iptables防火墙笔记之三

Iptables防火墙(三)

防火墙备份及还原

备份:iptables-save   ##默认iptables-save只是查看,想要保存要加“>”重定向

“-t 表名”可单独输出想要查看的表

输出的信息以“#”号开头的为注释,“*表名”表示所在的表“:链名 默认策略”

还原:iptables-restore   ##结合“< 备份路径”恢复即可

自动启用防火墙规则

使用iptables-save >/etc/sysconfig/iptables  #保存到这个目录

也可以使用 service iptables save  ##同上一样的效果自动保存至/etc/sysconfig/iptables

开机启动服务:

[[email protected] ~]# chkconfig --level2345 iptables on

[[email protected] ~]# chkconfig --listiptables

iptables      0:关闭   1:关闭     2:启用    3:启用    4:启用    5:启用    6:关闭

使用防火墙脚本

#!/bin/bash

##########定义基本变量#################

INET_IF="eth0"

INET_IP="169.1.1.1"                       //外网IP

LAN_IF="eth1"                        //内网接口

LAN_IP="192.168.2.1"                 //内网接口IP

LAN_NET="192.168.2.0"                //内网网段

LAN_WWW_IP="192.168.2.254"           //网站服务器IP

IPT="/sbin/iptables"                //iptables命令路径

MOD="/sbin/modprobe"                //modprobe命令路径

CTL="/sbin/sysctl"                 //sysctl命令的路径

#########加载内核模块###########

$MOD ip_tables                  //iptables基本模块

$MOD ip_conntrack               //连接跟踪模块

$MOD ip_REJECT                  //支持拒绝操作模块

$MOD ipt_LOG                    //日志记录范围

$MOD ipt_iprange                //支持IP范围

$MOD xt_tcpudp                  //支持TCP、UDP协议

$MOD xt_state                   //支持状态匹配

$MOD xt_multiport               //支持多端口匹配

$MOD xt_mac                     //支持MAC地址匹配

$MOD ip_nat_ftp                 //支持FTP地址转换

$MOD ip_conntrack_ftp           //支持FTP连接跟踪

#########调整/proc参数##############

$CTL -w net.ipv4.ip_forward=1                                     //打开路由转发功能

$CTL -wnet.ipv4.ip_default_ttl=128                               //修改ICMP响应超时

$CTL -w net.ipv4.icmp_echo_ignore_all=1                         //拒绝响应ICMP请求

$CTL -wnet.ipv4.icmp_echo_ignore_broadcasts=1                  //拒绝响应ICMP广播

$CTL -w net.ipv4.tcp_syncookies=1                             //启用SYN Cookie机制

$CTL -w net.ipv4.tcp_syn_retries=3                           //最大SYN请求重试次数

$CTL -wnet.ipv4.tcp_synack_retries=3                        //最大ACK确认重试次数

$CTL -wnet.ipv4.tcp_fin_timeout=60                         //TCP连接等待超时

$CTL -wnet.ipv4.tcp_max_syn_backlog=3200                  //SYN请求的队列长度

########清理已有规则##############

$IPT -t filter -X

$IPT -t nat -X

$IPT -t mangle -X

$IPT -t raw -X

$IPT -t filter -F

$IPT -t nat -F

$IPT -t mangle -F

$IPT -t raw –F

#########设置默认策略#########

$IPT -p INPUT DROP

$IPT -P FORWARD DROP

$IPT -P OUTPUT ACCEPT

########nat设置###########

$IPT -t nat -A POSTROUTING -s$LAN_NET -o $INET_IF -j SNAT --to-source $INET_IP

$IPT -t nat -A PREROUTING -I$INET_IF -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $LAN_WWW_IP

其它设置可以跟据公司实际情况更改及添加

时间: 2024-12-16 15:35:07

iptables防火墙笔记之三的相关文章

iptables防火墙笔记之一

Iptables防火墙(一) Netfilter和iptables都用来指linux防火墙,下面来说一下两者的区别 Netfilter:指的是linux内核中实现包过滤防火墙的内部结构,不以程序或文件形式存在,属于"内核态"(kernel space,又称做内核空间)的防火墙功能体系 Iptables:指的是用来管理linux防火墙的命令程序,通常位于/sbin/iptables,属于"用户态"(user space,又称用户空间)的防火墙管理体系 Iptables

