linux->Iptables

最新推荐文章于 2025-05-16 08:33:21 发布
转载 最新推荐文章于 2025-05-16 08:33:21 发布 · 136 阅读 · 0

本文详细介绍了Iptables防火墙的基本配置方法,包括安装、配置文件编辑、常用命令操作以及具体实例演示。适合初学者快速掌握Iptables的基本使用。

Iptables 介绍

前提说明

iptables 的设置在 CentOS 和 Ubuntu 下有些细节不一样,Ubuntu 这里不讲,文章底下贴的资料有部分关于 Ubuntu 的,有需要的可以自己看。一般大家会用到 iptables 都是服务器,而一般服务器大家普遍是用 CentOS)

Iptables 安装

  • 查看是否已安装:

  • CentOS:rpm -qa | grep iptables

  • 安装(一般系统是集成的):

  • CentOS 6:yum install -y iptables

Iptables 的配置文件

  • 路径:vim /etc/sysconfig/iptables

Iptables 服务器配置文件常用参数

  • 常用命令:
  • 查看已有规则列表,并且显示编号:iptables -L -n --line-numbers
  • Iptables 服务器配置文件常用参数
  • 要删除 INPUT 里序号为 8 的规则,执行:iptables -D INPUT 8
  • 保存配置命令:service iptables save 或者 /etc/rc.d/init.d/iptables save
  • 重启服务命令 :service iptables restart
  • 查看服务状态: service iptables status
  • 设置开启默认启动: chkconfig --level 345 iptables on
  • 清除所有规则(慎用)
    • iptables -F
    • iptables -X
    • iptables -Z
  • 添加规则:格式 iptables [-AI 链名] [-io 网络接口] [-p 协议] [-s 来源IP/网域] [-d 目标IP/网域] -j [ACCEPT|DROP|REJECT|LOG]
  • 选项与参数:
    • -AI 链名:针对某的链进行规则的 "插入" 或 "累加"
      • -A :新增加一条规则,该规则增加在原本规则的最后面。例如原本已经有四条规则,使用 -A 就可以加上第五条规则!
      • -I :插入一条规则。如果没有指定此规则的顺序,默认是插入变成第一条规则。例如原本有四条规则,使用 -I 则该规则变成第一条,而原本四条变成 2~5 号链 :有 INPUT, OUTPUT, FORWARD 等,此链名称又与 -io 有关,请看底下。
    • -io 网络接口:设定封包进出的接口规范
      • -i :封包所进入的那个网络接口,例如 eth0, lo 等接口。需与 INPUT 链配合;
      • -o :封包所传出的那个网络接口,需与 OUTPUT 链配合;
    • -p 协定:设定此规则适用于哪种封包格式。主要的封包格式有: tcp, udp, icmp 及 all 。
    • -s 来源 IP/网域:设定此规则之封包的来源项目,可指定单纯的 IP 或包括网域,例如:IP:192.168.0.100,网域:192.168.0.0/24, 192.168.0.0/255.255.255.0 均可。若规范为『不许』时,则加上 ! 即可,例如:-s ! 192.168.100.0/24 表示不许 192.168.100.0/24 之封包来源。
    • -d 目标 IP/网域:同 -s ,只不过这里指的是目标的 IP 或网域。
    • -j :后面接动作,主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)

Iptables 例子

  • 开放指定端口
  • iptables -I INPUT -i lo -j ACCEPT #允许本地回环接口(即运行本机访问本机)
  • iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # 允许已建立的或相关连的通行
  • iptables -I OUTPUT -j ACCEPT #允许所有本机向外的访问
  • iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT # 允许访问 22 端口
  • iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #允许访问 80 端口
  • iptables -A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT #允许访问 8080 端口
  • iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT #允许 FTP 服务的 21 端口
  • iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT #允许 FTP 服务的 20 端口
  • iptables -I INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT #允许 ping
  • iptables -I INPUT -j REJECT #禁止其他未允许的规则访问(使用该规则前一定要保证 22 端口是开着,不然就连 SSH 都会连不上)
  • iptables -I FORWARD -j REJECT

