centos 防火墙与其一些规则设置

开头:资料来源网上搜索,整理成自己的笔记形式

一.IPTABLES服务状态的检查:

命令:service iptables status

情形1:防火墙服务已安装,但还未运行

[[email protected] ~]# service iptables status

iptables: Firewall is not running.

情形2:如图表示防火墙服务已安装且已开启,但还是未配置状态。

情形3:表示防火墙服务尚未安装

二.IPTABLES服务的安装与开启等维护方式:

  1. 安装:(此处以yum为例) yum install -y iptables

2.开启: service iptables start  与此相应的关闭: service iptables stop

三.IPTABLES的基础配置知识

I:常见的参数:

-A  附加在末尾

-I  插入指定位置

-d  目的地址

-D  删除某条规则        比如:iptables -D INPUT 8

-n  只显示IP地址和端口号,不将ip解析为域名

-R  替换某条规则   比如: iptables -R INPUT 1 -s 192.168.0.1 -j DROP 把第一条规则替换为 指定源IP:192.168.0.1 不允许登录

-i  指定网卡名称如eth0    #指定进入接口,要在INPUT链上定义

-o  指定网卡名称如eth0    #指定传出接口,要在OUTPUT链上定义

-m 模块调用   模块选项加载iptables功能模块

-L  查看规则的配置信息  常与 --line-numbers 选项连用, 显示规则的序号信息

II.常见的操作:

  1. 清空所有规则: iptables -F
  2. 情况自定义的所有规则:  iptables -X
  3. 屏蔽IP段:

形如:

#屏蔽整个段(A类地址)即从192.0.0.1到192.255.255.254,则添加以下规则。

-I INPUT -s 192.0.0.0/8 -j DROP

#封IP段(B类地址)即从192.168.0.1到192.168.255.254,则添加以下规则。

-I INPUT -s 192.168.0.0/16 -j DROP

#封IP段(C类地址)即从192.168.200.1到192.168.200.254,则添加以下规则。

-I INPUT -s 192.168.200.0/24 -j DROP

4.指定物理地址访问:-m mac --mac-source

形如 iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT

5.匹配数据包的字段内容: -mstring --string "想要匹配的数据包中字串"

形如:

iptables -A FORWARD -p udp --dport 53 -m string --string "tencent"--algo kmp -j DROP

#通过UDP协议并匹配关键字

#--algo指定字符串模式匹配策略,支持KMP和BM两种字符串搜索算法,二者中任意指定一个即可。

6.网口转发配置

对于用作防火墙或网关的服务器,一个网口连接到公网,其他网口的包转发到该网口实现内网向公网通信,假设eth0连接内网,eth1连接公网,配置规则如下:

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

7.端口转发配置

对于端口,我们也可以运用iptables完成转发配置:

iptables -t nat -A PREROUTING -p tcp -d 192.168.0.1 --dport 80 -j DNAT --to 192.168.1.1:8080

以上命令将源IP:192.168.0.1的80端口的包转发到192.168.1.1的8080端口

8.指定网卡同时配置连续端口规则:iptables -A INPUT -i eth0 -p tcp -s 192.168.140.0/24 --dport 137:139 -j ACCEPT #允许访问137到139端口 备注:多端口的配置另外一种方式:通过逗号分隔端口。如 iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -j ACCEPT

四.规则保存:

1.service iptables save 或 iptables-save

另存为的方式: service iptables save > /指定目录

iptables-save > /指定目录

备注: 防火墙规则在没保存之前,重启后是不生效的

2.#添加到自启动chkconfig
     chkconfig iptables on

3.还原规则的方式:

service iptables start   或 iptables-restore < /规则保存路径

备注:注意规则表的保存方式与还原方式是对应的,采用了什么方式的保存,就需要用什么方式进行还原。

五.进阶知识

  1. 规则表知识:

