Linux中的堡垒--iptables
iptables的构成(四表五链)
表
filter:过滤数据包
nat :转换数据包的源或目标地址
mangle:用来mangle包,改变包的属性
raw:用来不让iptables做数据包的链接跟踪处理,主要是提高性能
*优先级:raw>mangle>nat>filter(请注意优先级)
链
INPUT:对进入主机的数据包进行修改
OUPTUT:从主机向外发送的数据包进行修改
FORWARD:转发的数据包,路由判断后最后一次更改包的源地址前对数据包进行修改
PREROUTING:数据包进入防火墙后,路由判断之前对数据包进行修改
POSTROUTING:路由判断后对数据包进行修改
iptables的基本操作
一、管理防火墙
启动
# service iptables start
# chkconfig --level 2345 iptables on
管理程序:/etc/init.d/iptables
关闭
# service iptables stop
# chkconfig iptables off
保存防火墙规则
# service iptables save
规则保存位置:/etc/sysconfig/iptables
iptables 命令格式: iptables [-t 表名] 选项 规则
二、防火墙规则管理
1)显示防火墙中的规则
-L:显示防火墙中的规则列表
-n:不将规则反解成服务名称(以数字)
--line:显示规则编号
-v:显示规则详细信息
【在关闭的情况下,是看不到防火中的规则的】
2)删除规则
-D #:删除指定编号的规则
-F:清空规则
例子:删除filter表的INPUT链的第三个规则
# iptables -t filter -D INPUT 3
例子:删除filter表的INPUT链的全部规则
# iptables -t filter -F INPUT
例子:删除filter表的全部规则
# iptables -t filter -F
3)保存规则
# service iptables save
【执行保存规则操作的时候,会将内存中的规则刷新磁盘上/etc/sysconfig/iptables】
4)清空防火墙的计时器
-Z: 清空规则计时器
例子:清空filter的全部计数器
# iptables -t filter -Z
5)添加
-A: 在最后一条规则后,添加新规则
-I:在指定的位置前插入规则。如果不指定位置,是插入在第一条
-R:替换指定编号的规则
-j 动作:指定一个数据包匹配到这个规则后所执行的操作
动作:
ACCEPT:放行
DROP:丢弃
匹配条件:
-d xxx:指定数据包中的目的IP
-s xxx:指定数据包中的源的IP
--sport xx:指定指定数据包中的源端口
--dport xx:指定数据包中的目的端口
-p xx:指定协议类型
例子:禁止192.168.6.222链接当前主机的tcp 22端口
# iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
6)修改默认规则
-P: 修改链的默认规则
修改默认规则为DROP前,必须首先放行22端口
练习:
1、清空防火墙的规则
# iptables -t filtler -F
# iptables -t nat -F
# iptalbes -t mangle -F
# iptables -t raw -F
2、清空计数器
# iptables -t filtler -Z
# iptables -t nat -Z
# iptalbes -t mangle -Z
# iptables -t raw -Z
3、保存规则
# service iptables save
4、配置规则实现只允许自己的window链接linux主机
# iptables -A INPUT -s x.x.x.x -p tcp --dport 22 -j ACCEPT
# iptables -A OUTPUT -d x.x.x.x -p tcp --sport 22 -j ACCEPT
5、修改默认规则为DROP
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# service iptables save
6、禁止外部主机ping linux,但是linux可以ping外部主机
# iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
# iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
7、允许任意主机访问linux的80端口
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
8、保存规则
# service iptables save
PS:还望指正,谢谢 –author by :潇湘雨错,zxhk
Linux中的堡垒--iptables的更多相关文章
- Linux中的防火墙----iptables
防火墙,它是一种位于内部网络与外部网络之间的网络安全系统.一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过. 防火墙根据主要的功能可分为网络层防火墙.应用层防火墙.数据库防火墙. 网 ...
- linux中firewall与iptables防火墙服务
火墙firewall-cmd --state 查看火墙的状态firewall-cmd --get-active-zones 目前所处的域firewall-cmd --get-default-zone ...
- linux中利用iptables+geoip过滤指定IP
1. 前提条件 iptables >= 1.4.5 kernel-devel >= 3.7 2. 安装依赖包 代码如下 复制代码 # yum install gcc gcc-c++ m ...
- linux中iptables配置文件及命令详解详解
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables. 1.关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放. 下 ...
- linux中iptables配置文件及命令详解
转自:https://www.cnblogs.com/itxiongwei/p/5871075.html iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconf ...
- LINUX中IPTABLES防火墙使用
对于有公网IP的生产环境VPS,仅仅开放需要的端口,即采用ACL来控制IP和端口(Access Control List). 这里可以使用Linux防火墙netfilter的用户态工具 iptable ...
- linux 中使用iptables 防止ddocs及cc攻击配置 。
#防止SYN攻击,轻量级预防 iptables -N syn-floodiptables -A INPUT -p tcp –syn -j syn-floodiptables -I syn-flood ...
- Linux中的防火墙(Netfilter、Iptables、Firewalld)
目录 Netfilter Iptables iptables做本地端口转发 Firewalld Netfilter Netfilter是Linux 2.4内核引入的全新的包过滤引擎,位于Linux内核 ...
- linux中iptables的用法
iptables基本操作笔记 一.基本操作 #启动防火墙 service iptables start #停止防火墙 service iptables stop #重启防火墙 service ipta ...
随机推荐
- delphi 默认字体修改
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Borland\Delphi\7.0\FormDesign] &q ...
- mongodb的高级操作(聚合框架)
group by 查询 不要用java驱动带的group by ,要用2.2版本后的aggregate聚合框架来搞,经过试验速度快一倍 参考 官网:http://docs.mongodb.org/ma ...
- 143. Sort Colors II
最后更新 一刷 class Solution { public void sortColors2(int[] colors, int k) { // write your code here if ( ...
- JSON基本操作
import org.json.simple.JSONArray; import org.json.simple.JSONObject; import org.json.simple.parser.J ...
- oracle 表空管理方式(LMT)、ASSM段管理方式、一级位图块、二级位图块、三级位图块。
今天是2013-12-16,今天和明天是我学习oracle生涯中一个特殊的日子.今天晚上进行了一下表空间管理方式的学习,在此记录一下笔记. 对于oracle数据库最小i/0单位是数据块,最想分配空间单 ...
- Extended ComboBox添加图标
Extended ComboBox添加图标 关键点 实现过程 // MFC02Dlg.h : header fileCImageList m_imageList; // MFC02Dlg.cpp : ...
- SVN高速新手教程
因为做Zip和Rar解析的时候,找到了mucommander工具,可将其jar包导入项目里执行发现报:类型转换错误,org.apache.commons.logging.impl.Log4JLogge ...
- Oracle基础学习1--Oracle安装
安装过程较简单.按着步骤走就可以.这里须要提醒假设要使用PL/SQL来操作Oracle.那么最好安装32位Oracle程序.原因是网上说PL/SQL仅仅对32位Oracle进行支持,假设用64为Ora ...
- 设置tomcat内存
设置Tomcat启动的初始内存其初始空间(即-Xms)是物理内存的1/64,最大空间(-Xmx)是物理内存的1/4. 可以利用JVM提供的-Xmn -Xms -Xmx等选项可进行设置 三.实例,以下给 ...
- 两个select级联操作实例(教师职称类型与职称)
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <hea ...