溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

防火墻iptables

發(fā)布時(shí)間:2020-03-14 09:23:50 來源:網(wǎng)絡(luò) 閱讀:826 作者:A飛機(jī) 欄目:網(wǎng)絡(luò)安全

防火墻

主配置文件:vim /etc/sysconfig/iptables

想要自定義防火墻,需要把這里的規(guī)則清空并且權(quán)限設(shè)置成DROP

防火墻名字:netfilter,工具:iptables

防火墻有三個(gè)表filter,nat,mangle

每個(gè)表下面還有鏈:

filter表主要用于過濾包,系統(tǒng)預(yù)設(shè)的表。內(nèi)建三個(gè)鏈INPUTOUTPUT、FORWARDINPUT作用于進(jìn)入本機(jī)的包,OUTPUT作用于本機(jī)送出的包,FORWARD作用于跟本機(jī)無關(guān)的包。

nat表主要用處是網(wǎng)絡(luò)地址轉(zhuǎn)換,PREROUTING練的作用是在包剛剛到達(dá)防火墻是改變它的目的地址,POSTOUTING鏈在包就要離開防火墻之前改變其源地址

mangle表主要用于給數(shù)據(jù)包打標(biāo)記,然后根據(jù)標(biāo)記去操作哪些包。

-A/D:增加刪除一條規(guī)則

-I:插入一條規(guī)則,其實(shí)跟-A的效果一樣

-P:指定協(xié)議,可以是tcp,udp,icmp

--dport:跟-p一起使用,指定目標(biāo)端口                                  //對(duì)于防火墻來說

--sport:跟-P一起使用,指定源端口

-s:指定源IP(可以是一個(gè)IP段)                                          //對(duì)于防火墻來說

-d:指定目標(biāo)IP(可以是一個(gè)IP段)

-j:后面跟動(dòng)作,其中ACCEPT表示允許包,DORP表示丟掉包,REJECT表示拒絕包

規(guī)則按順序生效,當(dāng)兩個(gè)規(guī)則相同時(shí),第一個(gè)規(guī)則先生效,后面的規(guī)則直接忽視掉

防火墻源IP表示,一臺(tái)主機(jī)要想遠(yuǎn)程服務(wù)器,那么這臺(tái)主機(jī)就是源IP,它要發(fā)送數(shù)據(jù)包到服務(wù)器才想遠(yuǎn)程服務(wù)器,要是服務(wù)器不想被遠(yuǎn)程,可以直接把數(shù)據(jù)包DROP

iptables要理解防火墻的結(jié)構(gòu),它在本地網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,這可以清楚的理解源IP和目標(biāo)IP,也要搞清楚每個(gè)鏈,如INPUT的目標(biāo)IP是本機(jī)IPIP是外部IP

 

 

 

 

1、命令

iptables -t filter -I INPUT -p tcp --dport80 -s 192.168.134.1 -j REJECT

iptables –F                                                                         //清空防火墻規(guī)則

iptables –Z                                                                        //把包以及流量清零

iptables-save > /etc/sysconfig/1.ipt                           //備份防火墻規(guī)則

iptables-restore /etc/sysconfig/1.ipt                         //恢復(fù)防火墻規(guī)則

iptables -P INPUT DROP                                                 //更改預(yù)設(shè)策略,對(duì)于每個(gè)鏈,安全性高

 

 

 

 

//實(shí)例:

針對(duì)filter表,預(yù)設(shè)策略INPUTDROP,其他兩個(gè)鏈ACCEPT,然后針對(duì)192.168.134.0/24開通22端口,對(duì)所有網(wǎng)段開放80端口,對(duì)所有網(wǎng)段開放21端口。腳本如下:

vim 1.ipt.sh

#!/bin/bash

ipt="/sbin/iptables"

$ipt -F

$ipt -P INPUT DROP

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -s 192.168.134.0/24 -p tcp--dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT

 

 

 

 


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI