * extras: mirrors.aliyun.com
 * updates: mirrors.sohu.com
正在解決依賴關系
--> 正在檢查事務
---> 軟件包 iptables-services.x86_64.0.1.4.21-24.1.el7_5 將被 安裝
--> 正在處理依賴關系 iptables = 1.4.21-24.1.el7_5,它被軟件包 iptables-services-1.4.21-24.1.el7_5.x86_64 需要
--> 正在檢查事務
---> 軟件包 iptables.x86_64.0.1.4.21-17.el7 將被 升級
---> 軟件包 iptables.x86_64.0.1.4.21-24.1.el7_5 將被 更新
--> 解決依賴關系完成
已安裝:
  iptables-services.x86_64 0:1.4.21-24.1.el7_5                                                                                   

作為依賴被升級:
  iptables.x86_64 0:1.4.21-24.1.el7_5                                                                                            

完畢!
[root@localhost network-scripts]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@localhost network-scripts]# systemctl start iptables
[root@localhost network-scripts]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   51  3496 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    8   699 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 29 packets, 2876 bytes)
 pkts bytes target     prot opt in     out     source               destination

iptables只是netfilter使用的一個工具,只是在使用的時候我們通常稱為iptables

netfilter5表5鏈介紹

filter表:默認的一張表,表中包含INPUT、OUTPUT和FORWARD鏈
INPUT表示進入本機流量的過濾鏈,檢測端口或來源ip
FORWARD轉發鏈,檢查是否為本機流量,非本機流量將會被轉發
OUTPUT本機出流量,可禁止到某ip的數據包

nat表:流量數據包轉發
PREROUTING數據包進入時更改來源ip
POSTROUTING數據包轉發出去是修改目的ip
實現內網服務器和公網服務器之間互相通信,需要在一臺出口設備上做端口映射,也就是使用PREROUTING和POSTROUTING鏈

mangle表:給數據包做標記,如數據類型
raw表:可以實現不追蹤某些數據包
security表:加強訪問控制的(MAC)網絡規則

iptables語法
iptables -nvL查看默認filter表的規則

[root@localhost network-scripts]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         
  984 83612 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0           
    0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0           
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
 3211 287K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         
    0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 772 packets, 175K bytes)
 pkts bytes target prot opt in out source destination

iptables -F 清空規則
iptables -t nat -nvL 指定表查看規則

[root@localhost network-scripts]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination

iptables -Z 清零計數器
記錄通過規則鏈的數據流累計信息,可以通過記錄數判斷數據量大小,可以根據數據量發送接收大小來做限制

iptables -A INPUT -s 192.168.1.112 -p tcp --sport 1234 -d 192.168.1.223 --dport 80 -j DROP/REJECT 禁止1.112通過1234端口向223發送數據

[root@localhost network-scripts]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         
 1142 95952 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0           
    0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0           
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
 4450 397K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
    0 0 DROP tcp -- * * 192.168.1.112 192.168.1.223 tcp spt:1234 dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         
    0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 17 packets, 1676 bytes)
 pkts bytes target prot opt in out source destination

-A 在現有規則後新增一條新規則
-I 在現有規則最前面插入一條規則
-I和-A的區別:匹配規則時會優先從最前面規則進行匹配,如果匹配到規則後就不會再往下匹配了

刪除iptables規則
iptables -D INPUT 規則序號

[root@localhost network-scripts]# iptables -D INPUT 6
[root@localhost network-scripts]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         
 1200 100K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
    0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0           
    0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0           
    0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
 4606 409K REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination         
    0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 4 packets, 512 bytes)
 pkts bytes target prot opt in out source destination

修改鏈默認的匹配規則,註意如果寫入拒絕語句之前,請放行需要使用的端口,否則會造成通信中斷(如ssh服務的22端口)
iptables -P INPUT DROP

[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --sport 22 -j ACCEPT
[root@localhost ~]# iptables -P INPUT DROP
[root@localhost ~]# iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)

iptables基本用法和linux網絡相關

相關推薦

iptables基本用法linux相關

ttl 來源 sts network star odi 設備 進行 設置 ifconfig 命令 ifconfig在centos6中是默認安裝的,centos7版本默認是沒有這個命令的,需要使用yum來進行安裝: yum install net-tools使用ifdown和

Linux相關,firewalldnetfilter,netfilter5表5鏈介紹,iptables語法

iptables netfilter linux 筆記內容:l 10.11 Linux網絡相關l 10.12 firewalld和netfilterl 10.13 netfilter5表5鏈介紹l 10.14 iptables語法筆記時間: 10.11 Linux網絡相關ifconfig命令在Ce

Linux日常管理技巧(3):Linux相關防火墻

127.0.0.1 網絡 修改網卡 cal 網卡ip lis oot back col 一、Linux網絡相關 1. ifconfig 查看網卡IP ifconfig命令被用於配置和顯示Linux內核中網絡接口的網絡參數。用ifconfig命令配置的網卡信息,在網卡重啟後機

10.11 Linux相關 10.12 firewalldnetfilter 10.13 ne

netfilter ext pre ble 分享圖片 linu routing wal 1.5 七周三次課10.11 Linux網絡相關10.12 firewalld和netfilter10.13 netfilter5表5鏈介紹10.14 iptables語法10.11 L

