iptables网络服务的搭建和配置

最新推荐文章于 2024-11-14 18:23:51 发布
转载 最新推荐文章于 2024-11-14 18:23:51 发布 · 224 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/405429
文章标签:

#网络 #操作系统 #运维

本文详细介绍iptables的基本概念、使用场景及配置方法。通过多个实际案例演示如何利用iptables进行包过滤、端口限制、服务开放等操作,并提供了两个iptables配置脚本实例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

第一部分:理论

一.   什么是iptables?

iptableslinux的非常重要的一个组件,它的主要作用是包过滤,即防火墙的功能。

二.   在哪里可能用到iptables ?

  1. 企业当中用iptables实现路由器或防火墙

  2. 企业当中用linux作为服务器操作系统

  3. IDC机房中的服务器。

三.   为什么要用iptables

  1. 成本低。用公司里淘汰的电脑做一台路由器,节省开支。

  2. 速度快。转发效率高。

  3. 功能强大:可以做包过滤,可以做nat转换,可以减轻DOS攻击等等。

四.iptables的组成

    由三个表组成:flter   nat    mangle

五. iptables表的组成

filter(默认)包括三个链:INPUT OUTPUT FORWARD

 nat (转换)包括三个链:PREROUTING OUTPUT POSTROUTING

mangle(服务质量等)包括五个链:PREROUTING INPUT OUTPUT FORWARD POSTROUTING

 .iptables图解

. iptables服务启动方式

A . /etc/rc.d/init.d/iptables  start

B. service  iptables    start

  iptables配置文件与策略设置文件

iptables配置文件  /etc/sysconfig/iptables-config

策略设置文件     /etc/sysconfig/iptables

iptables服务的启动与停止

iptables服务缺省自动启动

可通过启动脚本手工启动和停止iptables服务

# service iptables start

. 基本命令操作命令

v  Iptables

v  -A 增加一个规则

v  -D 删除规则

v  -R 替换(指定行上替换)

v  -I 插入

v  -L 显示所有规则

v  -F 删除所有规则

v  -P 默认策略

v  --line-numbers显示行号

. 基本命令匹配选项

  -p 指定使用的协议 !号排除

--src IP地址

--dst 目的地址

--in-interface 选择网卡

--fragment 数据包分段

--sport 源端口

--dport 目的端口

--state 状态(RELATED,ESTABLISHED)

十一  Iptables默认策略(重点掌握)

v  Iptables  -P INPUT ACCEPT/DROP

v  Iptables  -P OUTPUT ACCEPT/DROP

v  Iptables  -P FORWARD ACCEPT/DROP

注意:修改默认过滤规则(默认是ACCEPT我们全部修改成DROP)

十二.具体例子

v  防止ping             Iptables -A INPUTp icmp j DROP

v  限制某个端口

 iptables I INPUT p tcp --dport  21 j DROP

v  注意:修改默认过滤规则的时候一定要先把远程ssh打开

v  开启ftp服务

Iptables A INPUT p tcp --dport 21 j ACCEPT

 

 

实验脚本1

2.编辑一脚本文件
[root@localhost]# vi  /bin/firewall.sh

文件内容如下:

 

#!/bin/bash 
echo "Starting iptables rules..."    //显示启动iptables信息

 

echo  "1"  >  /proc/sys/net/ipv4/ip_forward     //启动linux路由功能

 

iptables  -F      //清空所有规则
iptables  -X     //清空所有自定义规则
iptables  -Z     //清空计数器

 

iptables  -P  FORWARD   DROP     //定义默认的转发策略为丢弃
iptables  -P  INPUT   DROP         //定义默认的接收策略为丢弃
iptables  -P  OUTPUT   DROP       //定义默认的发送策略为丢弃

 

//允许访问DNS服务器的往返数据包
iptables  -A  FORWARD  -p  udp  -d  192.168.10.1  --dport  53    -j  ACCEPT
iptables  -A  FORWARD  -p  udp  -s  192.168.10.1  --sport  53    -j  ACCEPT
iptables  -A  FORWARD  -p  tcp  -d  192.168.10.1  --dport  53    -j  ACCEPT
iptables  -A  FORWARD  -p  tcp  -s  192.168.10.1  --sport  53    -j  ACCEPT
//允许访问WEB服务器的往返数据包
iptables  -A  FORWARD  -p  tcp  -d  192.168.10.1  --dport  80    -j  ACCEPT
iptables  -A  FORWARD  -p  tcp  -s  192.168.10.1  --sport  80    -j  ACCEPT

 

//允许访问FTP服务器的往返数据包通过

 

