编写iptables脚本实现IP地址、端口过滤

最新推荐文章于 2024-02-19 15:15:44 发布
转载 最新推荐文章于 2024-02-19 15:15:44 发布 · 340 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/471379
文章标签:

#运维 #网络 #操作系统

本文介绍了一个RHEL5系统下iptables防火墙的具体配置案例,详细展示了如何通过编写iptables脚本来实现对外部访问的精确控制,包括对特定端口和服务的开放策略以及内部网络之间的转发规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验案例:公司使用一台运行RHEL5系统的服务器作为网关,分别连接三个网络,其中LAN1为普通员工电脑所在的局域网,LAN2为DNS缓存服务器所在的局域网。eth0通过10M光纤接入Internet。为了有效的管理网络环境及增强内部网络的安全性,需要配置iptables防火墙规则实现IP地址和端口的过滤控制。网络拓扑如下:

需求描述:

入站控制:

1.允许Internet上的主机访问网关服务器的21、25、80、110、143端口。

2.允许IP地址为201.12.13.14的远程主机访问网关22端口,并记录访问日志(每15分钟记录一次)。

3.允许IP地址为192.168.1.5、MAC地址为00:0C:27:30:4E:5D的主机访问网关的22端口。

4.仅允许局域网主机(LAN1:192.168.1.0/24)访问3128端口的代理服务。

转发控制:允许LAN1的主机通过网关访问位于LAN2的DNS的服务器(192.168.2.2)。

其它任何非明确许可的数据包入站访问均予以丢弃;数据包出站访问均允许。

编写的iptables脚本如下:

 
  
  1. #!/bin/bash  
  2. #This is the firewall configuration  
  3.  
  4. iptables -t nat -F   
  5. iptables -F  
  6.  
  7. iptables -P INPUT DROP 
  8. iptables -P FORWARD DROP 
  9.  
  10. iptables -A INPUT -p tcp -m multiport --dport 21,25,80,110,143 -j ACCEPT  
  11.  
  12. iptables -A INPUT -p tcp --dport 22 -s 201.12.13.14 -j ACCEPT  
  13.  
  14. iptables -A INPUT -p tcp --dport 22 -m limit --limit 4/hour -j LOG  
  15.  
  16. iptables -A INPUT -p tcp --dport 22 -s 192.168.1.5 -m mac --mac-source 00:0C:27:30:4E:5D -j ACCEPT  
  17.  
  18. iptables -A INPUT -p tcp --dport 3128 -s 192.168.1.0/24 -j ACCEPT  
  19.  
  20. iptables -A FORWARD -p udp --dport 53 -s 192.168.1.0/24 -j ACCEPT  
  21. iptables -A FORWARD -p udp --sport 53 -d 192.168.1.0/24 -j ACCEPT  
  22.    
  23.  

  
最后还要开启Linux网关服务器的路由转发功能:
 
  
# vi /etc/sysctl.conf
 
  
net . ipv4 .ip_forward = 1
 
 
 
 

  

 
 
 

  

 
 
 

  

 
 
 

  

 
 
 

  

 
 
 

  

 
 
 

  

 
 
 

  

 
 
 

  

 
 
 

  本文转自 kk5234 51CTO博客,原文链接:http://blog.51cto.com/kk5234/397029,如需转载请自行联系原作者
 
 


                

        




    

    
  



    



                



	

		

			

				
					
Linux安全运维学习十三⑬ ---- 包过滤防火墙iptables通过规则及NAT

				
			

			

				

					与君共勉
				

				

					12-28
					
					339
					
				

			

		

		

			
				
4部分功能(4个表)rawmangle   关于数据流量的跟踪与整形nat   网络地址转换filter   过滤中间做路由交换的虚拟机需要开启路由转发。临时开启(路由转发)n:IP地址使用数字显示v:详细信息L:列出全部。

			
		

	



                

            
              



	

		

			

				
					
CentOS系统使用iptables配置网卡端口ip信息

				
			

			

				

					qq_43359234的博客
				

				

					03-07
					
					673
					
				

			

		

		

			
				
防火墙(Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。Linux系统的防火墙功能是由内核实现的,包过滤防火墙工作在TCP/IP网络层,防火墙不属于应用程序,集成与内核空间,没有进程。iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;

			
		

	



              


  
              

                


	

		

			

				
					
Iptables—包过滤网络层)防火墙

				
			

			

				

					weixin_34129145的博客
				

				

					08-06
					
					484
					
				

			

		

		

			
				
Iptables—包过滤网络层)防火墙一:Linux 防火墙基础:Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络层防火墙);Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。1.Netfilter和iptables的区别:Netfilter:指的是Linux内核中实现过滤防火墙的内部结构,不以程序或...

