iptables防火墙火墙服务

一.iptables介绍

二.安装服务并开启服务

yum install iptables-services.x86_64

systemctl stop firewalld

systemctl disable firewalld

systemctl mask firewalld

systemctl start iptables.service

systemctl enable iptables.service

systemctl status iptables.service

三.参数的相关解释和用法

iptable

-t##指定表名称

-n##不作解析

-L##列出指定表中的策略

-A##增加策略

-p##网络协议

--dport ##端口

-s##数据来源

-j##动作

ACCEPT##允许

REJECT  ##拒绝

DROP##丢弃

-N##增加链

-E##修改链名称

-X##删除链

-D##删除指定策略

-I##插入

-R##修改策略

-P##修改默认策略

iptables  -t filter -nL#查看filter表中的策略

iptables  -F#刷掉filter表中的所有策略,当没有用-t指定表名称时默认时filter

service iptables save#保存当前策略

iptables -A INPUT -i lo -j ACCEPT#允许lo

iptables -A INPUT -p tcp --dport 22 -j ACCEPT##允许访问22端口

iptables -A INPUT -s 172.25.254.224 -j ACCEPT##允许224主机访问本机所有端口

iptables -A INPUT -j REJECT ##拒绝所有主机的数据来源

iptables -N redhat##增加链redhat

iptables -E redhat westos##改变链名称

iptables -X westos##删除westos链

iptable -D INPUT 2##删除INPUT链中的第二条策略

iptables -I INPUT  -p tcp --dport 80  -j REJECT##插入策略到INPUT中的第一条

iptables -R INPUT 1 -p tcp --dport 80 -j ACCEPT##修改第一条策略

iptable -P INPUT DROP##把INPUT表中的默认策略改为drop

四.数据包状态策略(缓解压力,提高速度)

iptables -A INPUT -m state --state RELATED,ESTABLISHED  -j ACCEPT

允许RELATED,ESTABLISHED 状态通过

iptables -A INPUT -i lo -m state --state NEW -j ACCEPT

允许lo回环接口状态为NEW通过

iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT

允许访问端口22状态为NEW通过

iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

允许访问端口80状态为NEW通过

iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT

允许访问端口443状态为NEW通过

iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT

允许访问端口53状态为NEW通过

iptables -A INPUT -j REJECT

拒绝所有主机的数据来源

该策略第一次通过后状态会变为RELATED或ESTABLISHED,此后访问时直接通过iptables,不会给iptables带来访问压力。

五.vsftp在iptables下的设置(编写策略让自己开启的非默认端口可以正常工作)

ftp在主动模式下会随机打开一个大于1024的端口,所以开启防火墙后会被禁掉,无法正常使用

1. 编辑配置文件  vim /etc/vsftpd/vsftpd.conf  ,并且修改selinux的状态

pasv_max_port=7000

pasv_min_port=7000

systemctl restart vsftpd  重启服务

setenforce 0

2.测试

lftp 172.25.254.24

ls     查看内容,无法显示

3.添加火墙策略

iptables -I INPUT 3 -m stat --state NEW -p tcp --dport 7000 -j ACCEPT

4.测试

lftp 172.25.254.24

ls    查看内容,可以显示

六.iptables的伪装

1.查看内核路由功能,若没有打开则打开内核路由功能。

sysctl -a | grep forward     查找内核路由功能开关

echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.conf     打开内核路由功能

sysctl -p                    查看内核路由功能的状态。0表示关闭,1表示打开

2.配置主机双网卡ip

eth0的IP:172.25.254.124   eth1的IP:172.25.0.124

3.添加火墙策略

SNAT转换(源地址转换在路由完成之后转换):

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.124

DNAT转换(目的地转换在路由完成之前转换)

iptables -t nat -A PREROUTING  -i eth1 -j DNAT --to-dest 172.25.0.224

4.测试

SNAT测试:

1.配置测试主机(另外一台虚拟机)的网卡ip,网关

IP:172.25.0.224  GATEWAY=172.25.0.124

2.用ssh连接另外一台主机172.25.254.24

ssh [email protected]

查看网络ifconfig    显示的是172.25.254.124

DNAT测试:

1.用ip:172.25.254.24(真机)去连接172.25.254.124

ssh [email protected]

2.ifconfig查看网络    显示的是172.25.0.224

时间: 2024-08-24 18:08:57

iptables防火墙火墙服务的相关文章

2-10~2-11 配置iptables防火墙增强服务 selinux简单讲解

学习一个服务的过程: 1.此服务器的概述:名字,功能,特点,端口号 2.安装 3.配置文件的位置 4.服务启动关闭脚本,查看端口 5.此服务的使用方法 6.修改配置文件,实战举例 7.排错(从下到上,从内到外) ------------------------------------- iptables概述 netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成. netfilter/iptables 关系: netfilt

CentOS 7.0启用iptables防火墙

作者为了配置防火墙,寻找iptables服务不得,直到某一刻! 才发现,我用的是centos7 ,而这个版本的防火墙,默认使用的是firewall,与之前的版本使用iptables是不一样的,这点很重要! 所以如果要配置防火墙,开启端口的话,可以用如下做法: 1.关闭firewall: systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2.安装iptab

2-7-配置iptables防火墙增加服务器安全

本节所讲内容: ?        iptables常见概念 ?        iptables服务器安装及相关配置文件 ?        实战:iptables使用方法 ?        例1:使用iptables防火墙保护公司web服务器 ?        例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 ?        例3:限制某些IP地址访问服务器 ?        例4:使用DNAT功能把内网web服务器端口映射到路由器外网 ?        selinux概述-状

Linux iptables防火墙添加删除端口

一.  Linux 防火墙的启动和关闭1.1 启动命令[[email protected] ~]# service iptables stopFlushing firewall rules:                                   [  OK  ]Setting chains to policy ACCEPT: filter nat                [  OK  ]Unloading iptables modules:                  

CentOS7安装iptables防火墙

CentOS7默认的防火墙不是iptables,而是firewalle. 安装iptable iptable-service #先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级iptables yum update iptables #安装iptables-services yum install iptables-services 禁用/停止自带的firewalld服务 #停止fir

Iptables防火墙(一)

一.Linux防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. netfilter和iptables都用来指Linux防火墙,主要区别是: netfilter:指的是linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"的防火墙功能体系. iptables:指的是用来管理linux防火墙的命令程序,通常位于/sbin/iptables目录下,属于"用户态"的防火墙管理体系. 1.iptables的表.链结构 Ipt

【整理笔记-防火墙】实现iptables防火墙搭建

搭建防火墙,配置防火墙. - - 系统centos7 . centos7自带firewalld,由于看firewalld命令行没有接触过,所以安装iptables防火墙. 1:禁用firewalld firewall-cmd --state 查看系统自带防火墙状态. 用systemctl stop firewalld.service   禁止立即生效, systemctl disable firewalld.service  永久关闭firewalld.执行完再看一下防火墙状态, 显示为not

CentOS7安装配置iptables防火墙

转载请注明出处:http://blog.csdn.net/l1028386804/article/details/50779761 CentOS7默认的防火墙不是iptables,而是firewalle. 安装iptable iptable-service [plain] view plain copy #先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级iptables yum upd

iptables防火墙高级应用

iptables 防火墙(主机防火墙) 前言:我们在以前学习过asa防火墙,对防火墙有一定的了解,那么iptables和asa防火墙类似,作用一样,都是为了保证网络安全,系统安全,服务器的安全,和asa一样也需要建立策略,个人觉得比asa的策略要繁琐一点,但只要多做几遍,也就简单了. 一.防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. 1.iptables的表.链结构 Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默