iptables配置

最新推荐文章于 2025-02-21 14:39:32 发布
最新推荐文章于 2025-02-21 14:39:32 发布
阅读量1k 收藏 1
点赞数
分类专栏: LINUX相关 文章标签: centos iptables 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gentlycare/article/details/50731744
版权
本文介绍了iptables在CentOS系统中的配置,包括iptables的工作原理、预定义链路、接口、IP地址、端口和协议。通过示例规则设置,帮助读者理解如何管理防火墙策略,以确保服务器安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、Iptables介绍

Centos系统内建了一个强大的防火墙,通常又被称为iptables。准确的说应该叫iptables/netfilter。iptables工作于用户层,用户通过命令行给防火墙预定规则表。netfilter是一个内核模块,完成实际的过滤工作。有许多GUI软件方便用户来设置防火墙规则,但都缺乏一定的灵活性,并且限制用户了解其中真正发生了什么。

在开始配置Iptables之前,我们需要知道知道一些它是如何工作的。Iptables利用到了 IP 地址、协议(tcp,udp,icmp)和端口。我们不需要成为这方面的专家,但多少知道一些有助于理解iptables是如何工作的。

Iptables给预定义的链路(INPUT、OUTPUT、FORWARD)设置规则。链路校验IP包并根据定义的规则对其做相应的处理,如:接受、丢弃等。对包的处理又被称为:targets。两个通常用到的target一个是DROP用于丢弃一个包、一个是ACCEPT用于接受一个包。

链路

有三个预定义的链路定义在filter表内,我们可以给它添加规则来处理通过链路的IP包。三个链路分别是:
- INPUT -所有发往本机的数据包
- OUTPUT -所有从本机输出的数据包
- FORWARD -所有的即不是发往本机也不是从本机发出的数据包,但是需要通过本机的数据包。通常用在本机当作一个路由器的情况下。

所有的规则最终被添加到链路的一张表内。一个数据包在链路的规则表内轮流被校验,从顶部开始,一旦匹配到规则,规则定义的行为被执行,例如接受(ACCEPT)、丢弃(DROP)数据包。一旦数据包被处理、后续的规则将不会被执行。如果一个数据包没有匹配到任何一条规则,那么链路的默认行为会被使用,这被称为链路的默认策略。通常有两种默认的链路配置策略:

  • 1、 设置默认策略丢弃所有的数据包、添加规则指定我们需要允许的IP地址或者指定端口的服务,如FTP、web服务器、Samba文件服务等。
  • 2、 设置默认策略接受所有的数据包、添加规则指定我们需要拒绝的IP地址或者指定端口等。

2、起步

确认iptables已经安装: 

[luncher@localhost ide-server]$ rpm -qa iptables
iptables-1.4.21-13.fc21.x86_64
[luncher@localhost ide-server]$

查看当前配置信息: 

[luncher@localhost ide-server]$ sudo iptables -L
[sudo] password for luncher: 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh

我们可以看到ssh服务默认被centos服务允许了。

iptables 还有一些基本的命令如:start/restart/off/on等,和其他系统服务器基本类似。

3、写一个简单的规则设置

一组简单的配置规则: 

# iptables -P INPUT ACCEPT
# iptables -F
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -L -v

看看最终的结果:

[luncher@localhost ide-server]$ sudo iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   34  6368 ACCEPT     all  --  any    any     anywhere             anywhere             state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:ssh

下面来详细解释一下以上八个命令的具体作用:

  • 1、 iptables -P INPUT ACCEPT
    如果我们远程登录到服务器修改配置,那么我们必须临时给INPUT设置默认的策略ACCEPT,否则一旦我们把规则表清空,我们将无法登录服务器。

  • 2、 iptables -F
    用户清空filter表当前的配置规则。以便添加新规则。

  • 3、iptables -A INPUT -i lo -j ACCEPT
    给INPUT链的末尾添加规则,当数据包进入本地网络使用的接口为localhost时,那么跳转(-j)到行为接受(ACCEPT)。多数软件都回和本地主机(localhost)适配器通信,所以必须开启该通道。

  • 4、iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
    接下来我们要保障已经建立的链路通信,这里我们使用state判断数据包的状态,辨别这是一个新的链接、还是一个已经建立的链接。允许接受已经建立链接的数据包。

