iptables常用使用场景分析

最新推荐文章于 2025-04-12 09:53:13 发布
原创 最新推荐文章于 2025-04-12 09:53:13 发布 · 1.6k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables

iptables常用使用场景分析

0x 01 前言

iptables功能丰富,应用场景多样,本文介绍5种常用场景。

0x 02 准备工作

1.删除旧表和规则

在配置新的iptables规则前,最好先将旧的配置和规则清除:

iptables -F
清除filter表规则
iptables -X 
清除自定义链
2.设置默认的chain策略
默认ACCEPT

iptables默认的chain策略为ACCEPT,放通所有流量,如果需要限制某些路径,再按需设置策略。

之前我一直觉得这样与ACL精神相违背,后来发现iptables的规则比我想象还要灵活很多,安全和易用可以兼得。下面的配置既可以保证安全,也可以避免起初在设置DROP策略时候,可能会由于人为失误等产生的无法连接的情况,维护起来也更为方便,删除策略不会对连通性产生风险。
具体策略如下:

如果是远程连接,需要先保证远程的shell的正常通信,在此默认使用ssh,且端口为22号,使用stateful防火墙特有的状态监测:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

放通ping的流量和本地回环流量
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

禁止其他的流量和流量转发
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
默认DROP

这种设计与ACL的deny all 精神相符合,不过用起来确实会麻烦一点,为了完成基础通信,需要更多的配置。具体配置如下。

如果是远程连接,需要先保证远程的shell的正常通信,在此默认使用ssh,且端口为22号:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

为了保证yum或者apt的正常使用,正常连接各个镜像源,需要将DNS服务端口53和HTTP的默认80端口打开:
iptables -A INPUT -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -m udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

关闭filter三条默认链的所有流量,包括接收、转发和发出。
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

