Linux_iptables防火墙学习笔记

这篇具有很好参考价值的文章主要介绍了Linux_iptables防火墙学习笔记。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

iptables 概述

  1. 主机型
    1. 对主机进行保护
  2. 网络型
    1. 系统当作路由时使用,对网络进行保护
  3. iptables是一个用户空间的应用,用来设置内核空间的netfilter
  4. iptables没有守护进程,不能算是真正意义上的服务,应该算是内核提供的功能

四表五链

  1. 数据经过防火墙的流程
    Linux_iptables防火墙学习笔记,Linux学习笔记,linux,学习,笔记

  2. 四表

    1. filter表
      1. 负责过滤功能,防火墙;内核模块:iptables_filter
    2. nat表
      1. network address translation,网络地址转换功能;内核模块:iptable_nat
    3. mangle表
      1. 拆解报文,做出修改,并重新封装的功能;内核模块:iptable_mangle
    4. raw表
      1. 关闭nat表上雇用的连接追踪机制;内核模块:iptable_raw
  3. 五链

    1. PREROUTING(路由前)
    2. INPUT(数据包入本机)
    3. FORWARD(数据转发)
    4. OUTPUT(数据包出本机)
    5. POSTROUTING(路由后)
  4. 规则文章来源地址https://www.toymoban.com/news/detail-853799.html

    1. 处理运作
      1. ACCEPT
        1. 允许数据包通过
      2. DROP
        1. 直接丢弃数据包,不给任何回应信息
      3. REJECT
        1. 拒绝数据包通过,返回拒绝的回应信息
      4. SNAT
        1. 源地址转换,解决内网用户用同一个公网地址上网的问题
      5. MASQUERADE
        1. 伪装,是SNAT的一种特殊形式,适用于动态的、临时会变的IP上
      6. DNAT
        1. 目标地址转换
      7. REDRECT
        1. 在本机做端口映射
      8. LOG
        1. 在/var/log/message文件中记录日志信息,继续进行下一条规则

iptables 安装启动

  1. 以CentOS7为例
  2. 禁用selinux和firewalld
    systemctl stop firewalld;systemctl disable firewalld;setenforce 0;sed -i '/^SELINUX=/cSELINUX=disabled' /etc/selinux/config
    
  3. 安装启动iptables服务
    yum -y install iptables-services;systemctl enable iptables --now;systemctl status iptables
    
  4. 查看内核是否支持iptables
    lsmod|egrep "nat|filter"
    

iptables 配置详解

iptables配置文件

  1. ipv4
    vi /etc/sysconfig/iptables
    
  2. ipv6
    vi /etc/sysconfig/ip6tables
    

iptables配置语法

  1. 语法
    iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 运作]
    
  2. 管理选项
    选项 功能 备注
    -t 表 指定要操作的表 默认为filter表
    -A 向规则链中添加条目 在最后添加
    -D 从规则链中删除条目 指定条目内容
    -I 向规则链中插入条目 默认在最前插入
    -R 替换规则链中已有的条目
    -L 显示规则链中已有的条目
    -F 清空规则链中所有条目 注意,可能会断SSH
    -Z 清空规则链中的数据包计数器和字节计数器
    -N 创建新的用户自定义规则链
    -P 定义规则链中的默认目标
    -h 显示帮助信息
    -p 指定要匹配的数据包协议类型
    -s 指定要匹配的数据包源ip地址
    -d 指定要匹配的数据包目的ip地址
    -j 目标 指定动作
    -i 网络接口 指定数据包进入本机的网络接口
    -o 网络接口 指定数据包要离开本机所使用的网络接口

iptables常用实例

查看规则
  1. 默认为netfilter表,不解析,显示行号
    iptables -nL --line-numbers
    
修改默认规则
  1. 默认为netfilter表,修改INPUT链默认规则为"DROP"
    iptables -P INPUT DROP
    
保存和备份规则
  1. 修改的规则临时生效
  2. 如果要永久生效需要保存配置
  3. 命令
    1. 保存配置
      iptables-save
      
    2. 备份配置
      iptables-save > /mnt/iptables_bak_$(date "+%Y-%m-%d_%H:%M")
      
恢复备份的规则
  1. 命令
    iptables-restore 备份的文件名
    
清空规则
  1. 默认为netfilter表,清空规则,如果默认规则不是ACCEPT,会造成SSH立即断开
    iptables -F
    
放行SSH服务
  1. 源IP:192.168.86.2
  2. 目的IP:192.168.99.202
  3. SSH端口:22
  4. 命令
    iptables -I INPUT -s 192.168.86.2 -d 192.168.99.202 -p tcp --dport 22 -j ACCEPT
    iptables -I OUTPUT -s 192.168.99.202 -d 192.168.86.2 -p tcp --sport 22 -j ACCEPT
    
