iptables常用使用场景分析

最新推荐文章于 2024-11-18 14:31:16 发布
原创 最新推荐文章于 2024-11-18 14:31:16 发布 · 1.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables

iptables常用使用场景分析

0x 01 前言

iptables功能丰富,应用场景多样,本文介绍5种常用场景。

0x 02 准备工作

1.删除旧表和规则

在配置新的iptables规则前,最好先将旧的配置和规则清除:

iptables -F
清除filter表规则
iptables -X 
清除自定义链
2.设置默认的chain策略
默认ACCEPT

iptables默认的chain策略为ACCEPT,放通所有流量,如果需要限制某些路径,再按需设置策略。

之前我一直觉得这样与ACL精神相违背,后来发现iptables的规则比我想象还要灵活很多,安全和易用可以兼得。下面的配置既可以保证安全,也可以避免起初在设置DROP策略时候,可能会由于人为失误等产生的无法连接的情况,维护起来也更为方便,删除策略不会对连通性产生风险。
具体策略如下:

如果是远程连接,需要先保证远程的shell的正常通信,在此默认使用ssh,且端口为22号,使用stateful防火墙特有的状态监测:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

放通ping的流量和本地回环流量
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

禁止其他的流量和流量转发
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
默认DROP

这种设计与ACL的deny all 精神相符合,不过用起来确实会麻烦一点,为了完成基础通信,需要更多的配置。具体配置如下。

如果是远程连接,需要先保证远程的shell的正常通信,在此默认使用ssh,且端口为22号:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

为了保证yum或者apt的正常使用,正常连接各个镜像源,需要将DNS服务端口53和HTTP的默认80端口打开:
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

关闭filter三条默认链的所有流量,包括接收、转发和发出。
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