Linux相關、firewalldnetfilter、netfilter5表5鏈介紹ipta

mct filter 是否 文件 line 目標 過濾 services sport ifconfig查看網卡-a 當網卡當機時或,無ip時不顯示ifup ens33 /ifdown ens33 啟動關閉網卡(ifup/ifdown後跟的是網卡名字,具體網卡名字需要用if

三十一、Linux相關、firewalldnetfilter、netfilter5表5鏈介紹、

Linux網絡 filewalld和netfilter netfilter5表5鏈 iptables語法 三十一、Linux網絡相關、firewalld和netfilter、netfilter5表5鏈介紹、iptables語法一、Linux網絡相關(一)ifconfig:查看網卡IP,若沒有該

Linux相關、firewalldnetfilter、netfilter5表5鏈介紹、ipta

LinuxLinux網絡相關 ifconfig查看網卡ip(需要安裝net-tools包)ip add也可以查看網卡ipyum install -y net-tools 當你的網卡沒有ip的時候是不顯示的,但是加上-a就可以查看到。ifconfig -a 關閉指定網卡(如果你正在連接這個網卡使用該命令會斷

linux相關iptables語法

linux網絡相關iptables語法linux網絡相關 ifconfig 查看網卡及ip,子網,網關,mac地址 yum install net-tools 重啟指定網卡 ifdown 網卡名字 && ifup 網卡名字 添加虛擬網卡 [root@localhost ~]# cd /et

Linux相關 firewalldnetfilter netfilte5表5鏈介紹 iptab

多個 nat accep cmp one toolbar 高級網絡 reference lld 10.11 Linux網絡相關修改配置網卡配置文件/etc/sysconfig/network-scripts/ifcfg-xxx(網卡) ifconfig 查看網卡的ip,安裝

linux 相關

ip層 網絡層 聯網 ip地址 gre 斷開 流量控制 隊列 增加 開放互聯網參考模型 OSI 應用層 表示層 會話層                     傳輸層        亂序重排,重新請求包            網絡層     

linux相關配置

網絡配置相關網絡配置文件IP、MASK、GW、DNS相關配置文件: /etc/sysconfig/network-scripts/ifcfg-IFACEDEVICE:此配置文件應用到的設備,決定設備名HWADDR:對應的設備的MAC地址BOOTPROTO:激活此設備時使用的地址配置協議,常用的dhcp----

linux相關 |防火墻 |netfilter5表5鏈

mov link 應用 ifup 只需要 圖形 print scrip 動作 10.11 linux網絡相關 ifconfig 如果沒有ifconfig,需要安裝包 [root@centos-01 ~]# yum install net-tools 如果需要顯示所有

linux相關命令

mark netfilter cdc c51 mar proc ext process 圖片 linux網絡相關命令 linux防火墻--netfilter iptables的規則 iptables小案例 linux網絡相關命令

Linux相關、防火墻firewalld、netfilter 及iptable的五表五鏈、語法

20180507一、 Linux網絡相關1?ifconfig 查看網卡的ip地址,(yum install net-tools)也可以用ip add-a 斷網的情況下都可以查看2?ifdown /ifup 斷開/連接 網卡。更改配置的時候,用來重啟指定的網卡。如果是遠程的機器不可以單獨用,可以把它們連

Linux相關

Linux網絡相關centos7默認ifconfig命令沒有安裝,需要yum安裝net-tools包#yum install -y net-tools //安裝完之後就可以使用ifconfig命令#ifdown ens33 //關閉ens33網卡,只需要關閉單個網卡可以使用這個,但是遠程機器

Linux 相關命令

www 監聽 roc TP and mman AD ces program https://www.cnblogs.com/wangtao1993/p/6144183.html Linux如何查看端口 lsof -i:端口號 用於查看某一端口的占用情況,比如查看

相關、firewalldnetfilter、netfilter5表5鏈介紹、iptables

src process 配置文件 想要 表鏈 enforce 網絡地址轉換 51cto top 一:linux網絡相關 ifconfig命令,如果沒有,用下列命令安裝一下yum install -y net-tools如果想禁用一個網卡:ifdown ens33啟用網卡if

Linux工具lsofnetstat

nod 使用 指定 設備管理 內容 路由 協議類型 linu device lsof全名為list opened files,即列舉系統中已經被打開的文件,基本使用如下: (1) 查看/etc/passwd使用情況 lsof /etc/password (2) 查看監聽的s

Linux基本配置

ifcfg ice 判斷 pro echo 了解 每次 net sysconf Linux網絡基本網絡配置方法介紹 網絡信息查看   設置網絡地址: 1 cat /etc/sysconfig/network-scripts/ifcfg-eth0   你將會看到: 1

Linux 入門記錄:十五、Linux 基本配置

包含 mac地址 圖像 鏈接 ifcfg 修改主機名 www. 永久生效 expr 一、以太網(Ethernet) 以太網(Ethernet)是一種計算機局域網技術。IEEE 組織的 IEEE 802.3 標準制定了以太網的技術標準,它規定了包括物理層的連線、電子信號和介