Linux系统防火墙iptables

这篇具有很好参考价值的文章主要介绍了Linux系统防火墙iptables。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、iptables防火墙概述

1.简介

2.netfilter/iptables关系

3.iptables的四表五链

(1)四表

(2)五链

4.数据包过滤的匹配流程

(1)入站

(2)转发

(3)出站

二、iptables防火墙配置

1.下载相关服务

2.iptables命令

3.实操

(1)添加新的规则

(2)查看规则

(3) 删除规则

(4)清空规则

(5)修改规则

三、规则的匹配

1.通用匹配

2.隐含匹配

(1)协议端口匹配 

(2) tcp标记匹配

(3)ICMP类型匹配

3.显式匹配

(1)多端口匹配

(2)ip范围匹配

(3)mac地址匹配

(4)状态匹配

四、iptables配置NAT地址转换

1.配置SNAT

(1)转换为固定公网ip

(2)转换为非固定的公网ip(动态)

2.配置DNAT

五、iptables防火墙策略的备份和恢复


一、iptables防火墙概述

1.简介

        Linux系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilteriptables组成。

        主要工作在网络层,针对IP数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)

2.netfilter/iptables关系

netfilter:属于“内核态” (Kernel Space, 又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。

iptables:属于“用户态” (User Space,又称为用户空间)的防火墙管理体系。 是一种用来管理Linux防火墙的命令程序,它使插入,修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。

netfilter/iptables后期简称为iptables。

iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。

表中所有规则配置后,立即生效,不需要重启服务。

3.iptables的四表五链

(1)四表

raw表:确定是否对该数据包进行状态跟踪。包含两个规则链,OUTPUT、PREROUTING。

mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。

nat表:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。

filter表:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链,INPUT、FORWARD、OUTPUT。

在iptables的四个规则表中,filter表是防火墙默认表,mangle表和raw表的应用相对较少。

(2)五链

INPUT:处理入站数据包,匹配目标IP为本机的数据包。

OUTPUT:处理出站数据包,一般不在此链上做配置。

FORWARD:处理转发数据包,匹配流经本机的数据包。

PREROUTING链:在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网中的80端口映射到路由器外网端口上。

POSTROUTING链:在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

数据包到达防火墙时,规则表之间的优先顺序

raw > mangle > nat > filter

Linux系统防火墙iptables

4.数据包过滤的匹配流程

(1)入站

        入站数据包从A网络发到B网络,首先发到防火墙,先后顺序经过有PREROUTING链的三个表(raw、mangle、nat),如果都是放通状态的会经过路由选择,然后根据目的地址一层一层往上送,经过有INPUT的两个表(mangle、filter),一直送到应用程序。

(2)转发

        目的地不是本机,数据包先从A网络过滤,经过PREROUTING链,看是否是自己的目的地址,如果是外网到内网需要用nat转换成内网IP,找到内网用户,经过FORWARD链进行过滤,允许放通的到达POSTROUING链,再把内网地址转换成公网,这样数据包才能回去;如果是内网往外网发顺序就是反过来。

(3)出站

        从本机的应用程序发出来, 经过路由选择,让路由知道从哪里发,先后顺序经过有OUTPUT链的四个表(raw、mangle、nat、filter),都放通后到达POSTROUING链的两个表(mangle、nat),如果没有什么转换地址,就出站。

Linux系统防火墙iptables

总结

        当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。

        如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后, 任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后发送出去。

        如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

二、iptables防火墙配置

1.下载相关服务

        Centos 7默认使用firewalld防火墙,没有安装iptables, 若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装iptables

systemctl stop firewalld. service                   //关闭firewalld防火墙
systemctl disable firewalld. service              //取消firewalld防火墙开机自启动
yum -y install iptables iptables-services       //安装iptables和iptables-services
systemctl start iptables.service                    //启动iptables-services

2.iptables命令

iptables  [-t 表名]  管理选项  [链名] [匹配条件] [-j 控制类型]

-t 指定表名(raw、mangle、nat、filter)
-j 指定控制类型

常用管理选项

选项 作用
-A  (--append) 在指定链的末尾追加一条新的规则

-I   (--insert)

