LINUX中IPTABLES防火墙的基本使用教程
前言
对于有公网IP的生产环境VPS,仅仅开放需要的端口,即采用ACL来控制IP和端口(Access Control List).
这里可以使用Linux防火墙netfilter的用户态工具
iptables有4种表:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则)
每个表可以配置多个链:
* 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT
* 对于nat来讲一般也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING
* 对于mangle是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
filter表的三个链详解:
* INPUT链: 过滤所有目标地址是本地的数据包
* FORWARD链: 过滤所有路过本机的数据包
* OUTPUT链: 过滤所有由本机产生的数据包
举一反三学习:
【例】:过滤所有的访问: iptables -t filter -A INPUT -s 0.0.0.0/0.0.0.0 -d X.X.X.X -j DROP 【例】:对SSH的22端口开放 iptables -I INPUT -s 0.0.0.0/0.0.0.0 -d X.X.X.X -p tcp --dport 22 -j ACCEPT 【例】:开放80端口 iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d X.X.X.X -p tcp --dport 80 -j ACCEPT 【例】:来自124的数据禁止通过174 IP iptables -A OUTPUT -p tcp -s 45.32.102.124 -d 157.240.22.174 -j REJECT 【例】打印当前生效的iptables规则(-n显示IP地址) iptables -L -n
Linux中iptables防火墙指定端口范围
iptables -I INPUT -p tcp --dport 700:800 -j DROP iptables -I INPUT -s 11.129.35.45 -p tcp --dport 700:800 -j ACCEPT
一、 700:800 表示700到800之间的所有端口
二、 :800 表示800及以下所有端口
三、 700: 表示700以及以上所有端口
这个例子作用是,700-800端口,仅仅对 11.129.35.45 IP开放,白名单机制。
Snat、Dnat的iptables用途:
源地址转换(Snat): iptables -t nat -A -s 私IP -j Snat –to-source 公IP
目的地址转换(Dnat): iptables -t nat -A -PREROUTING -d 公IP -j Dnat –to-destination 私IP
iptables命令详解
iptables常用的命令选项有:
-P:设置默认策略的(设定默认门是关着的还是开着的)如:iptables -P INPUT (DROP|ACCEPT)
-F: FLASH,清空规则链的(注意每个链的管理权限)
-N:NEW 支持用户新建一个链,比如:iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X:用于删除用户自定义的空链
-Z:清空链
-A:追加
-I num : 插入,把当前规则插入为第几条
-R num:Replays替换/修改第几条规则
-D num:删除,明确指定删除第几条规则
-L:查看规则详细信息,比如"iptables -L -n -v"
-s 表示源地址IP
-d 表示目标地址IP
DROP 表示丢弃(拒绝)
ACCEPT 表示接受
-p 表示适用协议,如tcp
其他更多例子:
【例】添加iptables规则禁止用户访问域名为www.sexy.com的网站。 iptables -I FORWARD -d www.sexy.com -j DROP 【例】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站。 iptables -I FORWARD -d 20.20.20.20 -j DROP 【例】添加iptables规则禁止IP地址为192.168.1.X的客户机上网。 iptables -I FORWARD -s 192.168.1.X -j DROP 【例】添加iptables规则禁止192.168.1.0子网里所有的客户机上网。 iptables -I FORWARD -s 192.168.1.0/24 -j DROP 【例】禁止192.168.1.0子网里所有的客户机使用FTP协议下载。 iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 21 -j DROP 【例】强制所有的客户机访问192.168.1.x这台Web服务器。 iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.x:80 【例】禁止使用ICMP协议。 iptables -I INPUT -i ppp0 -p icmp -j DROP
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。
相关文章
MultiTail是一个开源的ncurses的实用工具,可用于在一个窗口或单一外壳,显示实时一样的尾巴命令,该命令拆分控制台为更多子窗口的日志文件的最后几行。这篇文章主要介绍了在 Linux 上使用 Multitail命令的教程,需要的朋友可以参考下2019-12-12
这篇文章主要介绍了安装ubuntu时黑屏的解决办法(3种),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-11-11
在CentOS 6 中安装 WordPress(二)安装WordPress
上篇文章我们介绍了WordPress环境的配置,本文我们就来详细讲解下WordPress的安装,适合新手,高手们请勿拍砖2014-06-06
本文介绍了在Centos系统服务器上如何查看端口是否开放的方法,通过telnet命令可以轻松实现。这对于服务器管理员来说非常重要,可以帮助他们及时发现端口问题并进行修复。2023-03-03
这篇文章主要介绍了Linux C++多线程同步的方式,文中通过示例和代码讲解的非常详细,对正在学习该内容的朋友有很大的帮助,感兴趣的小伙伴可以参考参考2021-08-08
这篇文章主要为大家详细介绍了Linux下Kafka分布式集群安装教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-12-12
在 Linux 中,缓冲区通常指的是用于临时存储数据的内存区域,它可以用来提高系统性能,Linux 中有多种类型的缓冲区,包括文件系统缓冲区、网络缓冲区等,本文给大家详细介绍了Linux文件系统之缓冲区,感兴趣的朋友可以参考下2024-02-02
大家好,本篇文章主要讲的是linux系统中计划任务介绍,感兴趣的同学赶快来看一看吧,对你有帮助的话记得收藏一下,方便下次浏览2021-12-12
Apache Pulsar 微信大流量实时推荐场景下实践详解
这篇文章主要为大家介绍了Apache Pulsar 微信大流量实时推荐场景下实践详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪2022-11-11
这篇文章主要介绍了Ubuntu下安装CUDA10.0以及问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2020-08-08
最新评论