  • 5、iptables -A INPUT -p tcp –dport 22 -j ACCEPT
    SSH链接基于22端口,我们必须开启ssh服务。--dport选项基于tcp包的目的端口来匹配包,--sport类似。

  • 6、iptables -P INPUT DROP
    INPUT链设置默认的行为(target)。-P用于指定链路(--policy)。

  • 7、iptables -P FORWARD DROP
    FORWARD链设置默认行为(target)。

  • 8、iptables -P OUTPUT ACCEPT
    最后,我们设置OUTPUT允许默认输出,表明我们信任我们的用户。

  • 9、iptables -L -v
    列出当前的配置规则

4、接口

在上面例子,我们可以给以指定网络接口的数据包设置规则,例如:

iptables -A INPUT -i lo -j ACCEPT

常用的网口还有:eth0eth1等等。

5、IP地址

有时候对整个网口做限制还是不够精确,我们需要更加细致的规则来达到我们说要的效果。例如,添加一个可信的IP地址:

iptables -A INPUT -s 192.168.0.51 -j ACCEPT

有时候一个IP还是不够用,我们需要对一个地址范围的IP定制规则:

iptables -A INPUT -s 192.168.0.0/51 -j ACCEPT

为了防止IP地址伪造,我们也可以根据mac地址来过滤: 

iptables -A INPUT -s 192.168.0.51 -m mac --mac-source 0a:d0:62:de -j ACCEPT

6、端口和协议

上面我们看到了一些基于IP地址的过滤规则配置,接下来我们来学习根据协议以及端口号来设置过滤规则。在我们开始之前,必须知道一些特定服务的协议以及端口号,例如:bittorrent 服务,使用的是tcp协议,端口号默认6881

iptables -A INPUT -p tcp --dport 6881 -j ACCEPT

如果我们要对一系列连续的端口做相同的操作可以这样: 

iptables -A INPUT -p tcp --dport 6881:6991 -j ACCEPT

注意:在限制端口之前必须指定协议类型,常用的有:tcp、udp、icmp。

7、总结

来看一个生产机器上的防火墙配置:

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -s 117.135.137.133 -m tcp -p tcp --dport 10050 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10240 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -p tcp -m tcp --sport 10240 -j ACCEPT
COMMIT

解释几个选项
- 1、*filter表示当前的表名为filter,一般不可以修改
- 2、:INPUT ACCEPT [0:0]表示链的详细说明,:<chain-name> <chain-policy> [<packet-counter>:<byte-counter>]
- 3、COMMIT:每个表的描述都以COMMIT关键字结束
- 4、–reject-with icmp-host-prohibited:设置REJECT(target)的返回信息,也就是给发送者返回拒绝信息。可以参看常用的icmp类型。

