Linux中的堡垒--iptables

iptables的构成(四表五链)
    表
        filter:过滤数据包
        nat :转换数据包的源或目标地址
        mangle:用来mangle包,改变包的属性
        raw:用来不让iptables做数据包的链接跟踪处理,主要是提高性能

*优先级:raw>mangle>nat>filter(请注意优先级)


        INPUT:对进入主机的数据包进行修改
        OUPTUT:从主机向外发送的数据包进行修改
        FORWARD:转发的数据包,路由判断后最后一次更改包的源地址前对数据包进行修改
        PREROUTING:数据包进入防火墙后,路由判断之前对数据包进行修改
        POSTROUTING:路由判断后对数据包进行修改
iptables的基本操作       
一、管理防火墙
        启动
            # service iptables start
            # chkconfig --level 2345 iptables on
            管理程序:/etc/init.d/iptables
        关闭
            # service iptables stop
            # chkconfig iptables off
        保存防火墙规则
            # service iptables save
            规则保存位置:/etc/sysconfig/iptables

iptables 命令格式: iptables [-t 表名] 选项 规则

二、防火墙规则管理
        1)显示防火墙中的规则
            -L:显示防火墙中的规则列表
            -n:不将规则反解成服务名称(以数字)
            --line:显示规则编号
            -v:显示规则详细信息
            【在关闭的情况下,是看不到防火中的规则的】
        2)删除规则
            -D #:删除指定编号的规则
            -F:清空规则
           
                例子:删除filter表的INPUT链的第三个规则
                    # iptables -t filter -D INPUT 3
                例子:删除filter表的INPUT链的全部规则
                    # iptables -t filter -F INPUT
                例子:删除filter表的全部规则   
                    # iptables -t filter -F
        3)保存规则
            # service iptables save
            【执行保存规则操作的时候,会将内存中的规则刷新磁盘上/etc/sysconfig/iptables】 
        4)清空防火墙的计时器
            -Z: 清空规则计时器
            例子:清空filter的全部计数器
                    # iptables -t filter -Z
        5)添加
            -A: 在最后一条规则后,添加新规则
            -I:在指定的位置前插入规则。如果不指定位置,是插入在第一条
            -R:替换指定编号的规则
           
            -j 动作:指定一个数据包匹配到这个规则后所执行的操作
                动作:
                    ACCEPT:放行
                    DROP:丢弃
                   
            匹配条件:
                -d xxx:指定数据包中的目的IP
                -s xxx:指定数据包中的源的IP
                --sport xx:指定指定数据包中的源端口
                --dport xx:指定数据包中的目的端口
                -p xx:指定协议类型
           
            例子:禁止192.168.6.222链接当前主机的tcp 22端口
                # iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
           
        6)修改默认规则
            -P: 修改链的默认规则
            修改默认规则为DROP前,必须首先放行22端口
             
练习:
            1、清空防火墙的规则
                # iptables -t filtler -F
                # iptables -t nat -F
                # iptalbes -t mangle -F
                # iptables -t raw -F
            2、清空计数器
                # iptables -t filtler -Z
                # iptables -t nat -Z
                # iptalbes -t mangle -Z
                # iptables -t raw -Z       
            3、保存规则
                # service iptables save
       
            4、配置规则实现只允许自己的window链接linux主机
                # iptables -A INPUT -s x.x.x.x -p tcp --dport 22 -j ACCEPT
                # iptables -A OUTPUT -d x.x.x.x -p tcp --sport 22 -j ACCEPT
            5、修改默认规则为DROP
                # iptables -P INPUT DROP
                # iptables -P OUTPUT DROP
                # service iptables save
            6、禁止外部主机ping linux,但是linux可以ping外部主机
                # iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
                # iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
            7、允许任意主机访问linux的80端口
                # iptables -A INPUT -p tcp --dport 80 -j ACCEPT
                # iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
            8、保存规则
                # service iptables save

