2. 程式人生 > >網路防火墻iptables

網路防火墻iptables

阿新 發佈:2018-11-22
註意 eth1 行數 alt quest 文件 pre 交換機 syn

linux操作系統自身可以充當交換機,還可以當路由器,也就是說linux多網卡之間擁有互相轉發數據包的能力,這種能力的實現主要依靠的是防火墻的功能進行數據包的轉發和入站。
路由選擇點,就是在一個點分辨出事轉發還是入站,在路由選擇點之前的路叫路由選著前,出站之後的路叫路由選擇後
存儲鏈的表示filter 和nat
filter裏村的是入站出站,和轉發
nat存的是路由前,路由後和出站。

入站叫INPUT

出站叫OUTPUT

轉發叫FORWARD

入站前叫PREROUTING

出站叫之後叫POSTROUTING

保存防火墻規則的配置文件/etc/sysconfig/iptables

導出備份的命令

iptables-save > 文件路徑

導入還原命令

iptables-restore < 文件路徑

iptables的命令用法和參數

iptables -t 【表名】 選項 【鏈名】 【條件】 【-j控制類型】

註意事項:

不指定表名時:默認的是filter表

不指定鏈名時:默認是表內所有的鏈

除非設置鏈的默認匹配,否則必須知道匹配條件

選項、鏈名、控制類型使用大寫字母、其余的均為小寫

控制類型常用的參數

ACCEPT:允許通過

DROP:直接丟包,不給出任何的回應

REJECT:拒絕通過 ,必要時會給出提示

LOG:記錄日誌信息,然後傳給下一條規則繼續匹配

選項類的參數

-A:在鏈的末尾追加一條規則,

-I:在鏈的開頭(或指定序號)插入一條規則

查看表規則參數。

-L:列出所有的規則條目

-n:以數字形式顯示地址,端口等信息

-v:以更詳細的方式顯示規則信息

--line-numbers:查看規則時,顯示規則的序號。--line與之同效

刪除清空規則的參數

-D:刪除鏈內指定序號(或內容)的一條規則

-F:清空所有的規則

iptables -D INPUT 3
刪除input鏈上的序號是3的規則

修改、替換規則

-R:修改替換規則

修改鏈規則

-P:修改鏈的規則

iptables -P FORWARD -j DROP
所有的轉發鏈都丟包

通用匹配參數

-p:協議匹配,指定協議

-s:來源地址匹配,指定來源

-d:目標地址匹配,指定目標

-i:指定入站的網卡匹配

-o:指定出站的網卡匹配

隱含的匹配

隱含的匹配需要在有通用的匹配後才能使用,--開頭

--sport:來源端口,需要指定協議後才能匹配

--dport:目標端口,需要指定協議後才能匹配

iptables -A INPUT -s 192.168.200.0/24 -p tcp --sport 22:21 -dport 53 -j ACCEPT
例句的意思是在input鏈上追加一條,來源ip為200網段的tcp協議,來源端口是22~21,目標端口是53的都同一通過

--tcp-flags:檢查範圍被設置的標記

iptables -I INPUT -i eth1 -p tcp --tcp-flags SYN,RST,ADK,SYN -j DROP
例句的意思是在input鏈上插入一條從eth1網卡進來的tcp協議,被標記的syn等包都丟掉

icmp協議的隱含匹配

--icmp-type 類型

8 Echo request 請求包

0 Echo reply 應答包

3 錯誤回顯

iptables -A INPUT -p icmp --icmp-type 8 -j DROP
例句的意思是最近一條規則在input鏈,所有的icmp協議的請求包都丟掉

狀態匹配 -m state --state 連接狀態

常見的連接狀態

NEW:新連接

ESTABLISHED:響應請求,或已經建立連接的

RELATED:與已連接有相關性的,如ftp數據連接

iptables -A INPUT -p tcp --dport 80 -m state --state ESTABLISHED,RELATED,NEW -j DROP
命令的意思是在input鏈上追加一條tcp規則已經連接和有關聯的連接新的連接都拒絕

技術分享圖片

SNAT將來源的ip轉換成自己設定的ip

iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth1 -j SNAT --to-source 192.168.100.100
例句的意思是指定nat表最近一條針對出站後的鏈來源ip是200網段的從eth1出的,統統把來源ip換成192.169.100.100

DNAT將目標ip轉換成自己設定的ip

iptables -t nat -A PREROUTING -i eth0 -d 192.168.100.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.200.88:8080
例句的意思是將nat表 入站前 從eth網卡來的目標ip是192.168.100.100 端口是80來的tcp協議都改成目標ip為192.168.200.88端口是8080

網路防火墻iptables

相關推薦

網路防火iptables

註意 eth1 行數 alt quest 文件 pre 交換機 syn linux操作系統自身可以充當交換機,還可以當路由器,也就是說linux多網卡之間擁有互相轉發數據包的能力,這種能力的實現主要依靠的是防火墻的功能進行數據包的轉發和入站。 路由選擇點,就是在一個點分辨出

linux防火(iptables)關閉與開啟配置

iptables永久性生效,重啟後不會復原chkconfig iptables onchkconfig iptables off即時生效,重啟後復原service iptables startservice iptables stop需要說明的是對於Linux下的其它服務都可以用以上命令執行開啟和關閉操作。在

linux平臺下防火iptables原理(轉)

arch inux 方式 輸出結果 取反 地址 angle 啟動 internet iptables簡介 netfilter/iptables(簡稱為iptables)組成Linux平臺下的包過濾防火墻,與大多數的Linux軟件一樣,這個包過濾防火墻是免費的,它可以