到这里,我们学习了iptables的基础配置。相信经过不断的刻意练习,iptables配置一定烂熟于心。

app稳定性测试之Monkey工具
05-22 1745
Monkey是一款针对Android应用程序的自动化测试工具,它的名字寓意着像猴子一样在软件上随机乱敲按键,以此来模拟用户的随机操作。通过向系统发送伪随机的用户事件流(如按键输入、触摸屏输入、滑动Trackball、手势输入等操作),Monkey可以对设备上的程序进行测试,检测程序在长时间运行下的稳定性,并观察程序在何种情况下会出现异常。
稳定性测试Fastbot-Andriod
m0_71999197的博客
03-08 521
Fastbot基于model-based testing 结合机器学习、强化学习的APP 稳定性测试工具
Fastbot_Android 介绍
最新发布
jxhln的博客
02-21 75
ADBKeyBoard在输入栏自动输入内容,屏蔽UI输入法遇到搜索栏乱输入,想要输入指定字符下载 ADBKeyBoard,并在手机端中设置为默认输入法 ADBKeyBoard下载地址,生效后,当遇到输入栏ADBKeyBoard不会弹起ui输入栏,会显示配置max.config中在pc端新建max.config文件(文件名称不可更改)输入通过以下命令将max.config文件push到手机端从文件中随机读取字符串输入配置max.config中在pc端新建文件(文件名称不可更改)
测试工具Fastbot 客户端稳定性测试
gogoboi_jin的博客
11-04 1476
做这个主要为了发版之前提前发现崩溃,风险前置。适合客户端很重的业务。优点:你不改动也能用, 维护成本不高。缺点:容易进入H5页面无法返回,效果有限。备注:我这边接手别人维护,公司降本把测开工作给到我这边了。test目录放了相关的各个包定向配置文件(具体查看 push定向配置部分)。需要针对不同的进行定制,对应包的配置值在运行服务器上存放,没有添加git代码中相关的jar需要人工手动的push到 手机的/sdcard 目录中, test目录下的相关配置文件java程序每次安装新包的时候,会重新push到手机/
android 稳定性测试工具,APP 稳定性测试工具-Fastbot_Android详解
weixin_39897887的博客
05-25 575
基于monkey的二次开发,约束monkey的行为,比monkey更智能。写在开始monkey测试的随机性概率过大,导致其效率并不能达到预期。有时可能遍历了很久,依旧与最有可能发生问题的部分擦肩而过。Fastbot_Android介绍基于model-based testing 结合机器学习、强化学习的APP 稳定性测试⼯具优势1.模拟机和真机均可以2.继承原⽣Monkey的优势,快速点击,每秒...
Fastbot稳定性测试
weixin_44775434的博客
05-05 2197
Fastbot 稳定性测试的特点主要在于:使用简单,可快速上手操作,其探索过程中其对探索应用的深度和范围都比现有的 monkey 要更好,同时也可以满足对特定的业务进行定向测试的需求。
3分钟了解Android稳定性测试
qq_53071851的博客
05-24 415
一、什么是Monkey,Monkey在英文里的含义是猴子,在测试行业的学名叫“猴子测试”,指的是没有测试经验的人甚至是根本不懂计算机的人(就像一只猴子),不需要知道程序的任何用户交互方面的知识,给他一个程序,他就会对他看到的任何界面进行操作,当然操作是无目的的、随便乱按乱点的,这种测试在产品周期的早期阶段会很有效,为用户节省了很多时间。Monkey 是 Android平台提供的一种自动化测试方法,它会随机的模拟发送各种按键,点击,滑动等用户事件来实现压力测试。看系统版本是否稳定,能否持续的为用户提供服务
APP稳定性测试工具fastbot(字节开源项目)
热门推荐
hdandan2015的博客
09-16 1万+
1、简介 fastbot是字节团队基于monkey的二次开发的app稳定性测试工具,目前已经开源,此工具有比较深入的算法探索,目前已经更新了多个版本,相对稳定的支持了移动端app、H5页面的自动化遍历,支持定制测试、当发生crash、anr时会有比较全的log可导出供分析。 简介参考testhome:字节跳动质量利器 -- 移动端智能化稳定性测试工具 Fastbot-Android/iOS 双端重磅发布上线 · TesterHome 更多详情参见:奔跑吧!智能Monkey之Fastbot跨平台 此开
python:快速启动-android稳定性测试
一名小测试
02-23 2071
快速启动-android稳定性测试 前置条件: 需安装adb环境、需安装adb环境、需安装adb环境,重要事情说三遍 项目简介: 结合字节跳动提供的开源工具Fastbot_android, 进行封装了基础版的稳定性测试,只需要数据线连接电脑,并确定在cmd中输入adb devices,看到了手机设备号,即可运行命令。 修改日志 第二版主要是优化读取命令的方式、简化了命令行输入命令、增加自定义元素点击及工程目录的创建 安装包 pipinstallfastrun 网站简介 https://py..
