linux-防火墙iptables

防火墙

主机型防火墙（自己保护自己）

网络型防护墙（保护某个网络）

实现方式分硬件防火墙软件防火墙

iptables

172.40.55.10 (要使用iptables保护自己)

[[email protected] ~]# rpm -q iptables

iptables-1.4.7-16.el6.x86_64

[[email protected] ~]#

内核态 filter (功能)

用户态 iptables （管理工具）

4张表（功能）

raw 做状态跟踪

mangle 打标签

nat 做地址或端口转换

filter 默认表，对ip包做过滤 (3条链 INPUT OUTPUT FORWARD)

5条链（ip包传输的方向）

INPUT 处理进入防火墙本机的ip包

OUTPUT 处理从防火墙本机出去的ip包

FORWARD 处理从防火墙本机经过的ip包

POSTROUTING 路由后处理

PREROUTING 路由前处理

管理选项

查看 -L

清空所有规则 -F

给表中的链设置默认规则 -P

给表中的链添加新规则

-A 新规则在已有规则的末尾

-I 新规则添加在已有规则的上方

-I 编号新规则添加指定规则的上方

-D 删除某条规则

匹配条件

-s 指定ip包中的源地址 172.40.55.10 172.40.55.0/24

-d 指定ip包中的目标地址 172.40.55.10 172.40.55.0/24

-p 数据传输协议 tcp udp icmp

--dport 目标端口

--sport 源端口

-i 指定ip包进入的网络接口

-o 指定ip包出去的网络接口

处理动作

DROP

REJECT

编写防火墙规则

iptables -t 表名管理选项链名匹配条件 -j 处理动作

iptables -t filter -P INPUT DROP

iptables -t filter -A INPUT -s 172.40.55.10 -j ACCEPT

iptables -t filter -L INPUT

[[email protected] ~]# iptables -t filter --line-numbers -nL INPUT

Chain INPUT (policy ACCEPT)

num target prot opt source destination

1 ACCEPT all -- 172.40.55.10 0.0.0.0/0

[[email protected] ~]#

iptables -I INPUT -s 172.40.55.190 -p tcp --dport 22 -j ACCEPT

iptables -I INPUT 2 -s 172.40.55.103 -p tcp --dport 22 -j ACCEPT

iptables -t filter -D INPUT 2

iptables -F INPUT

iptables -F

只允许自己Ping别人不允许ping自己

iptables -t filter -P INPUT DROP

iptables -t filter -P OUTPUT DROP

iptables -F

iptables -t filter -A OUTPUT -p icmp --help

iptables -t filter -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

++++++++++++++++++++++++++++++

iptables -t filter -P INPUT ACCEPT

iptables -t filter -P OUTPUT ACCEPT

iptables -F

iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j REJECT

iptables -t filter -A OUTPUT -d 172.40.55.10 -p tcp --dport 22 -j DROP

ssh [email protected]

++++++++++++++++++++++++++++++++++++++++

[[email protected] ~]# iptables -A INPUT -s 192.168.4.120 -j DROP

[[email protected] ~]# iptables -A INPUT -s 10.0.10.0/24 -j DROP

[[email protected] ~]# iptables -A FORWARD -s 192.168.0.0/16 -i eth1 -j DROP

[[email protected] ~]# iptables -A FORWARD -s 172.16.0.0/16 -i eth1 -j DROP

iptables -t filter -P INPUT DROP

iptables -t filter -A INPUT -s 172.40.55.0/24 -j ACCEPT

iptables -t filter -I INPUT -s 172.40.55.10 -j DROP

[[email protected] ~]# iptables -A FORWARD -s 192.168.0.0/16 -i eth1 -j DROP

[[email protected] ~]# iptables -A FORWARD -s 172.16.0.0/16 -i eth1 -j DROP

[[email protected] ~]# iptables -A INPUT -s 192.168.168.0/24 \

-p tcp --dport 22 -j ACCEPT

[[email protected] ~]# iptables -A INPUT -s 220.181.78.0/24 -p tcp --dport 22 -j ACCEPT

[[email protected] ~]# iptables -A INPUT -p tcp --dport 22 -j DROP

[[email protected] ~]# iptables -A INPUT ! -s 192.168.168.0/24 -p tcp --dport 20:21 -j DROP