Iptables 资料

星星预言
关注
Linux-Iptables规则
qq_53146347的博客
09-12 1157
IPtablesLinux操作系统中的一种功能强大的网络防火墙工具,它允许系统管理员配置和管理网络数据包的过滤规则,从而控制流入和流出系统的网络流量。IPtables是Netfilter项目的用户空间工具,Netfilter是Linux内核的一部分,负责处理网络数据包。下面以Centos7.0为例,初步讲解Iptables防火墙规则。
Linux中的Iptables介绍
LuckyLay的博客
01-19 1144
Iptables是一个用于配置Linux内核防火墙的用户空间工具。它能够对进出服务器的网络数据包进行过滤、修改和转发等操作,是构建安全的Linux网络环境的关键组件。它通过一系列规则来决定如何处理数据包,这些规则可以基于源IP地址、目标IP地址、端口号、协议类型等多种条件。
linux--防火墙 iptables 双网卡 NAT 桥接
天道酬勤
01-12 1246
linux--防火墙 iptables 双网卡 NAT 桥接
Linux -iptables构建主机防火墙安全
小工匠
05-23 6501
设置主机防火墙在网络安全中具有重要意义。主机防火墙是一种软件或硬件系统,可以监控和控制进出主机的网络流量。主机防火墙可以限制网络流量,防止未经授权的访问进入主机。这有助于防止恶意攻击者通过网络攻击入侵系统或窃取敏感信息。通过仅允许特定的网络流量通过,主机防火墙可以减少系统的攻击面,从而降低系统受到攻击的可能性。它可以阻止许多常见的网络攻击,如端口扫描、拒绝服务攻击等。主机防火墙可以监控主机上的网络流量,并记录网络活动。这有助于发现潜在的安全问题,以及跟踪和调查安全事件。
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 6142
本文介绍Linuxiptables命令的用法。
Linux - iptables防火墙
2401_85983616的博客
09-12 1645
iptables防火墙是Linux系统防火墙的一种,实际上由两个组件netfilter和iptables组成。netfilters与iptables的关系:netfilter:属于“内核态”的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下。
Linux------iptables防火墙常用命令
weixin_48190875的博客
08-26 1678
iptables的表、链结构 规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机 默认包括5种规则链 INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING链: 在进行路由选择后处理数据包 PREROUTING链:在进行路由选择前处理数据包 规则表 表的作用:容纳各种规则链 表的划分依据:防火墙规则的作用相似 默认包括4个规则表 raw表:确定是否对该数据包进行状
Linux - iptables 防火墙
qq_57093716的博客
02-02 3184
iptables 四表 五链 一些命令操作
Linux运维--iptables防火墙命令以及端口号等详解(全)
lza20001103的博客
09-02 2466
Linux运维--iptables防火墙命令以及端口号等详解(全)
linux centos iptables-config,iptables的安装和配置【Centos7】
weixin_32211243的博客
05-16 1936
Centos7默认是使用firewall作为防火墙,但大部分人习惯使用iptables。一.关闭firewall# 查看firewall状态$ systemctl status firewalld# 停止firewall$ systemctl stop firewalld.service# 禁止firewall开机启动$ systemctl disable firewalld.service二....
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
Linux-应用基础教程--CH22-IPtables防火墙.ppt
08-04
Linux防火墙系统IPtables的详细介绍如下: 1. 防火墙基础概念 防火墙是网络安全的重要设备,它位于互联网和内部网络之间,其主要作用是提供边界防护、控制内外网络访问、提高内部网络的保密性和私有性、限制对易受...
Linux--iptables 防火墙
优快云著名博主
08-05 903