    五个规则表nat,mangle ,filter,raw,security 通过-t选项指定,默认为 filter。规则表的功能介绍:

    nat :拥有 Prerouting 和 postrouting 两个规则链,主要功能为进行一对一、一对多、多对多等网址转译工作(SNATDNAT),由于转译工作的特性,需进行目的地网址转译的封包,就不需要进行来源网址转译,反之亦然,因此为了提升改写封包的速率,在防火墙运作时,每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里,将会造成无法对同一包进行多次比对,因此这个规则表除了作网址转译外,请不要做其它用途。
    mangle:拥有 Prerouting、FORWARD 和 postrouting 三个规则链。
    除了进行网址转译工作会改写封包外,在某些特殊应用可能也必须去改写封包(TTL、TOS)或者是设定 MARK(将封包作记号,以进行后续的过滤),这时就必须将这些工作定义在 mangle 规则中,由于使用率不高,我们不打算在这里讨论 mangle 的用法。
    filter:这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规则链,这个规则表顾名思义是用来进行封包过滤的处理动作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我们会将基本规则都建立在此规则表中。

    nat: 用于配置数据包,raw 中的数据包不会被系统跟踪。

    security: 用于强制访问控制网络规则。

2.规则链:

表由链组成,链是一些按顺序排列的规则的列表。

iptables一共有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五个规则链。对应的规则链可表述为:

INPUT:网络数据包流向服务器

OUTPUT:网络数据包从服务器流出

FORWARD:网络数据包经服务器路由

PREROUTING, (prerouting, pre-route,预路由, 到达前)网络数据包到达服务器时可以被修改

POSTROUTING, (postrouting, post-route,流出前) 网络数据包在即将从服务器发出时可以被修改

3.规则表中的常用的处理动作:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK:

ACCEPT: 将封包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则链(natostrouting)。
    REJECT: 拦阻该封包,并传送封包通知对方,可以传送的封包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是tcp-reset(这个封包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接 中断过滤程序。简单示例如下:

iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset

DROP: 丢弃封包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。

REDIRECT: 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将 会继续比对其它规则。这个功能可以用来实作通透式porxy 或用来保护 web 服务器。例如:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

LOG: 将封包相关讯息纪录在 /var/log 中,详细信息可以查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其规则。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
    SNAT: 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则(mangleostrouting)。对于snat,不管是几个地址,必须明确的指定要snat的IP。假如我们的计算机使用ADSL拨号方式上网,那么外网IP是动态的,这时候我们可以考虑使用MASQUERADE 相应的范例如下:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

MASQUERADE:改写封包来源 IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则(mangleostrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用。范例如下:
iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000

DNAT: 改写封包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规炼(filter:input 或 filter:forward)。范例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination
192.168.1.1-192.168.1.10:80-100
    MIRROR: 镜射封包,也就是将来源 IP 与目的地 IP 对调后,将封包送回,进行完此处理动作后,将会中断过滤程序。
    QUEUE: 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费.......等。
    RETURN:结束在目前规则炼中的过滤程序,返回主规则炼继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当提早结束子程序并返回到主程序中。
    MARK: 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:

iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2

4.参考链接:

I:http://beginman.cn/python/2015/09/08/linux-firewall/            II:https://wiki.archlinux.org/index.php/Iptables_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)

III:https://wiki.centos.org/zh/HowTos/Network/IPTables

时间: 2024-10-07 06:00:01

centos 防火墙与其一些规则设置的相关文章

CentOS系统IPTables防火墙中FTP规则设置

时间 2016-04-21 10:32:15  虫虫开源 原文  http://www.sijitao.net/2403.html 主题 iptablesFTP防火墙 在设置ftp通过iptables规则前,需要先了解下ftp工作的两种模式,他们分别是主动模式和被动模式.如果对ftp原理不是很清楚,可以先参考下下面几篇文章. FTP简介 1. FTP主动模式和被动模式的区别 2. Active FTP vs. Passive FTP, a Definitive Explanation 简单的说,

linux设置iptables防火墙的详细步骤(centos防火墙设置方法)