[[email protected] ~]# iptables -A INPUT -p icmp --icmp-type \

echo-request -j DROP

[[email protected] ~]# iptables -A INPUT -p icmp ! --icmp-type \

echo-request -j ACCEPT

[[email protected] ~]# iptables -A OUTPUT -p icmp --icmp-type \

echo-request -j ACCEPT

[[email protected] ~]# iptables -A OUTPUT -p icmp ! --icmp-type \

echo-request -j DROP

扩展匹配条件

时间： 2025-01-22 00:55:45

linux-防火墙iptables的相关文章

linux防火墙--iptables（二）

五.filter过滤和转发 a.打开内核的IP转发 # sysctl -w net.ipv4.ip_forward=1 或 # echo 1 > /proc/sys/net/ipv4/ip_forward b.基本匹配条件 ·通用匹配 → 可直接使用,不依赖于其他条件或扩展 → 包括网络协议.IP地址.网络接口等条件 ·隐含匹配 → 要求以特定的协议匹配作为前提 → 包括端口.TCP标记.ICMP类型等条件类别选项用法通用匹配协议匹配 -p 协议名地址匹配 -s 源地址

Linux防火墙iptables简明教程

前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔除了许多冗余的内容,提取出尽量多的精华部分成文,和大家共同学习,本文涉及的内容包括如下 Linux防火墙iptables简明教程 1.安装iptables 2.查看现有的iptables规则 3.删除某iptables规则 4.清除现有iptables规则 5.创建规则 6.设置开机启动 7.保存i

linux防火墙--iptables（三）

七.SNAT源地址转换 ·Source Network Address Translation ·修改数据包的源地址 ·仅用于nat表的POSTROUTING链 Example:局域网共享公网IP上网 ·配置的关键策略 → 做完路由选择后,针对来自局域网.即将从外网接口发出去的数据包,将其源IP地址修改为网关的公网IP地址 # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 69.166

关于Linux防火墙iptables的面试问答

关于Linux防火墙'iptables'的面试问答 Nishita Agarwal是Tecmint的用户,她将分享关于她刚刚经历的一家公司(印度的一家私人公司Pune)的面试经验.在面试中她被问及许多不同的问题,但她是iptables方面的专家,因此她想分享这些关于iptables的问题和相应的答案给那些以后可能会进行相关面试的人. 所有的问题和相应的答案都基于Nishita Agarwal的记忆并经过了重写. "嗨,朋友!我叫 Nishita Agarwal.我已经取得了理学

linux 防火墙iptables简明教程

Linux防火墙(Iptables)的开启与关闭

Linux防火墙(iptables)的开启与关闭 Linux中的防火墙主要是对iptables的设置和管理. 1. Linux防火墙(Iptables)重启系统生效开启: chkconfig iptables on 关闭: chkconfig iptables off 2.Linux防火墙(Iptables) 即时生效,重启后失效开启: service iptables start 关闭: service iptables stop 需要说明的是对于Linux下的其它服务都可以用以上命令执行

Linux服务器集群架构部署搭建（二）linux防火墙iptables使用及NAT共享

第一章外网防火墙部署企业应用 1.1 生产中iptables的实际应用 ①iptables是基于内核的防火墙,功能非常强大,基于数据包的过滤!特别是可以在一台非常低的硬件配置下跑的非常好.iptables主要工作在OSI七层的2.3.4层.七层的控制可以使用squid代理+iptables. ②iptabes:生产中根据具体情况,一般,内网关闭,外网打开.大并发的情况不能开iptables,影响性能,iptables是要消耗CPU的,所以大并发的情况下,我们使用硬件防火墙的各方面做的很仔细.s

Linux防火墙--iptables学习

iptables是Linux系统提供的一个强大的防火墙工具,可以实现包过滤.包重定向.NAT转换等功能.iptables是免费的,iptables是一个工具,实际的功能是通过netfilter模块来实现的,在内核2.4版本后默认集成到了Linux内核中. 一. iptables的构成 1. 规则(rules) 规则是iptables对数据包进行操作的基本单元.即"当数据包符合规则定义的条件时,就按照规则中定义的动作去处理". 规则中定义的条件一般包括源地址/端口.目的地址/端口.传输协

Linux防火墙iptables/netfilter（一）

防火墙大家都不陌生,或者说都听说过,现实中的防火墙是将一个区域内的火隔离开来使之不蔓延到另一个区域,计算机领域的防火墙与之功能类似,也是为了隔离危险.在如今广阔的互联网领域内,我们一般会相信一个叫做"黑暗森林"的法则.对于这个法则大家可以去搜索一下,它是在<三体>系列小说中写出来的,大致意思是在黑暗丛林中我们无法判断对方对自己是否有恶意, 对方也无法判断我们是否有恶意,所以一见面就把对方灭掉.互联网中的恶意攻击者太多了,我们无法确定它们都是水更无法把它们灭掉,但是我们可以把

Linux防火墙iptables基础

IPtables基础简介 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙.NAT. iptables里面有4张表,分别是filter,NAT,mangle,raw表.运维人员的话主要关注的是filter和NAT表. filter:主要是过滤包的,内建三个链INPUT.OUTPUT以及FORWARD.INPUT作用于进入本机的包:OUTPUT作用于本机送出的包:FORWARD作用于那些跟本机无关的包. NAT:主要用户地址转换和端口映射,内建三个链,分别是PREOUTIN