在指定链的开头插入一条新的规则;未指定序号时默认作为第一条规则
-R  (--replace) 修改、替换指定链中的某一条规则,可指定规则序号或具体内容
-P  (--policy)

设置指定链的默认策略

-D  (--delete) 删除指定链中的某一条规则,可指定规则序号或具体内容
-F  (--flush) 清空指定链中的所有规则;若未指定链名,则清空表中的所有链
-L  (--list) 列出指定链中所有的规则;若未指定链名,则列出表中的所有链
-n  (--numeric) (搭配-L使用)使用数字形式显示输出结果,如显示IP地址而不是主机名
-v (搭配-L使用)显示详细信息,包括每条规则的匹配包数量和匹配字节数
--line-numbers (搭配-L使用)查看规则时,显示规则的序号

常用控制类型

控制类型 作用
ACCEPT 允许数据包通过
DROP 直接丢弃数据包,不给出任何回应消息
REJECT 拒绝数据包通过,会给数据发送端一个响应信息
SNAT 修改数据包的源地址
DNAT 修改数据包的目的地址
MASQUERADE 伪装成—个非固定公网IP地址
LOG 在/varlog/messages文件中记录日志信息,然后将数据包传递给下一条规则。(LOG只是一种辅助动作,并没有真正处理数据包)

匹配条件

匹配条件 说明
-p 指定要匹配的数据包的协议类型
-s 指定要匹配的数据包的源IP地址
-d 指定要匹配的数据包的目的IP地址
-i 指定数据包进入本机的网络接口
-o 指定数据包离开本机做使用的网络接口
--sport 指定源端口号
--dport 指定目的端口号

注意事项
不指定表名时,默认指filter表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件控制类型使用大写字母,其余均为小写

3.实操

(1)添加新的规则

//1.-A 在filter表的INPUT链末行添加拒绝icmp的规则
[root@localhost1 ~]#iptables -t filter -A INPUT -p icmp -j REJECT

//2.-I 不指定行,是在指定链首行插入规则(允许tcp 22端口)
[root@localhost1 ~]#iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT

//3.-I 指定行,是在指定链的指定行上插入规则
[root@localhost1 ~]#iptables -t filter -I INPUT 2 -p tcp --dport 22 -j ACCEPT

(2)查看规则

//1.查看指定表的规则(不加链名显示所有链的所有规则)
[root@localhost1 ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
REJECT     icmp --  anywhere             anywhere             reject-with icmp-port                                                                                                         -unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

//2.-nL 以数字形式显示
[root@localhost1 ~]#iptables -t filter -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port                                                                                                         -unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

//3.-nvL 以数字形式显示,并显示详细信息
[root@localhost1 ~]#iptables -t filter -nvL
Chain INPUT (policy ACCEPT 3 packets, 381 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                             
  408 29984 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                     tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                     tcp dpt:22
    5   420 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                                                     reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                                             

Chain OUTPUT (policy ACCEPT 66 packets, 5784 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                

//4. --line-numbers 显示规则序号(指定链名,就显示指定链的规则)
[root@localhost1 ~]#iptables -t filter -nvL INPUT --line-numbers
Chain INPUT (policy ACCEPT 3 packets, 381 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1      902 64816 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
2        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
3        5   420 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

(3) 删除规则

注意
若规则列表中期多条相同的规则时,按内容匹配只删除的序号最小的一条

按号码匹配删除时,确保规则号码小于等于已有规则数,否则报错
按内容匹配删数时,确保规则存在,否则报错

//1.根据规则序号删
[root@localhost1 ~]#iptables -D INPUT 3

//2.根据规则内容删(相当于操作一遍创建指定规则的步骤加上-D选项删除)
[root@localhost1 ~]#iptables -D INPUT -p icmp -j REJECT

//3.有相同的规则会删除第一个
[root@localhost1 ~]#iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
REJECT     icmp --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-p 