【整理笔记-防火墙】实现iptables防火墙搭建

搭建防火墙,配置防火墙. - - 系统centos7 . centos7自带firewalld,由于看firewalld命令行没有接触过,所以安装iptables防火墙. 1:禁用firewalld firewall-cmd --state 查看系统自带防火墙状态. 用systemctl stop firewalld.service   禁止立即生效, systemctl disable firewalld.service  永久关闭firewalld.执行完再看一下防火墙状态, 显示为not

[moka同学摘录]iptables防火墙规则的添加、删除、修改、保存

文章来源:http://www.splaybow.com/post/iptables-rule-add-delete-modify-save.html 本文介绍iptables这个Linux下最强大的防火墙工具,包括配置iptables三个链条的默认规则.添加iptables规则.修改规则.删除规则等. 一.查看规则集 iptables --list -n // 加一个-n以数字形式显示IP和端口,看起来更舒服 二.配置默认规则 iptables -P INPUT DROP  // 不允许进  

Iptables防火墙(一)

一.Linux防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. netfilter和iptables都用来指Linux防火墙,主要区别是: netfilter:指的是linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"的防火墙功能体系. iptables:指的是用来管理linux防火墙的命令程序,通常位于/sbin/iptables目录下,属于"用户态"的防火墙管理体系. 1.iptables的表.链结构 Ipt

iptables防火墙高级应用

iptables 防火墙(主机防火墙) 前言:我们在以前学习过asa防火墙,对防火墙有一定的了解,那么iptables和asa防火墙类似,作用一样,都是为了保证网络安全,系统安全,服务器的安全,和asa一样也需要建立策略,个人觉得比asa的策略要繁琐一点,但只要多做几遍,也就简单了. 一.防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. 1.iptables的表.链结构 Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默

Linux下的配置iptables防火墙增强服务器安全

Linux下的配置iptables防火墙增强服务器安全 实验要求 iptables常见概念 iptables服务器安装及相关配置文件 实战:iptables使用方法 例1:使用iptables防火墙保护公司web服务器 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 例3:限制某些IP地址访问服务器 例4:使用DNAT功能把内网web服务器端口映射到路由器外网 实验环境 iptables服务端:xuegod-63   IP:192.168.1.63 iptables客户端:x

33. 蛤蟆的数据结构笔记之三十三广义表实现二

33. 蛤蟆的数据结构笔记之三十三广义表实现二 本篇名言:" 希望是附丽于存在的,有存在,便有希望,有希望,便是光明.--鲁迅" 我们继续来看下广义表的其他代码实现.代码均来自网络,解释来自蛤蟆,均亲测可行. 欢迎转载,转载请标明出处: 1.  广义表实现二 1.1         main 创建两个链表的指针head和L. 输入一个字符串,调用GLCreate函数创建广义表.显示,获取头表,尾表,输出长度,深度,原子个数,复制列表,Merge列表,遍历,比较广义表操作. 如下图1:

iptables防火墙应用

安全服务--Iptables  一.网络安全访问控制我们都知道,Linux一般作为服务器使用,对外提供一些基于网络的服务,通常我们都需要对服务器进行一些网络控制,类似防火墙的功能,  常见的访问控制包括:那些IP可以访问服务器,可以使用那些协议,那些接口.那些端口 是否需要对数据包进行修改等等.如果某服务器受到攻击,或者来自互联网哪个区域或者哪个IP的攻击,这个时候应该禁止所有来自该IP的访问.那么Linux底层内核集成了网络访问控制,通过netfilter模块来实现.  iptables作用:

基于linux的web服务器的iptables防火墙安全优化设置

安全规划:开启 80  22 端口并 打开回路(回环地址 127.0.0.1) #iptables –P INPUT ACCEPT #iptables –P OUTPUT ACCEPT #iptables –P FORWARD ACCEPT 以上几步操作是为了在清除所有规则之前,通过所有请求,如果远程操作的话,防止远程链接断开. 接下来清除服务器内置规则和用户自定义规则: #iptables –F #iptables -X 打开ssh端口,用于远程链接用: #iptables –A INPUT