9.2.4 常用的主机防火墙规则

最新推荐文章于 2025-04-29 20:44:21 发布
最新推荐文章于 2025-04-29 20:44:21 发布
阅读量735 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux服务器架设指南 文章标签: 防火墙 input dns服务器 tcp web服务 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Linuxdianc/article/details/5032981
本文介绍了iptables防火墙中常用的规则配置方法,包括开放特定端口、限制IP地址和MAC地址等操作,帮助读者掌握基本的主机防护技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

9.2.4  常用的主机防火墙规则

当设置主机防火墙时,一般采取先放行,最后全部禁止的方法。也就是说,根据主机的特点,规划出允许进入主机的外界数据包,然后设计规则放行这些数据包。如果某一数据包与放行数据包的规则都不匹配,则与最后一条禁止访问的规则匹配,被拒绝进入主机。下面列出一些主机防火墙中常用的iptables命令及其解释,这些命令添加的规则都放在filter表的INPUT链中。

示例1

 

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

 

功能:允许目的端口为80TCP数据包通过INPUT链。

说明:这种数据包一般是用来访问主机的Web服务,如果主机以默认的端口提供Web服务,应该用这条规则开放TCP80端口。

示例2

 

iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j DROP

 

功能:从接口eth0进来的、源IP地址的前3字节为192.168.1的数据包予以丢弃。

说明:需要注意这条规则的位置,如果匹配这条规则的数据包同时也匹配前面的规则,而且前面的规则是放行的,则这条规则对匹配的数据包将不起作用。

示例3

 

iptables -A INPUT -p udp --sport 53 --dport 1024:65535 -j ACCEPT

功能:在INPUT链中允许源端口号为53,目标端口号为102465535UDP数据包通过。

说明:这种特点的数据包是当本机查询DNS时,DNS服务器回复的数据包。

示例4

 

iptables -A INPUT -p tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT

 

功能:SYNRSTACK 3个标志位中SYN位为1,其余两个为0TCP数据包予以放行。符合这种特征的数据包是发起TCP连接的数据包。

说明:“--tcp-flags”子选项用于指定TCP数据包的标志位,可以有SYNACKFINRSTURGPSH6种。当这些标志位作为“--tcp-flags”的参数时,用空格分成两部分。前一部分列出有要求的标志位,用“,”分隔;后一部分列出要求值为1的标志位,如果有多个,也用“,”分隔,未在后一部分列出的标志位其值要求为0

%注意:这条命令因为经常使用,可以用“--syn”代替“--tcp-flags SYN,RST,ACK SYN”。

示例5

 

iptables -A INPUT -p tcp -m multiport --dport 20:23,53,80,110 -j ACCEPT

 

功能:接收目的端口为20235380110号的TCP数据包。

说明:“-m multiport”用于指定多个端口,最多可以有15项,用“,”分隔。

示例6

 

iptables -A INPUT -p icmp -m limit --limit 6/m --limit-burst 8 -j ACCEPT

 

功能:限制ICMP数据包的通过率,当一分钟内通过的数据包达到8个时,触发每分钟通过6个数据包的限制条件。

说明:以上命令中,除了m表示分以外,还可以用s(秒)、h(小时)和d(天)。这个规则主要用于防止DoS攻击。

示例7

 

iptables -A INPUT -p udp -m mac --mac-source ! 00:0C:6E:AB:AB:CC -j DROP

 