文章目录前言一、Linux 防火墙基础1.1Linux 包过滤防火墙概述1.2、iptables 的表、链结构1.2.1、规则表1.2.2、规则链1.3、数据包过滤的匹配流程二、编写防火墙规则2.1iptables 安装2.2、基本语法、数据包控制类型2.3、添加、查看、删除规则等基本操作2.3.1、添加新的规则2.3.2、查看规则列表2.3.3、删除、清空规则2.3.4、设置默认策略2.4、规则的匹配条件2.4.1、通用匹配2.4.2、隐含匹配2.4.3、显示匹配 前言 一、Linux 防火墙基础 1
Linux-iptables
gongwanzhang的博客
05-16 1219
Linux iptables是一个强大而灵活的工具,用于配置Linux操作系统上的网络防火墙。它使得系统管理员可以控制数据包的进出,设定规则来决定哪些数据包可以被接受、拒绝或转发。
布线问题 分支限界算法-下载即用.zip
01-01
下载方式:https://pan.quark.cn/s/a4b39357ea24 布线问题(分支限界算法)是计算机科学和电子工程领域中一个广为人知的议题,它主要探讨如何在印刷电路板上定位两个节点间最短的连接路径。 在这一议题中,电路板被构建为一个包含 n×m 个方格的矩阵,每个方格能够被界定为可通行或不可通行,其核心任务是定位从初始点到最终点的最短路径。 分支限界算法是处理布线问题的一种常用策略。 该算法与回溯法有相似之处,但存在差异,分支限界法仅需获取满足约束条件的一个最优路径,并按照广度优先或最小成本优先的原则来探索解空间树。 树 T 被构建为子集树或排列树,在探索过程中,每个节点仅被赋予一次成为扩展节点的机会,且会一次性生成其全部子节点。 针对布线问题的解决,队列式分支限界法可以被采用。 从起始位置 a 出发,将其设定为首个扩展节点,并将与该扩展节点相邻且可通行的方格加入至活跃节点队列中,将这些方格标记为 1,即从起始方格 a 到这些方格的距离为 1。 随后,从活跃节点队列中提取队首节点作为下一个扩展节点,并将与当前扩展节点相邻且未标记的方格标记为 2,随后将这些方格存入活跃节点队列。 这一过程将持续进行,直至算法探测到目标方格 b 或活跃节点队列为空。 在实现上述算法时,必须定义一个类 Position 来表征电路板上方格的位置,其成员 row 和 col 分别指示方格所在的行和列。 在方格位置上,布线能够沿右、下、左、上四个方向展开。 这四个方向的移动分别被记为 0、1、2、3。 下述表格中,offset[i].row 和 offset[i].col(i=0,1,2,3)分别提供了沿这四个方向前进 1 步相对于当前方格的相对位移。 在 Java 编程语言中,可以使用二维数组...
EP1C3T144C8 FPGA开发板设计
01-01
先看效果: https://pan.quark.cn/s/03f8ba0ff118 ### FPGA开发板设计相关知识要点#### 1. FPGA基本概念- **定义**: 现场可编程门阵列(Field Programmable Gate Array, FPGA)属于半定制型集成电路,允许在完成制造后通过编程来设定其内部逻辑及连接配置,从而达成特定的功能实现。- **特性**: - 运行速度快 - 功耗相对较低 - 适用于复杂系统构建 - 可在现场进行重新编程- **应用范畴**: - 通信领域 - 自动控制系统 - 信息处理技术 - 数据加密方案 - 视频处理技术 - 车载电子系统 - 医疗器械设备等#### 2. EP1C3T144C8芯片介绍- **生产商**: Altera Corporation(现归属于Intel公司)- **系列归属**: Cyclone系列- **技术工艺**: 1.5V核心供电电压,采用0.13微米制造工艺- **资源参数**: - 包含2910个逻辑单元(LEs) - 提供高达59904位的嵌入式存储器 - 支持单个PLL(Phase Locked Loop,锁相环) - 最多可支持104个用户I/O接口- **优点**: - 价格经济 - 集成度高 - 片上资源丰富 - 灵活性强#### 3. 硬件电路设计原理##### 3.1 硬件电路整体构造- **构成部分**: - 下载电路: 负责将设计好的程序传送至FPGA中。 - 下载接口: 实现个人计算机与FPGA之间的数据交换。 - FPGA核心部件: EP1C3T144C8芯片。 - 电源电路: 提供必要的电源支持。 - 扩展接口: 用于连接各类传感器或扩展模块。###...
HIT-CSAPP2025大作业报告.doc
最新发布
01-01
HIT-CSAPP2025大作业报告.doc
NTC热敏电阻温度测量技术及线性电路
01-01