PS:还望指正,谢谢 –author by :潇湘雨错,zxhk

时间: 2024-11-10 04:35:07

Linux中的堡垒--iptables的相关文章

Linux中的防火墙----iptables

防火墙,它是一种位于内部网络与外部网络之间的网络安全系统.一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过. 防火墙根据主要的功能可分为网络层防火墙.应用层防火墙.数据库防火墙. 网络层防火墙主要是根据网络层.传输层的封包的属性来制定防火墙的规则,主要依据是源IP和目的IP地址,源端口和目的端口 防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延. 数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统.基于主动防御机制,实现数据库

linux中firewall与iptables防火墙服务

火墙firewall-cmd --state 查看火墙的状态firewall-cmd --get-active-zones 目前所处的域firewall-cmd --get-default-zone 查看默认的域firewall-cmd --get-zones 查看所有的域 fiewall-cmd --zone=public ---list-all 查看pubic这个域里的具体信息 firewall-cmd --get-services 查看可以添加的服务firewall-cmd --list-

linux 中使用iptables 防止ddocs及cc攻击配置 。

#防止SYN攻击,轻量级预防 iptables -N syn-floodiptables -A INPUT -p tcp –syn -j syn-floodiptables -I syn-flood -p tcp -m limit –limit 3/s –limit-burst 6 -j RETURNiptables -A syn-flood -j REJECT #防止DOS太多连接进来,可以允许外网网卡每个IP最多15个初始连接,超过的丢弃 iptables -A INPUT -i eth0

linux中iptables详解

linux中iptables详解 一.通用基础知识 1.基本概念 什么是防火墙? 所谓防火墙指的是工作于主机或网络的边缘,对于进出的报文根据事先定义的规则作检查,将那些能够被规则所匹配到的报文作出相应处理的组件. 防火墙是由软件和硬件设备组合而成.在内部网和外部网之间.专用网与公共网之间的界面上构造的保护屏障,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入. 防火墙主要由服务访问规则.验证工具.包过滤和应用网关4个

LINUX中IPTABLES防火墙使用

对于有公网IP的生产环境VPS,仅仅开放需要的端口,即采用ACL来控制IP和端口(Access Control List). 这里可以使用Linux防火墙netfilter的用户态工具 iptables有4种表:raw-->mangle(修改报文原数据)-->nat(定义地址转换)-->filter(定义允许或者不允许的规则) 每个表可以配置多个链: 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT 对于nat来讲一般也只能做在3个链上:PREROU

应用Oracle(Linux中的安装)

Linux中安装Oracle,不同于windows. Linux在安装时,要作些必要的分区配置,以便进行Oracle的安装: 同时需要创建专门的数据库用户和组,并配置环境变量. root登录 使用 root 来配置 Oracle 环境 其中**检查环境**部分,需要在安装 Oracle 检查和配置环境 检查环境 1.swap空间 # swap 空间大小,应满足以下条件 # 内存 1~2 G,swap 空间大小应为2倍内存 # 内存 2~16 G, swap 空间大小等同于内存 # 内存 > 16

Linux下的配置iptables防火墙增强服务器安全

Linux下的配置iptables防火墙增强服务器安全 实验要求 iptables常见概念 iptables服务器安装及相关配置文件 实战:iptables使用方法 例1:使用iptables防火墙保护公司web服务器 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 例3:限制某些IP地址访问服务器 例4:使用DNAT功能把内网web服务器端口映射到路由器外网 实验环境 iptables服务端:xuegod-63   IP:192.168.1.63 iptables客户端:x

linux中编译安装Apache、PHP、MySQL(上)

1.简介 在阿里云买了个云服务器,一直没时间折腾.过了近十天了吧,才有时间好好玩玩这个云服务器.自己是做Web开发的,所以我需要的开发环境是LAMP.之前打算是采用yum安装,不过yum安装apache可以安装到2.4版本,而PHP最高安装版本只能是5.4,这也是yum安装PHP的软肋,因此我这里主要涉及到的安装方式是源码安装.通过源码安装能够更好的管理这些软件,想安装到哪就放在哪. 云服务器: 阿里云CentOS 7.2 64位 阿帕奇版本:apache2.4 PHP版本:PHP5.6 主要的

Linux中查看进程占用内存和系统资源情况的命令

用 'top -i' 看看有多少进程处于 Running 状态,可能系统存在内存或 I/O 瓶颈,用 free 看看系统内存使用情况,swap 是否被占用很多,用 iostat 看看 I/O 负载情况... 还有一种办法是 ps -ef | sort -k7 ,将进程按运行时间排序,看哪个进程消耗的cpu时间最多. top: 主要参数 d:指定更新的间隔,以秒计算. q:没有任何延迟的更新.如果使用者有超级用户,则top命令将会以最高的优先序执行. c:显示进程完整的路径与名称. S:累积模式,