Linux防火墙iptables简明教程

前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔除了许多冗余的内容,提取出尽量多的精华部分成文,和大家共同学习,本文涉及的内容包括如下

Linux防火墙iptables简明教程 
1.安装iptables 
2.查看现有的iptables规则 
3.删除某iptables规则 
4.清除现有iptables规则 
5.创建规则 
6.设置开机启动 
7.保存iptables规则 
8.iptables在手动防CC攻击中的简单应用

1.安装iptables 

很多Linux已经默认安装iptables,可使用后文的查看命令测试是否安装 
CentOS/RedHat下执行:

yum install iptablesDebian/Ubuntu下执行:

apt-get install iptables

2.查看现有的iptables规则

命令后面的line-number为显示行号(将规则一则一则输出,并显示行号),可选,方便后文的删除指令。 
iptables -L -n --line-numbers

3.删除某iptables规则 

例如,删除第12行的规则,行号可由之前的命令查看 
iptables -D INPUT 12

4.清除现有iptables规则

iptables -F 
iptables -X 
iptables -Z

5.创建规则 
a).开放端口

命令iptables -A INPUT -j REJECT将屏蔽其他未授权的端口,因此请务必开放22端口以保障SSH连接正常~

复制代码

代码如下:

#允许本机访问 
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT 
# 允许已建立的或相关连的通行 
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
#允许所有本机向外的访问 
iptables -A OUTPUT -j ACCEPT 
# 允许访问22端口 
iptables -A INPUT -p tcp --dport 22 -j ACCEPT 
#允许访问80端口 
iptables -A INPUT -p tcp --dport 80 -j ACCEPT 
#允许FTP服务的21和20端口 
iptables -A INPUT -p tcp --dport 21 -j ACCEPT 
iptables -A INPUT -p tcp --dport 20 -j ACCEPT 
#如果有其他端口的话,规则也类似,稍微修改上述语句就行 
#禁止其他未允许的规则访问 
iptables -A INPUT -j REJECT 
iptables -A FORWARD -j REJECT

b).屏蔽ip

iptables -I INPUT -s 123.123.123.123 -j DROP可通过更换上述ip为ip段来达到屏蔽ip段的目的~

若需屏蔽整个ip段(123.0.0.1到123.255.255.254)则换为123.0.0.0/8 
若需屏蔽ip段123.123.0.1到123.123.255.254,则换为124.123.0.0/16 
若需屏蔽ip段123.123.123.1到123.123.123.254则换为123.123.123.0/24

6.设置开机启动 

一般在安装iptables完成后,开机启动会自动设置成功,但在个别CentOS系统上,貌似还有些问题,可以使用如下命令手动设置 
chkconfig --level 345 iptables on

7.保存iptables规则 

service iptables save

8.iptables在手动防CC攻击中的简单应用 

关于获取攻击者ip的方法,可以通过很多方法获取,如查看网站日志等,本文不再赘述。 
a).建立要屏蔽的ip/ip段文件,名为ip.txt

#屏蔽的ip 
123.4.5.6 
#屏蔽的ip段(编写方法,同前文) 
123.4.5.6/24b).建立block_ip.sh脚本文件

复制代码

代码如下:

#!/bin/sh 
# Filename: block_ip.sh 
# Purpose: blocks all IP address/network found in a text file 
# The text file must have one IP address or network per line 
################################################################# 
# Change the following path/filename to match yours 
IP_LIST_FILE=/path/to/ip.txt 
################################################################# 
# Don‘t change anything below unless you are a smarty pant! 
################################################################# 
IPTABLES_BIN=/sbin/iptables 
# Get the IP address/network from the file and ignore any line starting with # (comments) 
BAD_IP_ADDR_LIST=$(grep -Ev "^#" $IP_LIST_FILE) 
# Now loop through the IP address/network list and ban them using iptabels 
for i in $BAD_IP_ADDR_LIST 
do 
echo -n "Blocking $i ..."; 
$IPTABLES_BIN -A INPUT -s $i -j DROP 
$IPTABLES_BIN -A OUTPUT -d $i -j DROP 
echo "DONE."; 
done 
################################################################## 
# END OF SCRIPT - NOTHING TO SEE HERE - THAT‘S ALL FOLKS! 
##################################################################

c).运行脚本

sh /path/to/block_ip.sh

d).查看iptables规则是否生效/正确,

时间: 2024-11-03 19:20:39

Linux防火墙iptables简明教程的相关文章

linux 防火墙iptables简明教程

前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔除了许多冗余的内容,提取出尽量多的精华部分成文,和大家共同学习,本文涉及的内容包括如下 Linux防火墙iptables简明教程 1.安装iptables 2.查看现有的iptables规则 3.删除某iptables规则 4.清除现有iptables规则 5.创建规则 6.设置开机启动 7.保存i

linux防火墙--iptables(二)