//允许本机与外部主机互ping
iptables  -A  INPUT  -p  icmp  --icmp-type  echo-request  -j  ACCEPT
iptables  -A  INPUT  -p  icmp  --icmp-type  echo-reply  -j  ACCEPT
iptables  -A  OUTPUT  -p  icmp  --icmp-type  echo-request  -j  ACCEPT
iptables  -A  OUTPUT  -p  icmp  --icmp-type  echo-reply  -j  ACCEPT
实验脚本2
iptables  -F
iptables  -X
iptables  -Z
#------------------------default  rule ------------------------------
iptables -P  INPUT  DROP
iptables -P  OUTPUT  DROP
iptables -P  FORWARD  DROP
#------------------------ssh  rule -------------------------------------------
iptables -t filter -A   INPUT  -i  eth0 -p tcp --dport  22  -j  ACCEPT
iptables -t filter -A  OUTPUT  -o  eth0 -p tcp --sport  22  -j  ACCEPT
#------------------------www-ftp-mail-dns  rule --------------------------------
iptables -t filter -A   INPUT  -i   eth0 -p tcp --dport  80     -j ACCEPT
iptables -t filter -A   OUTPUT -o  eth0 -p  tcp --sport  80     -j ACCEPT
iptables -t filter -A   INPUT  -i   eth0 -p tcp --dport  21     -j ACCEPT
iptables -t filter -A   INPUT  -i   eth0 -p tcp --dport  20     -j ACCEPT
iptables -t filter -A   OUTPUT -o  eth0 -p  tcp --sport  21     -j ACCEPT
iptables -t filter -A   OUTPUT -o  eth0 -p  tcp --sport  20     -j ACCEPT
iptables -t filter -A   INPUT -i  eth0  -p tcp  --dport 25     -j ACCEPT
iptables -t filter -A   OUTPUT -o eth0  -p tcp  --sport 25     -j ACCEPT
iptables -t filter -A   INPUT -i  eth0  -p tcp  --dport 110     -j ACCEPT
iptables -t filter -A   OUTPUT -o eth0  -p tcp  --sport 110     -j ACCEPT
iptables -t filter -A   OUTPUT  -o  eth0  -p  udp   --dport 53     -j  ACCEPT
iptables -t filter -A   INPUT  -i   eth0  -p  udp  --sport 53     -j  ACCEPT
#-------------------------ICMP  rule ------------------------------------------
iptables -t  filter -A  INPUT -p    icmp    -j ACCEPT
iptables -t  filter -A  INPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  INPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  OUTPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  OUTPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  OUTPUT -p    icmp   -j ACCEPT
iptables -t  filter -A  OUTPUT -p    icmp   -j ACCEPT
允许ftp访问,
主动模式:
在配置文件中加入:
pasv_enable=no(默认yes
防火墙设置:
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --sport 20:21 -j ACCEPT
被动模式:
在配置文件中加入:
pasv_enable=yes (默认yes
pasv_min_port=40000
pasv_max_port=41000
防火墙设置:
iptables -F
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20:21 -j ACCEPT
iptables -A INPUT -p tcp --dport 40000:41000 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 40000:41000 -j ACCEPT
3.给/bin/firewall.sh设置可执行权限
[root@localhost]# chmod  755  /bin/firewall.sh

 

4.执行/bin/firewall.sh
[root@localhost]#  /bin/firewall.sh

 

5.让计算机下次启动时自动执行/bin/firewall.sh
[root@localhost]# echo    ‘/bin/firewall.sh’  >>  /etc/rc.local
附加实验
如何通过iptables开启ftp服务,包括主动和被动.

 

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j SNAT --to 1.1.1.1-1.1.1.222

 

 

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 81   -j   DNAT --to 192.168.0.2:80