另外,在chain中要特别注意每条规则的上下顺序,默认是由上往下匹配。而且如果你的tar

最低0.47元/天 解锁文章

200万优质内容无限畅学
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 286
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙的配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables和较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作和实际配置示例。
iptables
xiaogaoxiaoyuan的博客
01-14 1197
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptables的四表五链以及一些应用小场景
dayouzi的博客
10-30 1050
iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作Netfilter模块:它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个链位置在对应表中的规则:匹配之后,进行相应的处理ACCEPT、DROP等等。下面这张图很明了的说明了Netfilter和iptables之间的关系。
25 Most Frequently Used Linux IPTables Rules Examples
weixin_33856370的博客
11-30 142
At a first glance, IPTables rules might look cryptic. In this article, I’ve given 25 practical IPTables rules that you can copy/paste and use it for your needs. These examples will act as a basic te...
Iptables防火墙常见的典型应用场景
江晓龙的博客
07-11 1051
需求如下:防火墙配置规则如下: 查看设置的防火墙规则: 1.对所有的地址开放本机的tcp(80、22、8080-9090)端口的访问。 2.允许对所有的地址开放本机的基于ICMP协议的数据包访问。 3.其他未被允许的端口禁止访问。...
iptables场景一(上)
实践求真知
11-22 459
一 常见描述 1、对所有的地址开放本机的tcp(80、22、10-21)端口的访问 2、允许对所有的地址开放本机的基于ICMP协议的数据包访问 3、其他未被允许的端口则禁止访问   二 规则加入 [root@localhost ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT [root@localhost ~]# iptables
Linux iptables场景实战一
weixin_34212189的博客
06-10 96
《Linux iptables:规则原理和基础》和《Linux iptables:规则组成》介绍了iptables的基础及iptables规则的组成,本篇通过实际操作进行iptables应用场景的实际演示。 防火墙设置策略 防火墙的设置策略一般分为两种,一种叫“通”策略,一种叫“堵”策略: 通策略,默认所有数据包是不允许通过的,对于允许的数据包定义规则。 堵策略则是,默认所有数据包是全...
软件测试人员常用的Linux命令有哪些?分别在什么场景使用哪些命令?
03-05
以下是软件测试人员在日常工作中常用的Linux命令及其适用场景: 1. 目录操作命令:Linux中目录操作是测试人员必须掌握的基本技能。例如,使用`mkdir`创建目录,`rm`删除目录(包括使用`rm -r`删除包含文件的目录和`...
第七章 使用iptables与firewalld防火墙
u012616827的博客
11-18 1006
在图 8-7 所示的局域网中有多台 PC,如果网关服务器没有应用 SNAT 技术,则互联网中的网站服务器在收到 PC 的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络的 IP 地址,所以 PC 也就收不到响应数据包了。换句话说,Linux 系统中其实有两个层面的防火墙,第一种是前面讲到的基于 TCP/IP 协议的流量过滤工具,而 TCP Wrappers 服务则是能允许或禁止 Linux 系统提供服务的防火墙,从而在更高层面保护了 Linux 系统的安全运行。文件来阻止对服务的请求流量。
iptables场景三——模拟公司常用简单iptables规则场景
实践求真知
11-22 520
场景要求 1、员工在公司内部(192.168.0.0/24)能访问服务器上的任何服务 2、当员工出差例如在上海,通过VPN连接到公司外网===拨号到===>VPN服务器=====>内网FTP,SAMBA,NFS,SSH 3、公司有一个门户网站需要运行公网访问 二 常见端口梳理     三 配置规则基本思路  
iptables防火墙的介绍及详细应用
yuiLan0的博客
11-02 430
一、Linux包过滤防火墙概述 1.1、netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” 1.2、iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为Linux防火墙的用户态 –上述两种称呼都可以表示Linux防火墙 1.3、包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 二、iptables的表、链结构 2.1、五链 2.1.1、规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各
iptables(12)实际应用举例:策略路由、iptables转发、TPROXY
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-27 2596
策略路由(Policy-Based Routing, PBR)是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。允许管理员根据特定的策略来决定数据包的路由路径,这些策略可以基于数据包的源地址、目的地址、协议类型、端口号等多种因素。路由器将通过PBR决定如何对需要路由的数据包进行处理,PBR决定了一个数据包的下一跳转发路由器。路由策略(Routing Policy)主要是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。
iptables场景一(中)
实践求真知
11-22 230
一 解决本机无法访问本机 1、问题现象 [root@localhost ~]# telnet 127.0.0.1 22 Trying 127.0.0.1... 无响应 2、解决方法 [root@localhost ~]# iptables -I INPUT -i lo -j ACCEPT [root@localhost ~]# telnet 127.0.0.1 22 Trying
iptables场景二概述
实践求真知
11-22 259
一 ftp规则 1、ftp主动模式下iptables的规则配置 2、ftp被动模式下iptables的规则配置   二 FTP主动模式     三 FTP被动模式       大小: 65.2 KB
iptables应用大全
IT技术
11-25 962
iptables应用全集
操作iptables时应特别注意规则的顺序
jiangtongcn的专栏
03-18 8436
oracle在centos本机能够正常访问,关闭防火墙也能够远程访问,但是一旦开启防火墙则不能远程访问 尝试添加规则iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT,但是仍然不能远程访问 尝试vi /etc/sysconfig/iptables,修改配置添加-A INPUT -m state
iptabels 设置经验
weixin_34008805的博客
06-06 270
iptalbes 设置 在ubuntu 16.04 中的设置 一般用iptables-apply 配置文件比较好, 如果出问题 也可以恢复过来 然后还有就是一定要设置开机启动的 屏蔽所有的 *filter:INPUT ACCEPT [22423863:4764746538]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [563634191:49247665107]-...
深入理解iptables及其扩展和历史
最新发布
weixin_33557333的博客
04-12 354
本文详细介绍了iptables的基本使用方法,包括数据包过滤、NAT处理、扩展功能和Netfilter内部机制。同时,对iptables的作者团队和版本信息进行了概述,为读者提供了一个全面的学习和参考资料指南。
使用iptables-translate的Web应用程序开发指南
### 知识点详解 ...通过Docker和npm两种安装方法,适应了不同的使用场景和用户需求。同时,该应用程序的构建和部署依赖于多种技术栈,包括但不限于Node.js、ExpressJS、iptables、nftables,以及Docker容器技术。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值