五.filter过滤和转发 a.打开内核的IP转发 # sysctl -w net.ipv4.ip_forward=1 或 # echo 1 > /proc/sys/net/ipv4/ip_forward b.基本匹配条件 ·通用匹配 → 可直接使用,不依赖于其他条件或扩展 → 包括网络协议.IP地址.网络接口等条件 ·隐含匹配 → 要求以特定的协议匹配作为前提 → 包括端口.TCP标记.ICMP类型等条件 类别 选项 用法 通用匹配 协议匹配 -p 协议名 地址匹配 -s 源地址      

linux防火墙--iptables(三)

七.SNAT源地址转换 ·Source Network Address Translation ·修改数据包的源地址 ·仅用于nat表的POSTROUTING链 Example:局域网共享公网IP上网 ·配置的关键策略 → 做完路由选择后,针对来自局域网.即将从外网接口发出去的数据包,将其源IP地址修改为 网关的公网IP地址  # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 69.166

关于Linux防火墙iptables的面试问答

关于Linux防火墙'iptables'的面试问答 Nishita Agarwal是Tecmint的用户,她将分享关于她刚刚经历的一家公司(印度的一家私人公司Pune)的面试经验.在面试中她被问及许多不同的问题,但她是iptables方面的专家,因此她想分享这些关于iptables的问题和相应的答案给那些以后可能会进行相关面试的人.       所有的问题和相应的答案都基于Nishita Agarwal的记忆并经过了重写.   "嗨,朋友!我叫  Nishita Agarwal.我已经取得了理学

Linux防火墙(Iptables)的开启与关闭

Linux防火墙(iptables)的开启与关闭 Linux中的防火墙主要是对iptables的设置和管理. 1. Linux防火墙(Iptables)重启系统生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2.Linux防火墙(Iptables) 即时生效,重启后失效 开启: service iptables start 关闭: service iptables stop 需要说明的是对于Linux下的其它服务都可以用以上命令执行

Linux服务器集群架构部署搭建(二)linux防火墙iptables使用及NAT共享

第一章 外网防火墙部署企业应用 1.1 生产中iptables的实际应用 ①iptables是基于内核的防火墙,功能非常强大,基于数据包的过滤!特别是可以在一台非常低的硬件配置下跑的非常好.iptables主要工作在OSI七层的2.3.4层.七层的控制可以使用squid代理+iptables. ②iptabes:生产中根据具体情况,一般,内网关闭,外网打开.大并发的情况不能开iptables,影响性能,iptables是要消耗CPU的,所以大并发的情况下,我们使用硬件防火墙的各方面做的很仔细.s

Linux防火墙--iptables学习

iptables是Linux系统提供的一个强大的防火墙工具,可以实现包过滤.包重定向.NAT转换等功能.iptables是免费的,iptables是一个工具,实际的功能是通过netfilter模块来实现的,在内核2.4版本后默认集成到了Linux内核中. 一. iptables的构成 1. 规则(rules) 规则是iptables对数据包进行操作的基本单元.即"当数据包符合规则定义的条件时,就按照规则中定义的动作去处理". 规则中定义的条件一般包括源地址/端口.目的地址/端口.传输协

Linux防火墙iptables/netfilter(一)

防火墙大家都不陌生,或者说都听说过,现实中的防火墙是将一个区域内的火隔离开来使之不蔓延到另一个区域,计算机领域的防火墙与之功能类似,也是为了隔离危险.在如今广阔的互联网领域内,我们一般会相信一个叫做"黑暗森林"的法则.对于这个法则大家可以去搜索一下,它是在<三体>系列小说中写出来的,大致意思是在黑暗丛林中我们无法判断对方对自己是否有恶意, 对方也无法判断我们是否有恶意,所以一见面就把对方灭掉.互联网中的恶意攻击者太多了,我们无法确定它们都是水更无法把它们灭掉,但是我们可以把

Linux防火墙iptables基础

IPtables基础 简介 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙.NAT. iptables里面有4张表,分别是filter,NAT,mangle,raw表.运维人员的话主要关注的是filter和NAT表. filter:主要是过滤包的,内建三个链INPUT.OUTPUT以及FORWARD.INPUT作用于进入本机的包:OUTPUT作用于本机送出的包:FORWARD作用于那些跟本机无关的包. NAT:主要用户地址转换和端口映射,内建三个链,分别是PREOUTIN