在ubuntu14.04中iptables规则持久化
  1. 修改规则–保存规则为文件–制作开启启动脚本,自动载入文件中规则
  2. 脚本
    #!/bin/bash
    # 修改规则(略)
    # 查看规则
    iptables -nL --line-numbers
    # 保存规则到文件
    sudo mkdir /etc/iptables
    sudo iptables-save > /etc/iptables/rules.v4
    # 制作开机脚本
    sudo iptables-save > /etc/iptables/rules.v4
    cat >> /etc/network/if-pre-up.d/iptables << EOF
    #!/bin/sh
    /sbin/iptables-restore < /etc/iptables/rules.v4
    EOF
    sudo chmod +x /etc/network/if-pre-up.d/iptables
    ```![在这里插入图片描述]Linux_iptables防火墙学习笔记,Linux学习笔记,linux,学习,笔记)
    
    

到了这里,关于Linux_iptables防火墙学习笔记的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Linux防火墙之iptables(下)

    承接上文,上文介绍了iptables的工作原理,四表五链,以及基本规则的增删改查。本文为上文的拓展,继续延申iptables规则设置的匹配方式。以及如何备份,还原iptables设置,还有修改iptables的初始化设置  1.通用匹配 1.1 协议匹配  1.2 地址匹配  1.3 接口匹配  2.隐含匹配  2.

    2024年01月19日
    浏览(42)
  • Linux下iptables防火墙配置

    目录 一.Linux防火墙基础 1.1 防火墙概述 1.2  四表五链 二. iptables--命令 2.1 iptables的安装 2.2 iptables的配置方法  三.配置Filter表防火墙 3.1 列出(fliter)表中的所有链  iptables -L 3.2 使用数字形式(fliter)表所有链显示输出结果iptables -nL  3.3 清空表中所有链iptables -t filter -F 3.4 添

    2024年02月05日
    浏览(40)
  • linux iptables安全技术与防火墙

    一、入侵检测系统 二、防火墙 1.特点 2.防火墙分类 3.按实现方式划分 4.按网络协议划分 5.Netfilter 6.iptables 三、防水墙 四、tcpdump抓包 五、实验演示 1.SNAT                            是不阻断任何网络访问,量化、定位来自内外网络的威胁情况, 主要以提供报警和事后监督

    2024年02月08日
    浏览(42)
  • linux防火墙查看状态firewall、iptable

    1、iptables防火墙 查看防火墙状态  service iptables status 停止防火墙 service iptables stop 启动防火墙 service iptables start 重启防火墙 service iptables restart 永久关闭防火墙 chkconfig iptables off 永久关闭后重启 chkconfig iptables on 开启80端口 vim /etc/sysconfig/iptables 加入一下代码 -A INPUT -m state --s

    2024年01月16日
    浏览(59)
  • Linux网络服务之iptables防火墙工具

    Netfilter是一个Linux内核功能,用于在网络数据包从网络堆栈进入或离开时进行包过滤和操作。 Netfilter内称为防火墙的“内核态”。 Firewalld和Iptables 都不是防火墙,是 防火墙管理工具 ,被称为防火墙的“用户态”。 Centos 7中默认管理防火墙规则的工具是firewalld。 由软件包ip

    2024年02月12日
    浏览(40)
  • Centos上 关闭Linux防火墙(iptables) 及 SELinux

    一、关闭防火墙 1、重启后永久性生效: 开启: chkconfig iptables on 关闭: chkconfig iptables off 2、即时生效,重启后失效: 开启: service iptables start 关闭: service iptables stop 在开启了防火墙时,做如下设置,开启相关端口,修改 /etc/sysconfig/iptables 文件,添加以下内容: -A INPUT

    2024年02月08日
    浏览(41)
  • Linux防火墙学习笔记6

    制定iptables规则策略: 黑名单: 没有被拒绝的流量都可以通过,这种策略下管理员必须针对每一种新出现的攻击,制定新的规则,因此不推荐。 白名单: 没有被允许的流量都要被拒绝,这种策略比较保守,根据需要,主机逐渐开放,目前一般都采用白名单的策略,推荐。

    2024年02月08日
    浏览(49)
  • 【防火墙】iptables防火墙(一)

    防火墙具有 隔离功能 主要部署在网络边缘或者主机边缘,防火墙的主要作用是 决定哪些数据可以被外网访问,哪些数据可以进入内网访问 网络层(路由器):数据的转发 安全技术 1.入侵监测系统:在检测到威胁(木马、病毒)后,不会阻断网络访问,只会在事后提供报警

    2024年02月15日
    浏览(49)
  • iptables防火墙2

    SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由) SNAT原理:修改数据包的源地址。 SNAT转换前提条件: 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址 2.Linux网关开启IP路由转发 临时打开: 或 永久打开: SNAT转换 1:固定的

    2024年02月05日
    浏览(45)
  • iptables 防火墙(二)

    目录 1. SNAT 策略及应用 1.1 SNAT策略概述  1. 只开启路由转发,未设置地址转换的情况 2. 开启路由转发,并设置SNAT转换的情况 1.2 SNAT策略的应用 1. 2.1 共享固定IP上网 (1)打开网关的路由转发 (2)设置正确的SNAT策略 (3)测试SNAT共享接入结果 1.2.2 共享动态IP 地址上网 2. DN

    2024年02月03日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包