linux防火墙

最新推荐文章于 2025-03-03 19:37:41 发布
最新推荐文章于 2025-03-03 19:37:41 发布
阅读量702 收藏 1
点赞数 1
分类专栏: linux 文章标签: linux 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Melgards/article/details/127390877
版权

防火墙前提得是路由能通,这个封包能过来,封包进入本机
防火墙主机内部要有路由
防火墙链上(chain)规则是有先后顺序,封包表头信息满足某条规则就action,并不会进行下面的规则匹配,
如果上面的都没有匹配到,那么就执行默认的规则,也就是policy的action。

规则里先过滤精确的,在放通全部的就可以限制指定的IP

tables
filter 管理本机的表【默认的表】
input 从外部进入本机的封包。从外部主机访问本机时候
output 从本机发出的封包。从本机访问外部主机时候
forward 转发到后端主机上

nat 用在linux路由器主机上,管理防火墙内部的主机。进行来源ip+port与目的ip+port之间的转换。需要结合filter表中的forward链。
prerouting 进入本机。在进行路由判断之前进行的规则,修改目标IP地址。dnat
postrouting 从本机出去。在路由判断之后进行的规则,修改来源IP地址。snat
input
output

POSTROUTING 在修改来源 IP ,
PREROUTING 则在修改目标 IP 。
mangle 管理标志的
options 自定义表

查看指定表上的防火墙规则
v会显示统计信息
iptables -t nat -L -nv
iptables -t nat -L -n

列出防火墙的规则命令
iptables-save
iptables-save -t nat

防火墙规则解释
target代表要执行的动作,有ACCEPT DROP REJECT
prot 代表封包的协议,有tcp udp icmp
opt 额外说明
source 代表封包上的来源ip地址
destination 代表封包的上目标ip地址

清理防火墙规则
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

设定防火墙
1、设定防火墙filter表上的INPUT链上的默认策略为drop
iptables -t filter -P INPUT DROP

2、设定常见的参数
没有指定的参数,就是接受
-A 在原本规则最后面追加一条
-I 默认插入在第1条规则
-A 链名称

-i 封包进入的网卡名称,与INPUT链结合
-o 封包出去的网卡名称,与OUTPUT 链结合

-p 封包的协议,有tcp udp icmp all

-s 封包表头的来源地址,可以是ip,也可以网段
-s 192.168.1.1
-s 192.168.1.1/24
-s 192.168.1.1/255.255.255.0
如果不允许
-s ! 192.168.1.1
-d 封包表头上的目标地址,可以是ip,也可以网段

–sport 封包表头上的来源地址的端口,通常结合tcp或者udp协议使用
-p tcp --sport 1521
-p udp --sport 1521:1588
–dport 封包表头上的目标地址的端口,通常结合tcp或者udp协议使用

-j 动作,有ACCEPT DROP REJECT LOG

iptables -A INPUT -p tcp -s 172.16.0.131 -j DROP
iptables -A INPUT -p tcp -i eth0 -s 172.16.0.132 -j DROP

-m 外挂模块,state(状态模块)mac(网卡地址)
–state 封包状态
INVALID 无效封包
ESTABLISHED 已经联机成功的封包
NEW 想新建立联机的封包
RELATED 我们主机发送出去的封包有关

-m state --state ESTABLISHED,RELATED
-m mac --mac-source mac地址

禁ping
iptables -A INPUT -i eth34 -p icmp --icmp-type 8 -j DROP

常见的设定

  1. 清除规则
    iptables -F
    iptables -X
    iptables -Z
  2. 设定政策
    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    3.制定规则
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
    #iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -p TCP -i $EXTIF --dport 80 --sport 1024:65534 -j ACCEPT
    4.写入防火墙规则文件里/etc/sysconfig/iptables
    /etc/init.d/iptables save

SNAT 用于内部主机访问外网
出去:POSTROUTING 经过路由后,将来源地址从私网ip修改成public ip
返回:PREROUTING 经过路由前,将目标地址从public ip修改成私网ip地址

eth1是内网网卡 eth0是外网网卡
iptables -A INPUT -i eth1 -j ACCEPT
echo “1” > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 172.16.0.20/24 -o ens32 -j MASQUERADE

直接修改ip
iptables -t nat -A POSTROUTING -o ens32 -j SNAT --to-source 192.168.1.100

DNAT 用于外部主机访问内部主机,外部先请求到linux路由器上,然后由DNAT将真正的需要转发到内部服务器上
进去:PREROUTING 经过路由之前,将目标地址从public ip修改成私网IP
回来:POSTROUTING 经过路由后,扔到了public ip上,将来源地址从私网ip修改成public ip
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10:80
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080

