iptables管理选项使用

1、配置文件:

[[email protected] ~]# ls/etc/sysconfig/iptables

2、启动:

[[email protected]~]# /etc/init.d/iptables start

iptables:应用防火墙规则:

[[email protected] ~]# chkconfig iptables on   开机自动启动。

[[email protected] ~]# iptables –nL   查看防火墙规则。

3、使用规则:

iptables  -t  要操作的表

操作命令:

-A   <链名>   追加一条规则(放到最后)

例:[[email protected] ~]# iptables-t filter -A INPUT -j DROP  禁止所有进入

-D   <链名>   <规则号码|具体内容规则删除一条规则。

例:

[[email protected]~]# iptables -nL

Chain INPUT (policy ACCEPT)

target    prot opt source              destination

ACCEPT     all --  192.168.1.72         0.0.0.0/0

DROP       all --  0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy ACCEPT)

target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)

target    prot opt source              destination

[[email protected]~]# iptables -D INPUT 2 按号码删除

[[email protected]~]# iptables -nL

Chain INPUT (policy ACCEPT)

target    prot opt source              destination

ACCEPT     all --  192.168.1.72         0.0.0.0/0

Chain FORWARD (policy ACCEPT)

target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)

target    prot opt source               destination

-P<链名> <动作>policy 设置某个链的默认规则

[[email protected] ~]#iptables -P INPUT DROP

-F 删除规则

例:

[[email protected] ~]#iptables -F INPUT

[[email protected] ~]#iptables -t nat -F

[[email protected] ~]#iptables -t nat -F PREROUTING

4、匹配条件:

流入、流出接口(-i、-o)

来源、目的地址(-s、-d)

协议类型     (-p)

来源、目的端口(--sport、--dport)

-i eth0

匹配是否从网络接口 eth0进来

-s 192.168.0.1     匹配来自 192.168.0.1 的数据包

-s192.168.1.0/24  匹配来自 192.168.1.0/24网络的数据包

-d 202.106.0.20    匹配去往 202.106.0.20 的数据包

-d202.106.0.0/16  匹配去往 202.106.0.0/16网络的数据包

-p<匹配协议类型>

可以是 TCP、UDP、ICMP等,也可为空

例如:

-p tcp

-p udp

例如:禁用DNS

[[email protected] ~]#iptables -A INPUT -p udp --dport 53 -j DROP

限制该网段访问服务器:

[[email protected] ~]#iptables -A INPUT -s 10.1.0.0/24 -d 172.17.0.0/16 -j DROP

限制该地址访问百度80端口

[[email protected] ~]#iptables -A INPUT -s 192.168.0.1 -d www.baidu.com -p tcp --dport 80 -j ACCEPT

动作(处理方式)

 

ACCEPT  接收

DROP     丢弃    不给对端任何回应

REJECT    拒绝    拒绝后,给对端一个回应

SNAT     源地址转换

DNAT    目的地址转换

MASQUERADE  (假面舞会) 伪装一个公网IP地址

例:

将内网192.168.0.0/24 的原地址修改为 公网IP地址:1.1.1.1

[[email protected]~]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1

从eth0接口进入访问80端口的数据包,转到192.168.0.1

[[email protected] ~]#iptables -t nat -A PREROUTING -i eth0 -p tcp --dpor 80 -j DNAT --to 192.168.0.1

按包状态匹配   (state

-mstate --state 状态

状态:NEW、RELATED、ESTABLISHED、INVALID

      NEW:有别于 tcp 的 syn

ESTABLISHED:连接态

RELATED:衍生态,与 conntrack关联(FTP)

INVALID:不能被识别属于哪个连接或没有任何状态

实战1:使用iptables防火墙保护公司web服务器。

具体配置如下:

web服务器:xuegod63

客户端:xuegod64

配置xuegod63防火墙

[[email protected] ~]#iptables -A INPUT -i lo -j ACCEPT

[[email protected] ~]#iptables -A INPUT -p tcp -m multiport --dports 22,80 -j ACCEPT

或者

[[email protected] ~]#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

[[email protected] ~]#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

[[email protected] ~]#iptables -P INPUT DROP

[[email protected] ~]#service httpd start

[[email protected] ~]#yum -y install vsftpd

[[email protected] ~]#service vsftpd start

测试机ftp://192.168.1.63/无法访问

http://192.168.1.63/可以访问

时间: 2024-10-29 02:18:46

iptables管理选项使用的相关文章

jenkins持续集成源码管理选项为None,构建失败找不到git.exe解决办法

我的jenkins版本为Jenkins ver. 2.19.1 1.源码管理选项只有None的解决办法: 在插件管理中心,搜索对应的源码管理插件这里以git为例,搜索git plugin点击右下角的安装方式(在线安装需要连接VPN你懂的),如下图 重启后即可看到git按钮: 2.jenkins持续集成时,点击构建失败无法找到git.exe解决办法如下图: 控制台输出提示构建失败git.exe rev-parse --is-inside-work-tree # timeout=10:原因是没有找到

