iptables 主机防火墙

配置iptables 主机防火墙

iptables -F  #清空规则

iptables -X  #清空用户自定义链

iptables -Z  #清空计数器

第一步 配置允许SSH登录端口进入

iptables -nL

iptables -A INPUT -p tcp -s 10.0.0.0/24 -j ACCEPT  #这两条任意一条就行了。

iptables -A INPUT -p tcp --dport 52113 -j ACCEPT

第二步 设置允许本机回环端口的通信规则

iptables -A INPUT -i lo -j ACCEPT #打开本机回环接口允许通过

iptables -A OUTPUT -o lo -j ACCEPT

第三步 设置默认的防火墙禁止和允许的规则(主机防火墙的本质:默认规则是拒绝的。)

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT    (OUTPUT设置为ACCEPT,是安全易用方便的一个平衡)

iptables -nL

第四步 对外提供服务

开启信任的IP网段。

iptables -A INPUT -s 124.54.43.21/27 -p all -j ACCEPT  #允许办公室出口IP连接服务器(细化到掩码最小)

iptables -A INPUT -s 192.168.1.0/24 -p all -j ACCEPT #要有多个机房,多个机房的内网要互通

iptables -A INPUT -s 202.83.21.0/24 -p all -j ACCEPT #多个机房的外网网段允许访问

允许业务端口对外访问

iptables -A INPUT -p tcp --dport 80 -j ACCEPT  #允许80口对外访问/开放80口允许访问

iptables -A INPUT -P tcp --dport 443 -j ACCEPT #

允许ICMP类型协议通过

iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT #允许所有人PING

iptables -A INPUT -p icmp -s 10.0.0.0/24 -m icmp --icmp-type any -j ACCEPT  #只允许某些源地址PING

允许关联的包通过

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -nL

第五步 保存

/etc/init.d/iptables save

iptables-save> /etc/sysconfig/iptables  #两种方式

nmap 192.10.8.13 -p 1-65535  #扫描

时间: 2024-11-07 06:20:58

iptables 主机防火墙的相关文章

iptables 防火墙之主机防火墙

Linux因为其强大的防火墙功能而闻名,它主要依靠于iptables,一个运行在用户空间的应用软件,它可以通过控制Linux内核netfilter模块,来管理网络数据包的流动与转送.它解决了网络中很多攻击,比如网络中常见的端口扫描.用户密码暴力破解等. 一.防火墙模型 主机通信基本模型:报文进入主机后进入接受缓冲区缓冲,内核从中取报文处理,拆开数据帧检测是否是目标地址时本机地址,如果是则再拆TCP或UDP报文找到对应目的端口,发送给注册在内核的用户端进程:如果目标地址不是本机地址那么就查看是否转

iptables 防火墙之主机防火墙(2)

承接上一篇博文,这里讲述主机防火墙高级部分,一个内容一个示例,希望大家明白! 一.显式扩展: 必须显式地指明使用的扩展模块进行的扩展: 使用帮助: CentOS 6: man iptables CentOS 7: man iptables-extensions 1.multiport扩展 以离散方式定义多端口匹配:最多指定15个端口: [!] --source-ports,--sports port[,port|,port:port]...:指定多个源端口","表示离散的端口"

iptables基本应用--主机防火墙(服务器篇)

iptables四表:filter,nat,mangle,raw;五链:PREROUTING,INPUT,OUTPUT,FORWARD,POSTROUTING. 通常查看的表:filter(默认),nat: 查看filter表: 查看nat表: 编写表(定义规则): 数据的流向分为源和目标两种类型: 源和目标都是相对于iptables而言,数据包经由iptables,数据的发送者是source,数据要达到的目标方为destination,不以设备所处的角色和作用来区分源和目标. 查看规则的其他参

iptables/netfilter防火墙

既然名曰"防火墙",其对安全的主要性不言而喻,而防火墙分为硬件防火墙和软件防护墙,iptables/netfileter是软件防火墙,它又分为主机防火墙和网络防火墙.至于工作机制说白了就是预先定下规则然后对于进出本网络或主机的数据报文进行规则检测,然后对于满足规则的报文做出规则动作处理.而iptables组件就是在用户空间来让用户操作规则的工具,然后将这些规则放到内核空间的netfilter组件中来让内核对这些报文做指定的处理的(因为网络管理必然是要追根溯源到内核空间中的,那么就需要i

iptables(防火墙)的简单入门

进入图形化界面的防火墙命令 system-config-firewall 查看防火墙配置 vi /etc/sysconfig/iptables 1.iptables的组成结构 iptables将防火墙的功能分成多个表(tables) filter:用于一般的数据包过滤 NAT:Network Address Translation/网络地址转换 tables又包含多个链(chains),例如包过滤表中就包含了下面三个链: 1)INPUT //在此链中可添加对进来的数据包过滤的规则 2)OUTPU

Linux命令:iptables网络防火墙

Linux命令:iptables 网络防火墙 一.iptables的发展: iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具.但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的).当内核发展到2.x系列的时候,软件更名为ipchains,它可以定义多条规则,将他们串起来,共同发挥作用,而现在,

iptables(防火墙)与netfilter

iptables(防火墙)与netfilter ================================================= 推荐博客: http://www.360doc.com/content/11/0506/09/706976_114731108.shtml# http://drops.wooyun.org/tips/1424 netfilter/iptables 简介: (1)IP数据包过滤系统由 netfilter 和 iptables 两个组件构成. (2)ne

主机防火墙的设置与优化

一.设置主机防火墙. 开放: 服务器的:web服务.vsftpd 文件服务.ssh远程连接服务.ping 请求. 1.开放sshd服务 开放流入本地主机,22端口的数据报文. [[email protected] ~]# iptables -A INPUT --destination 192.168.60.99 -p tcp --dport 22 -j ACCEPT 开放从本地主机22端口流出的数据报文 [[email protected] ~]# iptables -A OUTPUT --so

禁用firewalld, 启用iptables作为防火墙

CentOS 最小化安装后, 会自动安装好 Firewalld 作为防火墙, 如果想用 iptables作为防火墙的话, 可以进行如下设置: 一.  停止 firewalld 服务 [[email protected] ~]# systemctl stop firewalld.service 设置开机禁止启用 firewalld 服务 [[email protected] ~]# systemctl disable firewalld.service rm '/etc/systemd/syste