[root@localhost1 ~]#iptables -D INPUT -p tcp --dport 22 -j ACCEPT

(4)清空规则

注意
-F仅仅是清空链中的规则,并不影响-Р设置的默认规则,默认规则需要手动进行修改

-P设置了默认规则为DROP后,使用-F一定要小心,因为iptables的修改是立刻生效的!
防止把允许远程连接的相关规则清除后导致无法远程连接主机,此情况如果没有保存规则可重启主机解决

如果不写表

名和链名,默认清空filter表中所有链里的所有规则

//1.清空指定链中所有规则
[root@localhost1 ~]#iptables -F OUTPUT

//2.不指定链名默认清空所有规则
[root@localhost1 ~]#iptables -F

(5)修改规则

//1.-R 修改已有的规则
[root@localhost1 ~]#iptables -t filter -R INPUT 1 -p icmp -j ACCEPT

//2.-P 修改默认策略(修改为丢弃转发数据包)
[root@localhost1 ~]#iptables -P FORWARD DROP

三、规则的匹配

1.通用匹配

        可直接使用,不依赖其他条件或扩展包括网络协议、IP地址、网络接口等条件。

协议匹配

-p  协议名

地址匹配

-s  源地址

-d 目的地址(可以是IP、网段、域名、空(代表任何地址))

接口匹配

-i 入站网卡

-o 出站网卡

//1.(使用!取反)不是icmp协议的其他数据包全部接受
//注:虽然不是icmp包都接受,但是没有指定icmp包的规则,所以icmp包默认还是接受的
[root@localhost1 ~]#iptables -A INPUT ! -p icmp -j ACCEPT

//2.将指定主机192.168.116.20的数据包丢弃
[root@localhost1 ~]#iptables -A INPUT -s 192.168.116.20 -j DROP

//3.拒绝指定网段的数据包从ens33网卡进入
[root@localhost1 ~]#iptables -I INPUT -i ens33 -s 192.168.110.0/24 -j REJECT

2.隐含匹配

        某些条件,如端口、TCP标记、ICMP类型,隐含要求以特定的协议匹配作为前提。

(1)协议端口匹配 

 --sport--dsport 必须配合 -p 指定协议使用

详细用法 

--sport 1000 匹配源端口是1000的数据包
--sport 1000:3000 匹配源端口是1000-3000的数据包
--dport  :3000 匹配目标端口是3000及以下的数据包
--dport  1000: 匹配目标端口是1000及以上的数据包
//1.允许tcp的20和21端口通过(即允许ftp数据包)
[root@localhost1 ~]#iptables -I INPUT -p tcp --dport 20:21 -j ACCEPT

//2.丢弃192.168.11.0网段转发的tcp 24000到24500 端口的数据包
[root@localhost1 ~]#iptables -I FORWARD -d 192.168.11.0/24 -p tcp --dport 24000:24500 -j DROP

(2) tcp标记匹配

--tcp-flags        配合 -p tcp 使用,指定tcp标记(SYN、ACK、RST、URG、PSH、FIN)

//1.丢弃SYN请求包,允许其他指定的数据包
[root@localhost1 ~]#iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT

SYN,RST,ACK SYN  前面指定包范围,空格后再指定
表明前面指定的里面,除了这空格后面的SYN,其他都放行

//2.tcp三次握手第一次接受SYN,拒绝其他,第二次发送SYN和ACK
[root@localhost1 ~]#iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH  SYN -j REJECT
[root@localhost1 ~]#iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT

(3)ICMP类型匹配

--icmp-type        配合 -p icmp 使用,指定icmp类型(字符串或数字代码)

注:icmp类型可用iptables -p icmp -h 查看帮助信息

Echo-Request(代码为8) 请求
Echo-Reply (代码为0) 回显
Destination-Unreachable(代码为3) 目标不可达
//1.丢弃icmp请求包(使别人不能ping通本机,但本机默认情况可以ping通别人)
[root@localhost1 ~]#iptables -A INPUT -p icmp --icmp-type 8 -j DROP

//2.丢弃icmp回显包(本机发送ping请求,但是别人回显的包被本机丢弃,默认情况下本机不能ping通别人)
[root@localhost1 ~]#iptables -A INPUT -p icmp --icmp-type 0 -j DROP