功能:拒绝源MAC地址不是00:0C:6E:AB:AB:CCUDP数据包。

说明:该规则不应该放在前面,否则,大部分的UDP数据包都将被拒绝,随后的规则将不会使用。

搭建prometheus+grafana监控系统抓取Linux主机系统资源数据
码云仓库地址:https://gitee.com/lance-gyq
01-11 2002
Prometheus 是一个开源的系统监控和告警工具包,最初由 SoundCloud 开发,现在是 CNCF(云原生计算基金会)的毕业项目。
安全见闻笔记
weixin_74811095的博客
10-27 1445
本文全面探讨了网络安全的多个关键领域,包括渗透测试概念与实践、编程语言的选择、软件程序的安全性、网络基础、通讯协议的安全问题、硬件设备的网络安全、人工智能在网络安全中的应用、量子计算对网络安全的影响、二进制与网络安全的关系,以及网络安全热门证书的介绍和备考指南。文章强调了在不断演变的网络威胁面前,持续学习、实践和适应的重要性,以及通过专业认证提升个人技能的必要性。同时,文章也提醒读者在追求技术进步的同时,应保持谦逊和对知识无限性的认识,以促进个人成长和知识边界的扩展。
主机防火墙软件系统的开发与设计
07-05
防火墙技术是当前最为有效的网络安全防范技术,其主要的功能是拒绝未经授权的用户对主机进行访问,从而保护主机上敏感信息的外露。结合当前防火墙的发展情况,提出一款适用于主机安全防范需求的新一代防火墙软件系统。
防火墙(一)主机防火墙
weixin_33861800的博客
07-02 207
防火墙(一)主机防火墙防火墙(二)SNAT和DNAT  防火墙(一)主机防火墙默认防火墙规则 拒绝与禁止一个数据包IP防火墙的数据包传输在IP防火墙中,有三个内建的过滤规则链被使用。所有到达接口的数据包都按照输入规则链被过滤。如果数据包被接受,它会被送到路由模块。路由功能决定数据包是被送到本地还是转发到另一个出站接口。如果被转发,数据包会由转发规则链进行第二次过滤。如果数据包被接受,它会被送到...
防火墙:本地主机连接防火墙通过web方式登录防火墙实验
最新发布
2401_83806418的博客
04-29 287
manage https inbound(开启https权限,因为是host主机访问防火墙所以是inbound方向)发现这个用户开启了http的服务,因为为我们的用户是通过https服务的方式访问,所以需要添加服务。使我们的主机用本地虚拟网卡连接防火墙,用本地虚拟网卡的目的就是可以用我们的本电脑连接防火墙。就是用自己的电脑,连接HCL模拟器防火墙,然后在自己的浏览器中登录防火墙。这时候就登录进来了,输入用户admin,密码admin、修改新密码。在url里输入https和我们配置的防火墙的ip地址。
主机防火墙
weixin_33962923的博客
06-13 211
  #允许本IO iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #让自已的IP通过 iptables -A INPUT -s 10.0.10.0/24 -p all -j ACCEPT iptables -A INPUT -s 10.0.0.0/24 -p all -j ACCEPT #...
iptables () 主机防火墙和网络防火墙
weixin_30950887的博客
05-09 817
Firewall : 防火墙,隔离工具;工作于主机或网络的边缘,对于进出本主机或网络的报文根据事先定义好的检测规则作匹配,对于能够被规则所匹配到的报文做出相应处理的组件;有主机防火墙和网络防火墙 Iptables: 包过滤型防火墙,对报文首部进行匹配完成过滤功能 功能: filter: 过滤,防火墙 nat: network address translation, 网络地址...
网络安全(四)--Linux 主机防火墙
cat_fish_rain的博客
12-07 1993
防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则,允许或者限制网络报文通过。本次课程重点介绍通过iptables工具添加“规则”, (主机防火墙由用户态iptables工具+内核态netfilter模块实现)TcpWrapper 也可以达到“允许或是限制网络报文通过”的目标。
PostgreSQL学习
08-10
此外,还需要确保防火墙规则允许外部客户端访问 PostgreSQL 的端口。 - **编辑防火墙配置**:添加以下规则允许 TCP 流量进入 5432 端口。 ```bash -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --...
Prometheus安装部署
u014516208的博客
07-26 4633
首先在Alertmanager主目录下创建一个templates文件夹,用户存放模板文件,然后创建一个email.tmpl文件,写入以下内容======== 异常告警 ======== 告警名称:{{ $alert.Labels.alertname }} 告警级别:{{ $alert.Labels.severity }} 级 告警器:{{ $alert.Labels.instance }} {{ $alert.Labels.device }}
电子信息系统房设计规范
weixin_34005042的博客
06-30 4039
电子信息系统房设计规范 (施行日期:2009年6月1日) 1总则  1.0.1 为规范电子信息系统房设计,确保电子信息系统安全、稳定、可靠地运行,做到技术先进、经济合理、安全适用、节能环保,制定本规范。  1.0.2 本规范适用于建筑中新建、改建和扩建的电子信息系统房的设计。  1.0.3 电子信息系统房的设计应遵循近期建设规模与远期发展规...
第十五课 主机防火墙(下)
Choco Lee 的专栏
09-04 628
目录 iptables 规则的备份与恢复 1.1 iptables 规则的保存 1.2 iptables 规则的备份:iptables-save 1.3 iptables 规则的还原:iptables-restore firewalld 2.1 关闭 iptables,启动 firewalld 2.2 firewalld 的9个 zone ...
iptables 详解
热门推荐
Choco Lee 的专栏
06-14 1万+
目录 防火墙简介 iptables 与 firewalld iptables 基础 3.1 链的概念 3.2 表的概念 3.3 链与表的关系 3.4 数据通过的流程 iptables 语法 iptables nat表的应用 1. 防火墙简介 防火墙是一种应用于网络上的过滤制,从保护对象上可分为:主机防火墙...
主机防火墙配置模板linux,主机防火墙的设置与优化
weixin_34846784的博客
05-13 556
一、设置主机防火墙。开放: 服务器的:web服务、vsftpd 文件服务、ssh远程连接服务、ping 请求。1、开放sshd服务开放流入本地主机22端口的数据报文。[root@stu13~]#iptables-AINPUT--destination192.168.60.99-ptcp--dport22-jACCEPT开放从本地主机22端口流出的数据报文[root@stu...
防火墙
momokuku123的博客
09-12 1418
防火墙分类: 1:网络防火墙:整个网络的报文入口,出口  2主机防火墙:单台主机的报文入口,出口 (二)防火墙入门 前言: 什么是Netfilter 1:Netfilter是Linux 2.4.x引入的一个子系统,可以简单的将其看做内核的一个特殊的功能模块,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理制,使得诸如数据包过滤、网络地址转换(
完全图解8种防火墙类型(非常详细),零基础入门到精通,看这一篇就够了
分享Python知识
11-26 4189
完全图解8种防火墙类型(非常详细),零基础入门到精通,看这一篇就够了
防火墙的策略
windy_12138的博客
09-09 5718
防火墙
防火墙安全策略
qq_57289939的博客
03-17 6102
目录防火墙安全策略实验图 1.配置防火墙图形界面 先添加UDP端口 添加网段网卡 启动防火墙FW1 查找防火墙 0/0/0 端口默认的IP地址 将地址与回环端口的地址改为同一网段 放行策略,RTPS协议 测试 输入图形化界面的访问地址 登陆刚才设置的用户名以及密码 2.配置untrust区域 点击网络,进入接口 配置GE1/0/0接口
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 7567
规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
PostgreSQL 9.2.4安装包发布,支持64位Windows系统
资源摘要信息: "PostgreSQL-9.2.4-1-windows-x64.rar是一个专为64位Windows操作系统设计的PostgreSQL数据库管理系统安装包。PostgreSQL是一种开源的对象关系数据库系统,以其高级功能和稳定性而受到青睐。版本*.*.*....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值