DNAT和SNAT刚好相反

iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.0.20/24 -o ens32 -j MASQUERADE

linux 防火墙详解
wq962464的博客
12-09 3660
一、linux防火墙基础 1.防火墙概念 在计算机科学领域中,防火墙(Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。 防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件 2.功能:防火墙...
Linux中的火墙策略
weixin_68562945的博客
05-23 215
1.火墙介绍 netfilter iptables iptables |firewalld 这个两个工具是用来管理火墙的 dnf install iptables-services -y 安装iptables火墙管理工具 2. 火墙管理工具 iptables的使用 iptables -L 查看火墙策略 iptables -F清空火墙策略 service iptables -save 保存火墙策略 /etc/sysconfig/iptables...
防火墙策略添加linux,通过iptables设置Linux防火墙INPUT策略
weixin_28954623的博客
05-09 746
原标题:通过iptables设置Linux防火墙INPUT策略小白电脑课堂开课啦!游戏团战就死机,多半是废了。大家好我是小白。说到防火墙,同学们都会想到开了防火墙就会卡的Windows。而在Linux中,防火墙是个很重要的服务。虽然现在已经有了新的firewalld服务,但新的防火墙配置工具也没有完全取代iptables,而且很多企业还在iptables服务。今天小白就用iptables来演示如何...
linux应用:文件IO
qq_43441284的博客
03-03 567
文件描述符(File Descriptor)是在 Linux 等操作系统中用于标识已打开文件的整数。它是操作系统内核为了管理文件而分配给每个打开文件的一个唯一标识符静态文件是指内容固定不变的文件,在服务器上以固定的格式存储,每次被请求时,服务器直接将其内容发送给客户端,不经过任何动态处理。动态文件是指内容根据不同的条件和请求而动态生成的文件。服务器在接收到客户端请求时,会根据请求的参数、用户的状态、数据库中的数据等因素,通过执行相应的程序或脚本动态生成文件内容,然后发送给客户端。O_RDONLY。
Linux 防火墙配置
万里归来少年心
09-27 379
1.查看IPTABLES设置 iptables -L -n      可以看出,Linux系统上有防火墙,并且开放了22,3306端口。 2.清除原有规则 iptables -F     该命令可以清除预设filter中的所有规则3.设定预设规则 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P...
Linux防火墙策略
weixin_44828950的博客
05-15 1万+
linux防火墙策略 什么是防火墙 众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样就可...
LINUX防火墙(原书第3版).pdf
09-22
Linux防火墙是一种基于Linux操作系统的网络安全系统,其主要目的是为了保护计算机和网络不受未经授权的访问。Linux防火墙可以通过一系列规则来控制进出网络的数据流,从而保护系统安全。 Linux防火墙有几种实现方式...
Linux 防火墙 IPtables 全攻略》.pdf
10-27
Linux防火墙iptables是一种基于内核的防火墙软件,具有网络流量过滤功能。iptables主要通过NetFilter来实现规则的存放和执行,而iptables则运行在用户空间,负责定义规则并将它们传递给NetFilter。iptables中的规则...
Linux防火墙-firewalld
01-09
1、基本使用 启动: systemctl start firewalld 查看状态: systemctl status firewalld 停止: systemctl disable firewalld 禁用: systemctl stop firewalld 2、Centos7操作 1、启动一个服务 ...
利用linux防火墙实现IP访问控制
09-28
自己总结的linuxe下通过linux防火墙软件实现对ip源目地址的访问控制,希望可以帮助到需要的朋友
linux防火墙 中文版.pdf
06-03
linux防火墙 中文版.pdf
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 7442
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义中,根据需求进行配置。如果想要删除自定义,确保满足以下条件:自定义没有被任何默认引用,即自定义的引用计数为0。自定义中没有任何规则,即自定义为空。可以使用-x示例自定义使用自定义添加:iptables -N custom(名) 创建定义改名:iptables -E custom(原来名称) ky29(新名称) 自定义改名。
Linux配置防火墙的相关命令
Limitless* 的博客
12-07 365
(命令直接复制执行!)查看防火墙状态: /etc/init.d/iptables status 暂时关闭防火墙: /etc/init.d/iptables stop配置防火墙: vi /etc/sysconfig/iptables -A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT(允许80端口通过防火墙) -A
Linux下iptables防火墙策略管理
weixin_45792518的博客
03-22 1273
1.防火墙的介绍 防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。广义来说,只要能够分析与过滤进出管理网段的数据包数据,就可以称为防火墙防火墙最大的功能就是帮助用户限制某些服务的存取来源。防火墙最主要的功能是: ·限制文件传输服务(FTP)只在子网段内的主机之间使用,而不对整个Internet开放。 ·限制整台Linux主机仅可以接受客户端...
(二)Linux 防火墙----网络防火墙,NET,firewalld
