首页 博客列表 精选博客 智能问答 chat-GPT 关于我
Linux中的防火墙服务iptables
发布日期:2022-02-12 16:06:51 浏览次数:16 分类:技术文章

本文共 2326 字,大约阅读时间需要 7 分钟。

IPTABLES

IPTABLES 是与 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它

iptables下载和安装

关闭firewall

在这里插入图片描述
安装iptables
在这里插入图片描述

在这里插入图片描述

iptables的使用

iptables -nL 查询表信息(默认为filter表)

在这里插入图片描述
在这里插入图片描述
iptables - t nat -nL 查询nat表信息
在这里插入图片描述
iptables -F 清空表信息
在这里插入图片描述

iptables -t filter -A INPUT -s 111.111.111.239 -p tcp --dport 22 -j REJECT/DROP/ACCEPT

当有来自111.11.111.239 通过tcp协议的22端口访问时,拒绝/拒绝且不回应/同意 访问

-A 规则默认写在在目标表目标链的最后一行

在这里插入图片描述
111.111.111.239的ssh访问被拒绝
在这里插入图片描述

在这里插入图片描述

-I 可以指定行添加
iptables -t filter -I INPUT 1 -s 111.111.111.111 -p tcp --dport 22 -j REJECT
在filter表INPUT链的第一行添加
在这里插入图片描述

-R 修改信息

iptables -t filter -R INPUT 1 -s 111.111.111.111 -p tcp --dport 22 -j DROP

在这里插入图片描述

-S 查看
iptables -S INPUT 查看INPUT链(默认为filter表)

在这里插入图片描述

-N 建立新的链
iptables -N lalala 建立lalala链

在这里插入图片描述

-E 修改链的名称
iptables -E lalala(原名称) westos(修改后的名称)

在这里插入图片描述

-X 删除
iptables -X westos 删除westos链
在这里插入图片描述

-P 改变策略

iptables -P INPUT REJECT 修改INPUT链的策略为REJECT

在这里插入图片描述

保存iptables表的信息

方法一:service iptables save

方法二:iptables-save > /etc/sysconfig/ipt ables

在这里插入图片描述

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

已经建立连接和正在连接的进程访问时同意访问

iptables -A INPUT -m state --state NEW -i lo -j ACCEPT

本地进程访问时同意访问

iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 3128 -j ACCEPT
通过tcp协议22,3128端口,udp协议53端口访问的进程同意访问

在这里插入图片描述

iptables -A INPUT -j REJECT 拒绝其他所有访问

在这里插入图片描述

在这里插入图片描述

在双网卡双IP主机上

ip1=172.25.254.139
ip2=111.111.111.139
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.139
当有信息通过主机发出时将地址伪装为eth0 172.25.254.139
在这里插入图片描述
将111.111.111.239 的网关设置为111.111.111.139
用111.111.111.239 ping 172.25.254.39 可以ping 通

iptables -t nat -A PREROUNTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest 111.111.111.239:22

当有通过tcp协议22端口访问的进程访问本机时,让进程去访问111.111.111.239的22端口
在这里插入图片描述
通过172.25.254.39访问172.25.254.139
最终访问到的是111.111.111.239

在这里插入图片描述

非默认端口的增加

http的默认端口

在这里插入图片描述
将http的端口改为8888
在这里插入图片描述
此时重启服务会报错,因为没有与之匹配的端口

为http添加新端口8888

在这里插入图片描述

重启http服务
查看http服务正在使用的端口
在这里插入图片描述

转载地址:https://blog.csdn.net/weixin_45426401/article/details/99686299 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:Apache中的Squid代理
下一篇:Unit6.文件目录的权限

发表评论

最新留言

网站不错 人气很旺了 加油
[***.192.178.218]2024年04月14日 12时49分49秒

关于作者

    喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!

推荐文章

Unity中解决“SetDestination“ can only be called on an active agent that has been placed on a NavMesh 2019-04-27
Unity中的刚体 2019-04-27
Unity中的坐标转换 2019-04-27
Unity中为什么不能对transform.position.x直接赋值? 2019-04-27
使用对象池优化性能 2019-04-27
Lua(一)——Lua介绍 2019-04-27
Lua(二)——环境安装 2019-04-27
Unity中父子物体的坑 2019-04-27
基础知识——进位制 2019-04-27
Lua(十二)——表 2019-04-27
Lua(十三)——模块与包 2019-04-27
Lua(四)——变量 2019-04-27
Lua(十四)——元表 2019-04-27
Lua(十五)——协同程序 2019-04-27
Lua(十六)——文件 2019-04-27
Lua(十七)——面向对象 2019-04-27
Lua(十八)——错误处理,垃圾回收 2019-04-27
xLua(一)——介绍 2019-04-27
xLua(二)——下载 2019-04-27
Unity中实现解析Json文件 2019-04-27
白红宇的个人博客 - 记录点点滴滴的事 - 您是第 308218359 位访客
访问时间: 2024-04-27 02:30:37 访问IP: 18.218.234.83     Copyright © 2020 - 2023 blog.css8.cn 京ICP备2021015314号-1 手机版