SCOM 2012知识分享-22:额外管理选项

适应平台:System Center 2012 RTM/SP1 ------------------------------------------------------------------------------------------------------ 除了我们之前介绍的日常比较频繁接触的一些功能之外,SCOM还有一些其他可能用到的管理操作和设置.下面来具体看一看. 首先是服务器的安全设置,如图. 在安全设置里面我们可以配置是否允许手动代理的安装,如图. 然后我们在常规里面,可以

iptables管理

一.iptables日志管理 输出iptables日志到一个指定的文件 Iptables的man参考页中提到: 我们可以使用iptables在linux内核中建立, 维护和检查IP包过滤规则表. 几个不同的表可能已经创建, 每一个表包含了很多内嵌的链, 也可能包含用户自定义的链. Iptables默认把日志信息输出到/var/log/messages文件. 不过一些情况下你可能需要修改日志输出的位置. 下面向大家介绍如何建立一个新的日志文件/var/log/iptables.log. 通过修改或

server2008R2WSUS管理 选项内功能设置

更改同步设置 分发更新 择"Updtae Services-WSUS-WIN7 ",在"WIN7"详细信息页面,选择"已审批"和"任何",然后点击"刷新". 根据需要选择需要更新的补丁,然后选择WIN7组. . 选择"已审批进行安装" 点击"确定". 注意:以上步骤执行完成后,客户端会立即安装补丁,而是不按组策略规定时间安装补丁. 已安装成功如下图 配置电子邮件通知

保证Linux系统安全之使用iptables工具管理防火墙

随着企业中使用Linux系统的增加,保证Linux系统安全成为运维人员的必备技能之一. Linux系统本身有很强大的防护措施:防火墙.那么如何管理防火墙就成为重中之重. 随着CentOS 7.CentOS 8的出现,越来越多的人喜欢使用firewalld工具来管理防火墙.因为它不仅可以通过命令行设置,也可以通过图形化设置.关于使用firewalld工具管理Linux防火墙,可参考保证Linux系统安全之使用firewalld工具管理防火墙 下面我们主要介绍iptables工具管理防火墙. 本人第

Iptables防火墙(一)

一.Linux防火墙基础 Linux防火墙主要工作在网络层,属于典型的包过滤防火墙. netfilter和iptables都用来指Linux防火墙,主要区别是: netfilter:指的是linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"的防火墙功能体系. iptables:指的是用来管理linux防火墙的命令程序,通常位于/sbin/iptables目录下,属于"用户态"的防火墙管理体系. 1.iptables的表.链结构 Ipt

针对Red Hat Enterprise Linux 6.5 的防火墙详细讲解,iptables(netfilter)规则的

防火墙基础 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或网络层防火墙).基于Linux内核编码实现,具有非常稳定的性能和高效率,因此获得广泛使用. 在Linux系统中,netfilter和iptables都用来指Linux防火墙. netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于"内核态"(Kernel Space,又称为内核空间)的防火墙功能体系. iptables:指的是

iptables防火墙之主机型

iptables防火墙本身是不防火的,是靠其中的规则判断数据是丢弃还是放行,而这些规则就存放在iptables的四表五链中. iptables四表五链 四表 filter(过滤数据包):INPUT,OUTPUT,FORWARD nat(地址转换):PREROUTING,POSTOUTING,OUTPUT mangle表(拆开,修改,封装数据):五个链全部包含 raw(状态追踪):PREROUTING,OUTPUT 五链(根据数据报文的流向,判断报文放在那里) INPUT:到本机内部来的数据 OU

iptables从入门到精通

一.主要知识点: 1. Iptables表链结构 2. 数据包过滤流程 3. Iptables书写规则 4. Iptables条件匹配 5. Iptables数据包控制 6. Iptables七层过滤 7. Iptables脚本 二.具体的知识点介绍 1. Iptables表链结构 1)默认的4个规则表 *         raw表:确定是否对该数据包进行状态跟踪 *         mangle表:为数据包设置标记 *         nat表:修改数据包中的源.目标IP地址或端口 *