linux 防火牆和iptables

2022-09-09 21:51:37 字數 3669 閱讀 3320

firwalld

netfiter

雲防火牆 :阿里雲 的安全鎖

表名稱功能

管理的鏈

filter

過濾input forward output

nat(network address translation)表

用於網路位址轉換(ip、埠)

prerouting input

output postrouting

mangle表

修改資料報內容

prerouting input forward output postrouting

raw表

資料報跟蹤

prerouting output

防火牆是層層過濾的,實際是按照配置規則的順序從上而下,從前到後過濾的,

如果匹配到規則,即明確表示是通過還是拒絕,資料報不再向下匹配新的規則。

如果沒有匹配到規則,向下匹配,直到匹配到預設規則。

防火牆的預設規則是所有規則執行完才執行的。

格式

格式:iptables -t 表名 選項 鏈名稱 條件  動作
引數
-t:        指定操作的表,不指定預設為filter

-d, --delete 刪除鏈中的規則

-i, --insert 插入一條規則,插入到頂部

-r, --replace 修改

-l, --list 列出當前的規則

-s, --list-rules 列出所有的規則

-f, --flush 清空

-z, --zero 清空計數器(包括數量 、包括大小)

-n, --new-chain 建立乙個自定義鏈

-x, --delete-chain 刪除乙個自定義鏈

-p, --policy 指定鏈的預設策略,(預設規則)

-p --指定協議 通常有tcp,udp,icmp,all

-n --不反解ip

-s --源位址

-d --目標位址

--sport --源埠

--dport --目標埠

協議
tcp 

udpicmp #禁ping

all

動作
accept    將資料報放行,進行完此處理動作後,將不再比對其它規則,直接跳往下乙個規則鏈。

reject 攔阻該資料報,並傳送資料報通知對方。

drop 丟棄包不予處理,進行完此處理動作後,將不再比對其它規則,直接中斷過濾程式。

redirect 將包重新導向到另乙個埠,進行完此處理動作後,將會繼續比對其它規則。

-i : 進來的網絡卡

-o : 出去的網絡卡

-m : 指定模組

-j : **模式

練習

[root@lb01-5 ~]# iptables -n -l

chain input (policy accept)<**********==預設規則

target prot opt source destination

chain forward (policy accept)

target prot opt source destination

chain output (policy accept)

target prot opt source destination

#禁止訪問22號埠

[root@lb01-5 ~] # iptables -a input -p tcp --dport 22 -j drop

#刪除上一條規則

[root@lb01-5 ~]# iptables -d input 1

僅允許 192.168.230.3 訪問 192.168.230.5 的80埠,其他的都拒絕。

1、允許192.168.230.3 訪問 192.168.230.5

2、拒絕所有請求

iptables -t filter -i input -p tcp -s 192.168.230.3 -d 192.168.230.5 --dport 80 -j accept

iptables -t filter -a input -p tcp -j drop

1、允許tcp協議

2、拒絕所有協議

iptables -t filetr -i output -p tcp -j accept

iptables -t filter -a output -j drop

在上次的基礎上,放行所有的協議

[root@lb01 ~]# iptables -t filter -r output 2 -j accept

只允許192.168.230.3通過22號埠鏈結192.168.230.5

先允許,後拒絕

iptables -t filter -i input -p tcp -s 192.168.230.3 --dport 22 -j accept

iptables -t filter -a input -p tcp -j drop

只允許192.168.230.3訪問192.168.230.5的20到90號埠

先允許,後拒絕

iptables -t filter -i input -p tcp -s 192.168.230.3 --dport 20:90 -j accept

iptables -t filter -a input -p tcp -j drop

常見的企業擴充套件模組
1、multiport模組

允許匹配多個不連續埠

只允許192.168.230.3訪問192.168.230.5的22、80、3306、2379、8080、8090號埠

iptables -t filter -i input -p tcp -s 192.168.230.3 -m multiport --dports 22,80,3306,2379,8080,8090 -j accept

iptables -t filter -a input -p tcp -j drop

2、iprange模組

指定一段連續的ip位址範圍

--src-range from[-to]: 源位址範圍

--dst-range from[-to] 目標位址範圍

192.168.230.3-192.168.230.7 位址段都 不允許ping 192.168.230.5

iptables -t filter -i input -p icmp -m iprange --src-range 192.168.230.3-192.168.230.7 -j drop

3、string模組

過濾資料報中包含某個字串

--string pattern # 指定要匹配的字串

--algo # 匹配的查詢演算法

過濾訪問到自己主機上的hello

iptables -t filter -i input -p tcp -m string --string "hello" --algo bm -j drop

firewall 防火牆配置和iptables配置

防火牆內新增新的開放埠 firewall cmd zone public permanent add port 8080 tcp檢視埠是否被開放 firewall cmd quiery port 8080 tcp檢視所有開放的埠 firewall cmd permanent zone public ...

防火牆 防火牆安全

作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...

Linux如何關閉防火牆和檢視防火牆的具體情況

1.linux下關閉和開啟防火牆 1 重啟後生效 開啟 chkconfig iptables on 關閉 chkconfig iptables off 2 即時生效,重啟後失效 開啟 service iptables start 關閉 service iptables stop 需要說明的是對於li...