weixin_45697293的博客
05-31 518
文章目录六. 网络防火墙综合实验:七. NAT2. SNAT3. DNAT(重点***)(端口映射,只能一对一)4. 转发(端口重定向redirect)重点八. firewalld服务(centos 7)firewalld zone分类预定义服务firewalld配置firewall-cmd 命令选项九. firewall其它规则管理rich规则rich日志规伪装和端口转发端口转发练习 六. 网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter的FORW
Linux防火墙配置
weixin_46544151的博客
04-15 3236
一、实验目的及要求 1.不允许外网不经过防火墙与内网进行通信 2.允许内网用户通过防火墙访问外部HTTP、HTTPS服务器 3.允许内网用户通过防火墙访问外部FTP服务器 二、实验环境 3台Ubuntu虚拟机 Ubuntu 64位:内网(服务器) Ubuntu 2 :网关(防火墙) Ubuntu 3:外网 注:Ubuntu的可视化操作较为便利,这里使用Ubuntu易于进行网段和ip地址的设置。 三、实验原理 1.防火墙的概念 防火墙(firewall)是位于内部网和...
Linux的firewalld防火墙
qq_70756940的博客
04-17 1063
①、firewalld(Dynamic Firewall Manager of Linux systems,Linux系统的动态防火墙管理器)服务是默认防火墙配置管理工具,它拥有基于CLI(命令行界面)和基于GUI(图形用户界面)的两种管理方式。②、相较于传统的防火墙管理配置工具,firewalld支持动态更新技术并加入了区域(zone)的概念。|zone:有多种区域,我们的IP、网卡可以加入到不同的区域。(互联网的地址 | 老师的电脑)|service:各种服务|各种端口。
Linux 防火墙 iptables 详解
兴趣是最好的老师,勤能补拙
06-20 4845
防火墙是一种计算机网络安全设备,用于保护计算机和网络不受未经授权访问。它通过控制网络上进出数据流的流量,来控制通信的访问。当阻止外部网络访问或从内部网络到外部网络的访问时,防火墙就会发挥作用。防火墙可分为软件防火墙和硬件防火墙两种类型。其中,软件防火墙是一种安装在操作系统上的防火墙,如 iptables、Firewalld 和 UFW 等,而硬件防火墙是一种独立于计算机和操作系统之外的设备,如 Cisco ASA 和 Juniper SRX。
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
(table) 包含4个: 4个的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW只使用在PREROUTING和OUTPUT上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW,在某个上,RAW处理完后,将跳过NAT和ip_conntrack处理,即不再做地址转换和数据包的接跟踪处理了. filter---这个规则是预设规则,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
Linux防火墙
最新发布
03-18
### Linux 防火墙概述 Linux 系统中的防火墙主要通过 `iptables` 或更现代的工具如 `firewalld` 和 `nftables` 来实现网络流量控制。这些工具允许管理员定义规则来过滤传入和传出的数据包,从而保护服务器免受未经授权访问。 #### iptables 的基本概念 `iptables` 是一种基于命令行的工具,用于管理 IPv4 数据包过滤。它支持多种匹配条件以及动作执行方式。以下是其核心组件: - ** (Chain)**:预设的有 INPUT、OUTPUT 和 FORWARD。 - **规则 (Rule)**:指定如何处理数据包。 - **目标 (Target)**:决定数据包的命运,比如 ACCEPT(接受)、DROP(丢弃)或 REJECT(拒绝并通知发送方)。[^1] ```bash sudo iptables -L -v ``` 上述命令可以查看当前设置的所有规则及其详细信息。 #### firewalld 功能特点 相比传统的 `iptables`,`firewalld` 提供了一个动态管理防火墙的功能集,并且支持区域的概念以便于分类不同的信任级别。它的优势在于能够实时修改而无需重启服务。[^2] 安装与启动 service: ```bash sudo apt install firewalld # 对Debian/Ubuntu系统适用 sudo systemctl start firewalld sudo systemctl enable firewalld ``` 添加端口开放示例: ```bash sudo firewall-cmd --add-port=80/tcp --permanent sudo firewall-cmd --reload ``` 以上两条指令分别永久开启 HTTP 协议对应的 80 号端口,并重新加载配置使更改生效。 #### nftables 新特性介绍 作为下一代框架替代品之一,`nftables` 设计上更加灵活高效,在语法结构上有显著改进。它引入了集合(Set)机制简化复杂场景下的策略制定过程。同时提供了丰富的扩展模块满足特定需求。[^3] 简单例子展示创建一条阻止所有外部SSH连接的新规: ```bash sudo nft add table inet filter sudo nft add chain inet filter input { type filter hook input priority 0 \; } sudo nft add rule inet filter input tcp dport 22 counter drop ``` 这组脚本先声明一个新的格及关联条,最后一步则具体指定了针对TCP协议下目的端口号为22(即ssh默认值)的所有请求都予以拦截操作。 ### 结论部分 综上所述,无论是经典方案还是新兴技术路线都能很好地完成linux平台上的网络安全防护任务;选择哪款取决于实际应用场景和个人偏好等因素考量之后再做定夺比较合适。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值