另外,在chain中要特别注意每条规则的上下顺序,默认是由上往下匹配。而且如果你的tar

最低0.47元/天 解锁文章

200万优质内容无限畅学
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 286
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙的配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables和较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作和实际配置示例。
iptables
xiaogaoxiaoyuan的博客
01-14 1199
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptables的四表五链以及一些应用小场景
dayouzi的博客
10-30 1050
iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作Netfilter模块:它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个链位置在对应表中的规则:匹配之后,进行相应的处理ACCEPT、DROP等等。下面这张图很明了的说明了Netfilter和iptables之间的关系。
Iptables防火墙常见的典型应用场景
11
01-29 469
1.对所有的地址开放本机的tcp(80、22、8080-9090)端口的访问。2.允许对所有的地址开放本机的基于ICMP协议的数据包访问。3.其他未被允许的端口禁止访问。
iptables(12)实际应用举例:策略路由、iptables转发、TPROXY
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-27 2596
策略路由(Policy-Based Routing, PBR)是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。允许管理员根据特定的策略来决定数据包的路由路径,这些策略可以基于数据包的源地址、目的地址、协议类型、端口号等多种因素。路由器将通过PBR决定如何对需要路由的数据包进行处理,PBR决定了一个数据包的下一跳转发路由器。路由策略(Routing Policy)主要是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
25 Most Frequently Used Linux IPTables Rules Examples
weixin_33856370的博客
11-30 142
At a first glance, IPTables rules might look cryptic. In this article, I’ve given 25 practical IPTables rules that you can copy/paste and use it for your needs. These examples will act as a basic te...
软件测试人员常用的Linux命令有哪些?分别在什么场景使用哪些命令?
最新发布
03-05
以下是软件测试人员在日常工作中常用的Linux命令及其适用场景: 1. 目录操作命令:Linux中目录操作是测试人员必须掌握的基本技能。例如,使用`mkdir`创建目录,`rm`删除目录(包括使用`rm -r`删除包含文件的目录和`...
第七章 使用iptables与firewalld防火墙
u012616827的博客
11-18 1006
在图 8-7 所示的局域网中有多台 PC,如果网关服务器没有应用 SNAT 技术,则互联网中的网站服务器在收到 PC 的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络的 IP 地址,所以 PC 也就收不到响应数据包了。换句话说,Linux 系统中其实有两个层面的防火墙,第一种是前面讲到的基于 TCP/IP 协议的流量过滤工具,而 TCP Wrappers 服务则是能允许或禁止 Linux 系统提供服务的防火墙,从而在更高层面保护了 Linux 系统的安全运行。文件来阻止对服务的请求流量。
iptables场景一(上)
实践求真知
11-22 459
一 常见描述 1、对所有的地址开放本机的tcp(80、22、10-21)端口的访问 2、允许对所有的地址开放本机的基于ICMP协议的数据包访问 3、其他未被允许的端口则禁止访问   二 规则加入 [root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT [root@localhost ~]# iptables
Linux iptables场景实战一
weixin_34212189的博客
06-10 96
《Linux iptables:规则原理和基础》和《Linux iptables:规则组成》介绍了iptables的基础及iptables规则的组成,本篇通过实际操作进行iptables应用场景的实际演示。 防火墙设置策略 防火墙的设置策略一般分为两种,一种叫“通”策略,一种叫“堵”策略: 通策略,默认所有数据包是不允许通过的,对于允许的数据包定义规则。 堵策略则是,默认所有数据包是全...
iptables场景三——模拟公司常用简单iptables规则场景
实践求真知
11-22 520
场景要求 1、员工在公司内部(192.168.0.0/24)能访问服务器上的任何服务 2、当员工出差例如在上海,通过VPN连接到公司外网===拨号到===>VPN服务器=====>内网FTP,SAMBA,NFS,SSH 3、公司有一个门户网站需要运行公网访问 二 常见端口梳理     三 配置规则基本思路  
iptables防火墙的介绍及详细应用
yuiLan0的博客
11-02 430
一、Linux包过滤防火墙概述 1.1、netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” 1.2、iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为Linux防火墙的用户态 –上述两种称呼都可以表示Linux防火墙 1.3、包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 二、iptables的表、链结构 2.1、五链 2.1.1、规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各
iptables场景一(中)
实践求真知
11-22 230
一 解决本机无法访问本机 1、问题现象 [root@localhost ~]# telnet 127.0.0.1 22 Trying 127.0.0.1... 无响应 2、解决方法 [root@localhost ~]# iptables -I INPUT -i lo -j ACCEPT [root@localhost ~]# telnet 127.0.0.1 22 Trying
iptables场景二概述
实践求真知
11-22 259
一 ftp规则 1、ftp主动模式下iptables的规则配置 2、ftp被动模式下iptables的规则配置   二 FTP主动模式     三 FTP被动模式       大小: 65.2 KB
iptables应用大全
IT技术
11-25 962
iptables应用全集
ubuntu下的iptables正确用法
weixin_30421525的博客
03-12 387
第一步:导出当前iptables运行值 sudo sh -c "iptables-save > /etc/network/iptables" 如果不想导出可以跳过(可以直接按第二步的方式重新创建默认配置) 第二步:编辑配置文件/etc/network/iptables(默认没有需要自己创建) sudo vi /etc/network/iptables 下面是提...
Ubuntu 16.04中iptables的工具简介(iptables/iptables-restore/iptables-xml/iptables-apply/iptables-save)...
angou6476的博客
09-26 551
Ubuntu 16.04中安装的iptables版本为1.6.0,官方参考:http://www.linuxfromscratch.org/blfs/view/cvs/postlfs/iptables.html,对于一些更详细的用法可以使用man iptables进行参考。 iptables 用于建立,维护和检查Linux内核中IP包过滤规则的表格。 iptables-restor...
关于 iptables ACCEPT DROP REJECT 的相关说明
ideal-lingyun
01-02 1355
关于 iptables ACCEPT DROP REJECT 的相关说明
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值