//3.当ping不通时,允许显示目标不可达
[root@localhost1 ~]#iptables -A INPUT -p icmp --icmp-type 3 -j ACCEPT

3.显式匹配

        要求以 -m (扩展模块)的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件。

(1)多端口匹配

-m multiport --sport   源端口列表

-m multiport --dport   目的端口列表

//1.允许tcp的20,21,22,53端口
[root@localhost1 ~]#iptables -A INPUT -p tcp -m multiport --dport 20,21,22,53 -j ACCEPT

//2.允许udp的53,67,68端口
[root@localhost1 ~]#iptables -A INPUT -p udp -m multiport --dport 53,67,68 -j ACCEPT

(2)ip范围匹配

-m iprange --src-range  源IP范围

-m iprange --dst-range  目的IP范围

//1.禁止转发源ip范围是192.168.10.100-192.168.10.200的udp数据包
[root@localhost1 ~]#iptables -A FORWARD -p udp -m iprange --src-range 192.168.10.100-192.168.10.200 -j DROP

//2.禁止发送目的ip范围是192.168.10.100-192.168.10.200的udp数据包
[root@localhost1 ~]#iptables -A INPUT -p udp -m iprange --dst-range 192.168.10.100-192.168.10.200 -j DROP

(3)mac地址匹配

-m mac --mac-source  源MAC地址

(4)状态匹配

-m state --state  连接状态

常见的连接状态

NEW 本机要连接目标主机,在目标主机上看到的第一个想要连接的包
ESTABLISHED 本机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态
RELATED 本机已与目标主机进行通信,目标主机发起新的链接方式,一般与ESTABLISHED配合使用
INVALID 无效的封包,例如数据破损的封包状态
//第一个包我只看22端口的包(-p tcp是隐含匹配,可以省略-m tcp)
[root@localhost1 ~]#iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

//允许放通tcp和udp的这些端口号
[root@localhost1 ~]#iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT
[root@localhost1 ~]#iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

//使已建立连接的包以及该链接相关的包允许通过
[root@localhost1 ~]#iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

//默认策略设为drop,以上所有配置就成了一个tcp相关包的白名单,通过第一步的检测后允许相关包通过
[root@localhost1 ~]#iptables -P INPUT DROP

 

四、iptables配置NAT地址转换

1.配置SNAT

应用场景

局域网主机共享转换的公网ip接入internet公网(内 --> 外)

模拟实验环境

私网客户端一台、网关服务器一台(设置iptables防火墙)、外网web服务端(有httpd服务)

三台都需要关闭默认防火墙firewalld和selinux 

准备私网客户端:设置网卡网段为192.168.146.0/24;ip设为192.168.146.20;网关设为192.168.146.30。

Linux系统防火墙iptables

准备网关服务器:一个网卡设为192.168.146.0/24网段,并设置ip为192.168.146.30;另一个网卡设为12.0.0.0/8网段,并设置ip为12.0.0.12;添加路由转发功能;下载 iptables-services 并开始iptables之后做防护墙策略。

Linux系统防火墙iptables

Linux系统防火墙iptables

Linux系统防火墙iptables

Linux系统防火墙iptables

准备外网web服务端:设置网卡网段为12.0.0.0/8;ip设为12.0.0.12;网关设为12.0.0.254;下载并开启httpd服务。

Linux系统防火墙iptables

Linux系统防火墙iptables

(1)转换为固定公网ip

iptables -t nat -A POSTROUTING -s 源网段 -o 出站网卡 -j SNAT --to 转换的公网地址

iptables -t nat -A POSTROUTING -s 源网段 -o 出站网卡 -j SNAT --to-source 转换的公网地址范围(如12.0.0.1-12.0.0.10)

注:每一个做转换的公网ip,一般可以支持内网100~200台主机。

Linux系统防火墙iptables

测试效果

使用客户端访问外网web服务器地址;在web服务器查访问日志/var/log/httpd/access.log,发现私网客户端使用了转换的12.0.0.254地址访问了服务端。