			
		

	





	

		

			

				
					
IPTABLES防火墙&&IP地址端口过滤

				
			

			

				

					weixin_33827965的博客
				

				

					07-03
					
					101
					
				

			

		

		

			
				
阅读地址:http://www.jiayf.com/pots/887.html
pdf资料下载:http://down.51cto.com/data/102037
				
转载于:https://blog.51cto.com/jiayf/343317

			
		

	



		

			
		



	

		

			

				
					
iptables常用规则:屏蔽IP地址、禁用ping、协议设置、NAT与转发、负载平衡、自定义链...

				
			

			

				

					weixin_33766168的博客
				

				

					10-28
					
					268
					
				

			

		

		

			
				








iptables常用规则:屏蔽IP地址、禁用ping、协议设置、NAT与转发、负载平衡、自定义链

时间 2014-01-21 21:39:16  IT社区推荐资讯
原文  http://itindex.net/detail/47725-iptables-ip-地址
主题 iptables 网络地址转换 负载均衡
 感谢此文原作者

转自:http:/...

			
		

	





	

		

			

				
					
iptables实现IP黑白名单功能

				
			

			

				

					Dancer__Sky的博客
				

				

					04-26
					
					7484
					
				

			

		

		

			
				
概述:

   在我们嵌入式设备,可能有时候为了安全会有黑白名单功能,黑名单模式:在黑名单的IP就不能访问我们的设备,白名单模式:

只有白名单的IP可以访问我们的设备,其他IP均不能访问我们设备。这里我们就是用iptables完成想要的功能。



一,了解iptables基本操作

   已经有很多博客解释了这个iptables怎么使用了,我就不多写了,附上参考链接:

 ...

			
		

	





	

		

			

				
					
Shell脚本实现防止国外ip访问服务器

				
			

			

				

					09-15
				

			

		

		

			
				
标题中的“Shell脚本实现防止国外ip访问服务器”是指通过编写Shell脚本来阻止非本国IP地址对服务器的访问。在描述中提到了一种方法,即利用IP地址库,结合iptables防火墙规则,来禁止国外IP的访问。接下来,我们将...

			
		

	





	

		

			

				
					
如何通过iptables配置规则实现对特定IP地址端口控制和访问控制?

					
最新发布

				
			

			

				

					10-30
				

			

		

		

			
				
实现对特定IP地址端口控制和访问控制,可以使用iptables配置相应的规则。首先,确保你已经安装了iptables并且拥有管理员权限。以下是一个具体的操作步骤和示例代码,帮助你设置针对特定IP地址端口控制和访问...

			
		

	





	

		

			

				
					
指定ip地址端口号登录mysql数据库_防火墙规则,指定ip访问mysql数据库3306端口...

				
			

			

				

					weixin_39917211的博客
				

				

					02-07
					
					1149
					
				

			

		

		

			
				
防火墙规则,指定ip访问mysql数据库3306端口2019年12月08日阅读数:6这篇文章主要向大家介绍防火墙规则,指定ip访问mysql数据库3306端口,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。防火墙规则,指定ip访问mysql数据库3306端口# 防火墙脚本,vi编辑保存vi /etc/forward#!/bin/shecho "starting forward...

			
		

	





	

		

			

				
					
Linux iptables 防火墙包过滤端口转发

				
			

			

				

					weixin_34313182的博客
				

				

					01-16
					
					376
					
				

			

		

		

			
				
iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
通俗来说,iptables是一个工具软件,可以控制到达当前linux...