下载前必看:https://pan.quark.cn/s/9cf3e6e84d3a ntc-temperature-measurement NTC 热敏电阻温度测量原理、电路设计与代码实现 ! ! ! 目前只是Test Board版本,后续更新硬件改进后的版本! ! ! ntc-temperature-measurement/ ├── 32K闪存增强通用型MCU CH32V005 - 南京沁恒微电子股份有限公司 #Internet快捷方式 CH32V005官网网址 ├── CH32V006DS0.PDF # CH32V006/V005 数据手册 ├── CH32V00XRM.PDF # CH32V00X 应用手册 ├── zhca858a.pdf # TI参考文档:利用 NTC 电路感测温度 ├── Temp Measurement Design.ms14 # 参考TI的设计的电路 ├── 103F3950阻值对照表.doc # NTC电阻手册 ├── 阻值对照温度数据_0.1℃精度.txt ├── NTC/ # MounRiver工程 │ ├── NTC.wvproj # 工程WVPROJ文件 │ └── ......
VC++对话框背景图片设置
01-01
源码来自:https://pan.quark.cn/s/a4b39357ea24 在VC++开发过程中,对话框(CDialog)作为典型的用户界面组件,承担着与用户进行信息交互的重要角色。 在VS2008SP1的开发环境中,常常需要满足为对话框配置个性化背景图片的需求,以此来优化用户的操作体验。 本案例将系统性地阐述在CDialog框架下如何达成这一功能。 首先,需要在资源设计工具中构建一个新的对话框资源。 具体操作是在Visual Studio平台中,进入资源视图(Resource View)界面,定位到对话框(Dialog)分支,通过右键选择“插入对话框”(Insert Dialog)选项。 完成对话框内控件的布局设计后,对对话框资源进行保存。 随后,将着手进行背景图片的载入工作。 通常有两种主要的技术路径:1. **运用位图控件(CStatic)**:在对话框界面中嵌入一个CStatic控件,并将其属性设置为BST_OWNERDRAW,从而具备自主控制绘制过程的权限。 在对话框的类定义中,需要重写OnPaint()函数,负责调用图片资源并借助CDC对象将其渲染到对话框表面。 此外,必须合理处理WM_CTLCOLORSTATIC消息,确保背景图片的展示不会受到其他界面元素的干扰。 ```cppvoid CMyDialog::OnPaint(){ CPaintDC dc(this); // 生成设备上下文对象 CBitmap bitmap; bitmap.LoadBitmap(IDC_BITMAP_BACKGROUND); // 获取背景图片资源 CDC memDC; memDC.CreateCompatibleDC(&dc); CBitmap* pOldBitmap = m...
/* 只有443端口的ssl报文才能触发认证. */ if ((TCP_HTTPS_PORT == tcpDest) && (pPortalEntry != NULL) && (pPortalEntry->httpsRedirectEnable)) { /* mark this skb */ pSkb->mark |= MARK_PORTAL_HTTPS; /* redirect this skb to ip_rcv for iptables rules. */ #if (LINUX_VERSION_CODE >= KERNEL_VERSION(2,6,36)) pBrPort= br_port_get_rcu(pSkb->dev); #else pBrPort = rcu_dereference(pSkb->dev->br_port); #endif memcpy(eth_hdr(pSkb)->h_dest, pBrPort->br->dev->dev_addr, ETH_ALEN); pSkb->pkt_type = PACKET_HOST; PORTAL_DEBUG(g_portal_debug_core, "pass: mark skb to redirect to https proxy in userspace."); PORTAL_LEAVE(leave, ret, NF_ACCEPT); } 这段代码对报文做了什么
12-17
IPTables->>IPTables: 根据MARK标记劫持流量 IPTables->>Client: 返回302重定向到认证页面 ``` ### 四、技术特点 1. **运行层级** - 内核态网络驱动层(Netfilter框架) 2. **兼容性处理** ```c #if (LINUX_...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值