Linux系统防火墙iptables

Linux系统防火墙iptables

(2)转换为非固定的公网ip(动态)

iptables -t nat -A POSTROUTING -s 源网段 -o 出站网卡 -j MASQUERADE

2.配置DNAT

应用场景

在internet公网中发布位于企业局域网的服务器(外 --> 内)

模拟实验环境

私网客户端一台(有httpd服务)、网关服务器一台(设置iptables防火墙)、外网web服务端

三台都需要关闭默认防火墙firewalld和selinux 

可参考上个模拟场景,再为私网主机增设httpd服务使之成为私网web服务端,将原来的外网主机当做客户端。

为私网主机添加httpd服务并启用 

Linux系统防火墙iptables

Linux系统防火墙iptables

转换为私网ip

注: 在配置DNAT前一定要先配置SNAT!!!

iptables -t nat -A PREROUTING -d 外网客户端地址 -p 指定协议 --dport 指定端口 -i 入站网卡 -j DNAT --to 转换到的内网服务器地址:服务端口(如果前面指定的端口和服务端口一致则可省略,如http默认80端口,若前面修改成 -- dport 8080,最后就需要加上:80)

Linux系统防火墙iptables

测试效果

外网客户端访问指定修改后的的外网ip就可以访问内网服务器

Linux系统防火墙iptables

Linux系统防火墙iptables

五、iptables防火墙策略的备份和恢复

        iptables的配置存放在/etc/sysconfig/iptables 文件中,我们对iptables所做的策略修改,虽然会立刻生效,但是并没有保存下来,当我们重启iptables防火墙时,会读取配置文件中设置的策略,我们之前修改过的策略便失效了。所以需要对修改的iptables策略进行备份和恢复。

iptables-save > 备份文件                        将修改的iptables策略导入到备份文件中

iptables-restore < /opt/iptables.bak        将备份文件中的策略还原到配置文件中

systemctl restart iptables.service            重启服务生效文章来源地址https://www.toymoban.com/news/detail-443842.html

//1.查看配置文件中的默认策略
[root@localhost1 opt]#cat /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configur                                                                                                            ation
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

//2.以下为我们修改过的策略,使用iptables -nL查看
[root@localhost1 opt]#iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:                                                                                                            22
DROP       icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
DROP       icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 2                                                                                                            0,21,22,53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 5                                                                                                            3,67,68
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 5                                                                                                            3
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTA                                                                                                            BLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            source IP range 19                                                                                                            2.168.10.100-192.168.10.200

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

//3.对自定义的iptables策略做备份(将命令导入一个备份文件iptables.bak)
[root@localhost1 opt]#iptables-save > /opt/iptables.bak
[root@localhost1 opt]#cd /opt
[root@localhost1 opt]#cat iptables.bak
# Generated by iptables-save v1.4.21 on Thu Sep 15 21:55:58 2022
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14:1392]
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 0 -j DROP
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 20,21,22,53 -j ACCEPT
-A INPUT -p udp -m multiport --dports 53,67,68 -j ACCEPT
-A INPUT -p udp -m multiport --dports 53 -j ACCEPT
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p udp -m iprange --src-range 192.168.10.100-192.168.10.200 -j DROP
COMMIT
# Completed on Thu Sep 15 21:55:58 2022

//4.重启服务(用作模拟未保留修改的策略),再查看发现策略又恢复成了配置文件中的默认策略
[root@localhost1 opt]#systemctl restart iptables.service

[root@localhost1 opt]#iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

//5.将备份文件中的策略恢复到配置文件中,再重启服务就还原成功了
[root@localhost1 opt]#iptables-restore < /opt/iptables.bak

[root@localhost1 opt]#systemctl restart iptables.service

[root@localhost1 opt]#iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:                                                                                                            22
DROP       icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 8
DROP       icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0            icmptype 3
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 2                                                                                                            0,21,22,53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 5                                                                                                            3,67,68
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 5                                                                                                            3
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTA                                                                                                            BLISHED

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       udp  --  0.0.0.0/0            0.0.0.0/0            source IP range 19                                                                                                            2.168.10.100-192.168.10.200

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

到了这里,关于Linux系统防火墙iptables的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux防火墙之iptables(下)

    承接上文,上文介绍了iptables的工作原理,四表五链,以及基本规则的增删改查。本文为上文的拓展,继续延申iptables规则设置的匹配方式。以及如何备份,还原iptables设置,还有修改iptables的初始化设置  1.通用匹配 1.1 协议匹配  1.2 地址匹配  1.3 接口匹配  2.隐含匹配  2.