關閉防火iptables

關閉防火墻iptables關閉防火墻iptables1.臨時關閉iptables/etc/init.d/iptables stopiptables: Setting chains to policy ACCEPT:filter [ OK ]iptables: Flushing firew

Linux的防火iptables

防火墻iptables一.iptables簡介iptables是與Linux內核集成的過濾防火墻系統,其中包含三表(filter表,nat表,mangle表)、五鏈(INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING) 二.安裝啟動iptable服務三.參數解釋用法

防火iptables詳解(一)

主從dns服務器 進行 所有 out show mountd 讀取 ppp 概念 -- 防火墻 常見的防火墻 :瑞星 江民 諾頓 卡巴斯基 天網...... iptables firewalld http://www.netfilter.org/ netfilter

防火iptables基礎配置

防火墻-iptablesservice iptables status #查看狀態 service iptables save #保存規則 service iptables stop #關閉 service iptables start #開啟 service iptable

Linux 防火iptables開放端口

str table linux發行版本 因特網 拒絕 linux發行版 bin 其他 ble Iptabels是與Linux內核集成的包過濾防火墻系統,幾乎所有的linux發行版本都會包含Iptables的功能。如果 Linux 系統連接到因特網或 LAN、服務器或連接 L

Linux 防火iptables 實例

用戶 插入 就是 mtu dir all 註意 ftp連接 改變   iptables的基本語法格式     iptables [-t 表名] 命令選項 [鏈名] [條件匹配] [-j 目標動作或跳轉]    說明:表名、鏈名用於指定iptables命令所操作的表和鏈,命

centos6 防火iptables操作整理

out port dash 端口號 his 設置 rip written 詳細說明 使用語句   前言: iptables的啟動文件位置再: /etc/init.d/iptables , srevice iptables調用的就是這裏的執行文件 查看防火墻狀態

全面解析rhel6-防火iptables -- 基本用法

tro 數字 drop 匹配 同時 分類 routing rop cmp 規則鏈解析鏈的用途:存放一條條防火墻規則鏈的分類依據:處理數據包的不同時機默認包括5種規則鏈 INPUT:處理入站數據包OUTPUT:處理出戰數據包FORWARD:處理轉發的數據包POSTROUTI

linux網絡防火-iptables基礎詳解(重要)

lte 目前 targe udp 安全 們的 tina 設計 常見 一:前言   防火墻,其實說白了講,就是用於實現Linux下訪問控制的功能的,它分為硬件的或者軟件的防火墻兩種。無論是在哪個網絡中,防火墻工作的地方一定是在網絡的邊緣。而我們的任務就是需要去定義到底

防火iptables的簡單使用

使用 nbsp 拒絕 CP body fragment dport related pre 規則定義 # service iptables start # chkconfig iptables on 想讓規則生效,則shell命令行下執行 sh /bin/iptab

Linux的網絡防火iptables實戰

src bsp 1.4 防火 images static 應用 img acer 前言: 本文主要著重講解Linux的基於網絡層的防火墻的安全架構,實現流程,以及常見的iptables一些實際應用。 Linux的網絡防火墻iptables實戰

Linux防火iptables(三)

登錄 發現 實驗 置配 才有 設置 是我 簽名 all Linux防火墻iptables(三)我們前面兩篇已經把iptables介紹的比較充分了,今天來說一個iptables對layer 7的實踐。我們說過iptables/netfilter工作在內核空間是不支持應用層協議

iptables防火網路安全實踐配置

第一次 2.0 工作流程 傳輸過程 外網 初始 是否 forward 踢出 01:iptables防火墻網絡安全前言介紹企業中安全配置原則:盡可能不給服務器配置外網IP,可以通過代理轉發或者通過防火墻映射。並發不是特別大情況有外網IP,可以開啟防火墻服務。大並發的情況,不能

2-7-配置iptables防火增加服務器安全

我們 公網ip 為我 介紹 1-1 5% family 方式 man 本節所講內容: ? iptables常見概念 ? iptables服務器安裝及相關配置文件 ? 實戰:iptables使用方法 ? 例1:使用ipt

CentOS 7 防火 出現Failed to start iptables.service: Unit iptables.service failed to load

entos code lang shell services strong imp centos 6 col 錯誤信息如下: [root]# service iptables start Redirecting to /bin/systemctl start iptabl

Iptables防火配置

dport -m nts enter 火墻 pop lis input net Iptables防火墻配置 安裝防火墻 sudo apt-get install iptables 查看狀態 sudo iptab

【轉載】centos7 關閉firewall防火指令以及更換安裝iptables並配置

ref stat con bsp comm 關閉 art output lis 轉載連接 http://ashui.net/archives/2015/943.html 一、配置防火墻,開啟80端口、3306端口 CentOS 7.0默認使用的是firewall作為防火