我们 来讨论一下如何为你的CentOS 服务器来设置简单的防火墙. 这里我们以DigitalOcean的CentOS 6 VPS为基础来讨论的,同样也适用于 阿里云上其他类型的LINUX系统. (阿里云有个云盾系统,因此在你自己的VPS上不设置防火墙也是可以的) 需要说明的是: 本文只涉及最基础最常用的防火墙设置,能屏蔽一些常用的攻击,但并不能彻底保证你的服务器的安全. 系统的随时更新 以及 关闭不必要的服务 仍然是保证系统安全非常重要的步骤. 如果你需要更全面的了解iptables,阅读本文后

设置CentOS防火墙开放port

?? 在我们使用CentOS系统的时候,CentOS防火墙有时是须要改变设置的. CentOS防火墙默认是打开的,设置CentOS防火墙开放port方法例如以下: 打开iptables的配置文件: vi /etc/sysconfig/iptables 改动CentOS防火墙时注意:一定要给自己留好后路,留VNC一个管理port和SSh的管理port 以下是一个iptables的演示样例: # Firewall configuration written by system-config-secu

设置CentOS防火墙开放端口

 在我们使用CentOS系统的时候,CentOS防火墙有时是需要改变设置的.CentOS防火墙默认是打开的,设置CentOS防火墙开放端口方法如下: 打开iptables的配置文件: vi /etc/sysconfig/iptables 修改CentOS防火墙时注意:一定要给自己留好后路,留VNC一个管理端口和SSh的管理端口 下面是一个iptables的示例: # Firewall configuration written by system-config-securitylevel #

Centos防火墙设置与端口开放的方法

Centos升级到7之后,内置的防火墙已经从iptables变成了firewalld.所以,端口的开启还是要从两种情况来说明的,即iptables和firewalld.更多关于CentOs防火墙的最新内容,请参考Redhat官网. 一.iptables 1.打开/关闭/重启防火墙 开启防火墙(重启后永久生效):chkconfig iptables on 关闭防火墙(重启后永久生效):chkconfig iptables off 开启防火墙(即时生效,重启后失效):service iptables

Linux安全调优1:CentOS防火墙的设置与优化

CentOS防火墙的设置与优化 时间:2014-09-11 02:11来源:blog.csdn.net 作者:成长的小虫 的BLOG 举报 点击:4908次 一.设置主机防火墙. 开放: 服务器的:web服务.vsftpd 文件服务.ssh远程连接服务.ping 请求. 1.开放sshd服务 开放流入本地主机,22端口的数据报文.   [[email protected] ~]# iptables -A INPUT --destination 192.168.60.99 -p tcp --dpo

解决宿主机不能访问虚拟机CentOS中的站点 | 更新CentOS防火墙设置开启80端口访问

前阵子在虚拟机上装好了centos6.0,并配好了nginx+php+mysql,但是本机就是无法访问.一直就没去折腾了. 具体情况如下 1.本机能ping通虚拟机 2.虚拟机也能ping通本机 3.虚拟机能访问自己的web 4.本机无法访问虚拟己的web 后来发现是防火墙将80端口屏蔽了的缘故. 检查是不是服务器的80端口被防火墙堵了,可以通过命令:telnet server_ip 80 来测试. 1>.解决方法如下: 1 /sbin/iptables -I INPUT -p tcp --dp

windows文件共享 防火墙规则设置

防火墙入站规则.完成以下两项设置即可. 设置一 操作:允许连接协议类型:UDP本地端口:137, 138远程端口:所有端口 设置二 操作:允许连接协议类型:TCP本地端口:139, 445远程端口:所有端口 =========下无正文======== 原文地址:https://www.cnblogs.com/osfipin/p/10360846.html

iptables防火墙规则设置

#注:Linux7 默认启用的是firewalld.service,要启用iptables,需要关闭firewalld.service systemctl stop firewalld.service;systemctl disable firewalld.service yum install iptables -y;systemctl start iptables.service;systemctl enable iptables.service 规则设置: 规则1:控制单个IP的最大并发连