本文转自 gehailong 51CTO博客,原文链接:http://blog.51cto.com/gehailong/263904,如需转载请自行联系原作者
搭建iptables实验环境
weixin_43916678的博客
12-08 537
配置虚拟机IP地址 将操作及window 7的ip地址设置为192.168.1.2,子网掩码设为255.255.255.0,默认网关设为192.168.1.200 将windows server 2003的IP地址设为20.0.0.2,子网掩码设为255.255.255.0,默认网关设为20.0.0.200. 将服务器Centos 的ip地址设置为10.0.0.2,子网掩码设为255.255.255.0,网关设为10.0.0.200 作为防火墙的另一台centos安装了三块网卡,将网卡eth0的IP地
linux下的iptables配置简介(网络整理)
linxiang1aa的博客
09-19 236
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端图形界面配置。   iptables服务命令 ①:/etc/init.d/iptables 命令 ②:service iptables 命令 -- 启动服务 /etc/init.d/iptables start; service iptables start --...
Linux之iptables服务
Wk_yyy的博客
02-28 541
一、iptables的认识 1、iptablesfirewalld一样,都是一种动态控制防火墙的工具,通过设定一系列的策略从而保证在与其他主机进行数据传输时系统的安全性。 2、iptables具有filter、nat、mangle、raw四种内建表,各个表中又有内建链,有各自不同的功能。 二、iptables常用内建表 1、filter表:filter表示iptables的默
iptables案例:搭建web服务器的防火墙
麦子地的专栏
11-12 1921
iptables案例:搭建web服务器的防火墙防火墙原理图(硬件版)使用iptables实现防火墙(软件版)配置实战# 放行环回口所有数据 [root@localhost ~]# iptables -A INPUT -i lo -j ACCEPT # 放行22、80端口 [root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport
搭建配置FTP服务器.zip
09-23
总的来说,搭建配置FTP服务器涉及网络协议、操作系统管理、用户权限安全策略等多个IT知识点。理解这些概念并正确配置,能帮助你建立一个安全、高效的FTP服务。在实践中,应不断学习优化配置,以满足不同的业务...
linux系统管理与服务配置高志君课后答案_网络服务搭建配置与管理--Linux版(第3版微课版十二五职业教育国家规划教材)...
weixin_39978863的博客
12-22 2353
导语内容提要杨云、唐柱斌主编的《网络服务搭建配置与管理--Linux版(第3版微课版十二五职业教育国家规划教材)》是“十二五”职业教育国家规划教材,也是国家精品课程国家精品资源共享课程配套教材,以学生能够完成中小企业建网、管网的任务为出发点,以工作过程为导向,注重工程实训应用,是为高职高专院校学生量身定做的教材。本书以目前Red Hat公司最新版本Red Hat Enterprise Lin...
pppoe服务配置搭建
03-09
本文将详细介绍如何在CentOS环境下配置搭建一个PPPoE服务器,以支持设备的PPPoE上网功能。 #### 二、环境准备 为了搭建一个PPPoE服务器,首先需要准备以下环境: - **硬件环境**:一台装有CentOS操作系统的...
基于iptables的SNAT+DNAT+docker服务器集群搭建
李文彬的博客
08-19 3389
什么是SNAT? SNAT用于局域网访问互联网,局域网的主机A想访问互联网上的主机C,首先要将数据包发送到防火墙所在的主机B,B收到后修改数据包的源地址为B机的公网IP,然后再发送到互联网。 C机收到后将回应包经互联网发送给B,B收到回应包之后修改回应包的目的地址为A,然后将数据包转发给A。 至此就是SNAT的完整过程,在这个过程中,修改了请求报文的源地址,叫做SNAT(source NAT POSTROUTING),用于局域网访问互联网。 而DNAT(destination NAT POSTROUTIN
iptables 配置学习
予挚之的博客
12-22 193
常用命令: 安装防火墙:yum -y install iptables-services 配置防火墙:vi /etc/sysconfig/iptables 重启防火墙:service iptables restart 重启后永久性生效:   开启:chkconfig iptables on  关闭:chkconfig iptables off 即时生效...
iptables配置实践
最新发布
qq_23045563的博客
11-14 1836
前言在大企业中防火墙角色主要交给硬件来支持,效果自然没话说只是需要增加一点点成本,但对于大多数个人或者互联网公司来说选择系统自带的iptables或者第三方云防火墙似乎是更加合适的选择,通过一些合理的优化灵活的配置,我们也可以很轻松实现硬件防火墙的部分功能,够用就好。建立防火墙白名单机制很重要。
iptables放行ftp服务
小新没有蜡笔
10-20 2085
以下是ftp被动模式iptables规则一、默认策略为ACCEPT[root@centos6 ~]# modprobe nf_conntrack_ftp [root@centos6 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@centos6 ~]# iptables -A INPUT -p tcp --dport 21 -m sta
IPtables服务配置与管理
wwxxss
11-18 1454
其中表是按照对数据包的操作区分的,链是按照不同的 Hook 点来区分的,表链实际上是netilter的两个维度。4个表:flter,nat,mangle,raw,默认表是 filter(没有指定表的时候就是filter表)。filter:一般的过滤功能。Raw:优先级最高,设置raw时一般是为了不再让 iptables 做数据包的链接跟踪处理,提高性能。iptables -A INPUT -p icmp --icmp-type 8 -j DROP ,将添加的规则保存到文件中。查看iptables服务
iptables服务简单使用
红叶谷 wsp_1138886114的博客
09-15 929
linux 网络ip地址限制访问
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 3094
iptables防火墙详解
iptables 安装常用规则
qq_39677803的博客
03-01 5640
1、安装iptables 2、iptables限制特定ip访问,限制特定端口 3、iptables限制ip范围,端口范围
iptables部署使用
因上努力,果上随缘。但行好事,莫问前程。
12-27 1133
iptables是开源的基于数据包过滤的防火墙工具。
iptables案例:使用iptables搭建路由器
麦子地的专栏
11-17 7189
使用iptables搭建路由器场景及原理左边的机器为A,右边的机器为B AB在同一个自网路,B有两个网卡。一个网卡A同在一个网络,另外一个网卡可以连接外网。 iptable配置机器B开启内核路由转发功能[root@xuegod63 ~]# vim /etc/sysctl.conf #改:#net.ipv4.ip_forward = 0 #为: net.ipv4.ip_forward = 1
Linux网络服务配置与VBA语法高亮实践指南
标题描述中涉及的知识点可以详细展开为以下内容: Linux网络服务配置笔记: Linux网络服务配置是...结合以上内容,一个专业IT行业大师应该能够就Linux网络服务配置VBA语法高亮提供专业、系统的知识分享解答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值