			
		

	





	

		

			

				
					
iptables拦截域名_openwrt路由器使用iptables进行域名过滤

				
			

			

				

					weixin_39752215的博客
				

				

					12-20
					
					2752
					
				

			

		

		

			
				
iptables-IFORWARD-mstring--string"abcd"--algokmp-jDROPoriptables-IFORWARD-mstring--string"abcd"--algobm-jDROP使用string设置过滤域名。当网址中包含相关字段是无法上该网址。使用ssh客户端可以把过滤的命令写入/etc/firewall.user中,...

			
		

	





	

		

			

				
					
iptables - IP过滤器管理

				
			

			

				

					weixin_30613433的博客
				

				

					06-26
					
					476
					
				

			

		

		

			
				
总览
iptables -ADC 指定链的规则 [-A 添加 -D 删除 -C 修改] iptables - RI 
iptables -D chain rule num[option] iptables -LFZ 链名 [选项] iptables 
-[NX] 指定链 iptables -P chain target[options] iptables -E old-chain-name ...

			
		

	





	

		

			

				
					
信息安全实验二:iptables设置代理和netfilter实现过滤

				
			

			

				

					qq_24293765的博客
				

				

					03-21
					
					1651
					
				

			

		

		

			
				
信息安全实验二:iptables设置代理和netfilter实现过滤
通过wireshark分析http报文结构
HTTP报文结构 - 简书
iptables设置代理
任务:需要同一网络下的三台主机,通过设置iptables实现一个代理服务器,用户主机可以通过代理主机访问网页服务器上的网页
原理:实现代理,即需要用代理服务器将用户主机与内部服务器隔离起来,当用户向内部服务器申请资源时,请求报文的目的ip是代理服务器的ip,到达代理服务器后,在路由选择之前进行目标地址转换,将目的地址转换为内部服务器的地址

			
		

	





	

		

			

				
					
iptables 实现地址转换与安全控制

				
			

			

				

					weixin_33973609的博客
				

				

					11-04
					
					236
					
				

			

		

		

			
				
    目标:模拟生产环境的基本拓扑,实现通过源地址转换内网多台主机公共一个IP地址访问互联网,并通过目标地址转换,把www等多个服务器放到互联中,并实现安全控制,基本拓扑结构如下:

在这个拓扑结构中来说,就是局域网中的机器都可以访问互联网中的Web1,局域网中的机器也可以访问Web2与内部FTP(电脑配置有限以www为例),外部的Web1看做客户端也可以访问Web2,并实现对访问进行一些控...

			
		

	





	

		

			

				
					
iptables端口控制脚本

				
			

			

				

					qq_39812608的博客
				

				

					02-11
					
					813
					
				

			

		

		

			
				
iptables端口控制脚本

			
		

	





	

		

			

				
					
Linux防火墙封禁高危端口命令

				
			

			

				

					weixin_45604830的博客
				

				

					02-19
					
					3486
					
				

			

		

		

			
				
2.保存文件至/etc/iptables/rules.v4或者/etc/iptables/rules.v6。其中,INPUT表示流量方向,tcp表示通信协议,dport表示命中的端口号,DROP表示禁用流量。样例:iptables -A INPUT -p tcp --dport 3389 -j DROP。依次输入以下命令,封禁135、137、138、139、445、3389高危端口。1.安装iptable-persistent。

			
		

	





	

		

			

				
					
超详细的iptables脚本

				
			

			

				

					m0_55877125的博客
				

				

					05-24
					
					601
					
				

			

		

		

			
				
这个脚本在比较详细地介绍了如何在 iptables 中设置和应用各种规则,包括默认的策略、回环接口、已建立相关连接、HTTP/HTTPS/SSH等协议和端口、SYN Flood攻击、本地网络、邮件服务、DNS服务、FTP服务、MySQL服务、NTP、SNMP和ICMP协议包等。大家可以结合自己的实际需求进行修改和使用。

			
		

	





	

		

			

				
					
优化iptables脚本配置,适配Linux内核版本

				
			

			

				

					
				

			

		

		

			
				
这个iptables脚本是一个用于简化iptables配置和管理的实用工具,通过自动加载必要的模块、清除并重置防火墙规则,确保网络环境的安全性和性能。对于维护者或系统管理员来说,这是一个非常实用的自动化工具,可以节省...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值