    2024年01月19日
    浏览(41)
  • linux iptables安全技术与防火墙

    一、入侵检测系统 二、防火墙 1.特点 2.防火墙分类 3.按实现方式划分 4.按网络协议划分 5.Netfilter 6.iptables 三、防水墙 四、tcpdump抓包 五、实验演示 1.SNAT                            是不阻断任何网络访问,量化、定位来自内外网络的威胁情况, 主要以提供报警和事后监督

    2024年02月08日
    浏览(42)
  • Linux_iptables防火墙学习笔记

    主机型 对主机进行保护 网络型 系统当作路由时使用,对网络进行保护 iptables是一个用户空间的应用,用来设置内核空间的netfilter iptables没有守护进程,不能算是真正意义上的服务,应该算是内核提供的功能 数据经过防火墙的流程 四表 filter表 负责过滤功能,防火墙;内核模块:ipta

    2024年04月16日
    浏览(53)
  • linux防火墙查看状态firewall、iptable

    1、iptables防火墙 查看防火墙状态  service iptables status 停止防火墙 service iptables stop 启动防火墙 service iptables start 重启防火墙 service iptables restart 永久关闭防火墙 chkconfig iptables off 永久关闭后重启 chkconfig iptables on 开启80端口 vim /etc/sysconfig/iptables 加入一下代码 -A INPUT -m state --s

    2024年01月16日
    浏览(58)
  • Linux网络服务之iptables防火墙工具

    Netfilter是一个Linux内核功能,用于在网络数据包从网络堆栈进入或离开时进行包过滤和操作。 Netfilter内称为防火墙的“内核态”。 Firewalld和Iptables 都不是防火墙,是 防火墙管理工具 ,被称为防火墙的“用户态”。 Centos 7中默认管理防火墙规则的工具是firewalld。 由软件包ip

    2024年02月12日
    浏览(40)
  • Centos上 关闭Linux防火墙(iptables) 及 SELinux

    一、关闭防火墙 1、重启后永久性生效: 开启: chkconfig iptables on 关闭: chkconfig iptables off 2、即时生效,重启后失效: 开启: service iptables start 关闭: service iptables stop 在开启了防火墙时,做如下设置,开启相关端口,修改 /etc/sysconfig/iptables 文件,添加以下内容: -A INPUT

    2024年02月08日
    浏览(41)
  • 【防火墙】iptables防火墙(一)

    防火墙具有 隔离功能 主要部署在网络边缘或者主机边缘,防火墙的主要作用是 决定哪些数据可以被外网访问,哪些数据可以进入内网访问 网络层(路由器):数据的转发 安全技术 1.入侵监测系统:在检测到威胁(木马、病毒)后,不会阻断网络访问,只会在事后提供报警

    2024年02月15日
    浏览(49)
  • iptables防火墙(一)

    Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。 1.netfilter netfilter 属于\\\"内核态\\\"(Kernel Space,又称为内核空间)的防火墙功能体系。 netfilter是内核的

    2024年02月05日
    浏览(42)
  • iptables防火墙2

    SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由) SNAT原理:修改数据包的源地址。 SNAT转换前提条件: 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址 2.Linux网关开启IP路由转发 临时打开: 或 永久打开: SNAT转换 1:固定的

    2024年02月05日
    浏览(45)
  • iptables 防火墙(二)

    目录 1. SNAT 策略及应用 1.1 SNAT策略概述  1. 只开启路由转发,未设置地址转换的情况 2. 开启路由转发,并设置SNAT转换的情况 1.2 SNAT策略的应用 1. 2.1 共享固定IP上网 (1)打开网关的路由转发 (2)设置正确的SNAT策略 (3)测试SNAT共享接入结果 1.2.2 共享动态IP 地址上网 2. DN

    2024年02月03日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包