python:app稳定性测试工具
一名小测试
02-17 6743
工作中因要测试app稳定性,市场上多用于monkey进行稳定测试,而字节跳动开源了一个基于monkey的稳定性测试工具Fastbot,使用了一阶段,超级棒. 因为每次都要去输入一堆命令,故写了一个第三方包,主要功能是基于持续几分钟的点击效果 首先是构建包 创建一个包的工程目录: #\launchProject\setup.py fromsetuptoolsimportsetup,find_packages withopen("README.md","r",encodin...
APP智能遍历工具-Fastbot
qq_42264956的博客
09-18 2412
APP智能遍历工具-Fastbot
Fastbot_Android:Fastbot(2.0)是基于模型的测试工具,用于对GUI过渡进行建模以发现应用程序稳定性问题
04-13
Fastbot-Android开源手册 介绍 Fastbot是基于模型的测试工具,用于对GUI过渡进行建模以发现应用程序稳定性问题。 它结合了机器学习和强化学习技术,以更智能的方式帮助发现。 Fastbot中的GUI状态抽象是通过参考项目APE实现的。 特征 Fastbot与多种Android OS系统兼容,包括原始AndroidAndroid 5-11以及国内制造商对基于Andriod的修改后的系统的变体。 从原始的Monkey继承而来,Fastbot允许每秒插入多达12个动作的快速动作。 专家系统具备根据不同业务线的需求进行深度定制的能力。 Fastbot是基于模型的测试工具。 模型是通过考虑高奖励选择选择的图过渡来构建的。 Fastbot通过计算机视觉技术(例如YOLOv3,ocr和cv分段)支持非标准小部件。 Fastbot-iOS:正在建设中 用法 环境准备 确保您的
Android稳定性测试APK
08-15
Android稳定性测试APK,可以进行稳定性测试和平板耗电测试。
Android APP 稳定性测试工具—Fastboot使用教程
u014802464的博客
08-23 5360
测试工具Android APP 稳定性测试工具
APP稳定性测试工具:Monkey
qq_43371695的博客
09-19 231
Monkey 是一款 app 的自动化测试工具,monkey 是猴子的意思,所以从原理上说,它的自动化测试就类似猴子一样在软件上乱敲按键,猴子什么都不懂,就爱捣乱。Monkey 原理也是类似,通过向系统发送伪随机的用户事件流(如按键输入、触摸屏输入、滑动 Trackball、手势输入等操作),来对设备上的程序进行测试,检测程序长时间的稳定性,多久的时间会发生异常。
安卓稳定性测试必备工具Monkey详解
软件测试技术交流分享
08-11 681
Monkey主要就是为了测试APP,是否会出现崩溃
Android稳定性测试利器-Monkey介绍及环境配置
nicolas_li的专栏
07-27 4582
 一、什么是Monkey Monkey是Android中的一个命令行工具,可以运行在Android模拟器或手机设备中。它向系统发送伪随机的用户事件流(如屏幕的点击、滑动和系统按键操作等),实现对正在开发的app进行压力测试。Monkey主要用于对android系统中开发的app进行稳定性测试。 Monkey在使用时需要通过USB将手机设备与PC相连,在PC端使用Adb shell命令调用
App稳定性测试-Fastbot使用笔记
qq_38032510的博客
11-18 1万+
app稳定性测试工具使用方法
Android APP稳定性测试工具Fastbot
测试开发小记
11-14 4426
Fastbot是由字节跳动 Quality Lab开源的一款基于model-based testing 结合机器学习、强化学习的APP 稳定性测试工具,提供了Android和iOS版本。本文记录一下Fastbot的使用方法。
fastbot 字节
09-18
fastbot 是字节跳动旗下的一个智能助手,在2021年推出。它具有多项功能,可以为用户提供语音交互、信息搜索、日程管理、天气查询等等服务。 首先,fastbot 的语音交互功能非常强大。它可以听懂用户的语音指令,并通过智能算法进行解析和理解。用户可以通过语音的方式与fastbot 进行对话,非常方便。 其次,fastbot 可以进行信息搜索。用户可以向fastbot 提出问题或者搜索请求,fastbot 会通过搜索引擎或者自有数据库快速找到答案并反馈给用户。这对于用户获取信息非常便捷。 此外,fastbot 还具备日程管理功能。用户可以在fastbot 中设置提醒事项、安排日程,fastbot 会在事项发生之前提醒用户,帮助用户合理安排时间。 最后,fastbot 还可以查询天气。用户可以询问fastbot当天或者未来几天的天气情况,fastbot 会通过调用天气接口提供详细的天气预报,帮助用户合理出行。 总而言之,fastbot 字节是一个功能强大的智能助手,它通过语音交互、信息搜索、日程管理和天气查询等多项功能,可以提供便捷的服务,帮助用户更高效地处理各种事务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值