linux防火墙的策略规则
介绍:
防火墙默认有四表五链
四表:(表的优先级:raw > mangle > nat > filter )
1.Raw表——两个链:PREROUTING、OUTPUT
作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw
2.Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle
3.Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
4.filter表——三个链:INPUT、OUTPUT、FORWARD
作用:过滤数据包,定义拒绝或者允许 内核模块:iptables_filter
五链:(默认的,不能删除,但能清除里面的规则)
1.INPUT——进来的数据包应用此规则链中的策略
2.OUTPUT——外出的数据包应用此规则链中的策略
3.FORWARD——转发数据包时应用此规则链中的策略
4.PREROUTING——对数据包作路由选择前应用此链中的规则
5.POSTROUTING——对数据包作路由选择后应用此链中的规则
一、开始对防火墙配置时:
iptables -X(清除所有自定义规则链)
iptables -F(清除所有规则)
iptables -L(列出所有[加n 以数字形式显示IP])
二、编写规则:
iptables -I (插入规则) 规则链名 优先级
iptables -A (增加规则,默认是) 规则链名
iptables -D (删除规则) 规则链名 序号
iptables -N (自定义规则链名)
iptables -P (默认) 规则链名 DROP(拒绝)或者ACCEPT(允许) PS:建议除紧急情况外,最后配置
-p (协议)
--sport(源端口)
--dport(目的端口)
-s (源地址)
-d(目的地址)
-i(入网卡)
-o(出网卡)
-m(扩展)
1、state --state RELATED,ESTABLISHED //用状态检测,因回来的数据没能转发。 2、limit --limit 5/m --limit-burst 10//10个通行证,每分钟增加5个 3、connlimit --connlimit-above 1 //每个IP地址只允许1个连接
-j (行为)
ACCEPT(接受)
DROP(停止)
DNAT(目的地址转发)一般在PREROUTING链中
SNAT(源地址转发) 一般在POSTROUTING链中
规则链名(加入这条规则链)
MASQUSERADE(地址伪装)
--to-destination(目标地址)
-t nat (选择nat表,一般地址映射用到)
--line-number (显示序号)
例子:
1)linux系统作为服务器和防火墙时:
1.允许外界能访问我的80端口httpd服务:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT tcp协议目的端口80在入站规则通过
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT tcp协议源端口80在出站规则通过
也可以自定义规则链:
iptables -N httpd-in //自定义规则名为httpd-in
iptalbes -A INPUT -j httpd-in //把httpd-in规则链加入到INPUT链
iptables -A httpd-in -p tcp --dport 80 -j ACCEPT tcp协议目的端口80在httpd-in链通过
iptables -N httpd-out //自定义规则名为httpd-out
iptalbes -A OUTPUT -j httpd-out //把httpd-out规则链加入到OUTPUT链
iptables -A httpd-out -p tcp --sport 80 -j ACCEPT tcp协议源端口80在httpd-out链通过
自定义规则链一定要加入到默认规则链中,可以使得iptables默认规则链不至于混乱无序
2.允许ping:(只要前面两条就可ping通)
iptables -A INPUT -i eth0 -p icmp -j ACCEPT eth0网卡入站时的icmp包允许通过
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT eth0网卡出站时的icmp包允许通过
iptables -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 从eth0网卡出站时的状态检测允许
2)linux系统只作为防火墙时:
echo 1 > /proc/sys/net/ipv4/ip_forward /启动路由功能,允许转发
1.允许80端口httpd服务转发:
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT //允许tcp目的端口80转发
2.允许ping转发:
iptables -A FORWARD -p icmp -j ACCEPT //允许icmp包转发
3.目的地址映射:
iptables –t nat –A PREROUTING –d 192.168.99.101 –j DNAT --to 192.168.100.102 //路由前,目的IP:192.168.99.101 转换成IP:192.168.100.102)
4.内网源地址隐藏:
iptables -t nat -A POSTROUTING -j MASQUERADE //路由后,内网地址隐藏,源地址变成防火墙外网IP地址
5.访问限时:(date显示时间,072016182005[月日时分年]7月20号16点18分2005年,直接date 数字改系统时间进行测试)
iptables –I FORWARD –s 192.168.100.0/24 –m time --timestart 16:10 --timestop 18:10 -j ACCEPT //对源网段192.168.100.0/24,开始时间16:10-18:10 允许通过
iptables –I FORWARD –d 192.168.100.0/24 –m time --timestart 16:10 --timestop 18:10 -j ACCEPT //对目的网段192.168.100.0/24,开始时间16:10-18:10 允许通过
6.访问限速:
iptables -I FORWARD -p tcp --dport 21 -m connlimit --connlimit-above 1 -j DROP //对21端口转发,每个IP地址超过1个连接就拒绝
3)使用日志监控程序记录:
/usr/local/ulogd/sbin/ulogd & //启动这个程序
iptables -A FORWARD -p icmp -j ACCEPT //允许icmp转发链
iptables -A FORWARD -p icmp -j ULOG //对icmp转发链进行监控
以上是我个人学习积累到的知识,如有需要更正或者增加的地方,欢迎来与我交流学习一番,共同进步,谢谢观看。
转载于:https://blog.51cto.com/zonds/1930504
linux防火墙的策略规则相关推荐
- 防火墙策略添加linux,通过iptables设置Linux防火墙INPUT策略
原标题:通过iptables设置Linux防火墙INPUT策略 小白电脑课堂开课啦!游戏团战就死机,多半是废了.大家好我是小白.说到防火墙,同学们都会想到开了防火墙就会卡的Windows.而在Linu ...
- linux防火墙的复规则,Centos下iptables防火墙规则编辑方法 - YangJunwei
今天整理一下Centos下iptables防火墙规则的保存.清除等编辑方法. 如已经安装,请跳过. $ yum install iptables 二.查看 iptables 防火墙已有规则 以下四种方 ...
- linux防火墙规则命令意思,linux防火墙iptables配置规则分享
类似的,对于HTTP/HTTPS(80/443).pop3(110).rsync(873).MySQL(3306)等基于tcp连接的服务,也可以参照上述命令配置. 对于基于udp的dns服务,使用以下 ...
- linux防火墙清空所有规则,删除规则与清空所有规则《 iptables 防火墙 》
想要删除现有的规则,最简单的方法就是使用规则的行号作为根据来删除 ... 我们可以先添加一条新的规则 .. 比如我想扔掉所有使用 UDP 协议传输的数据 .. sudo iptables -A INP ...
- Linux下防火墙iptables用法规则详及其防火墙配置
原博主文章更美丽: http://www.cnblogs.com/yi-meng/p/3213925.html iptables规则 规则--顾名思义就是规矩和原则,和现实生活中的事情是一样的,国有国 ...
- linux防火墙策略文件夹,Linux防火墙iptables的策略
iptables策略 iptables -L #查看现有防火墙所有策略 iptables -F #清除现有防火墙策略 只允许特定流量通过,禁用其他流量 1.允许SSH流量(重要) iptables - ...
- Linux防火墙iptables的策略
参考自http://www.cnblogs.com/AlwaysWIN/p/6113569.html http://blog.chinaunix.net/uid-26495963-id-3279216 ...
- linux防火墙过滤规则
一.linux防火墙基础 防火墙分为硬件防火墙和软件防火墙. 1.概述 linux 防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙. 包过滤机制:netfil ...
- linux下防火墙iptables用法规则详解
linux下防火墙iptables用法规则详解 分享者: du52.com 邮件: wangaibo168@163.com 主页: http://www.du52.com linux下防火墙iptab ...
- linux防火墙常用缩写,Linux iptables常用防火墙规则
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机) iptables -A INPUT -m stat ...
最新文章
- 代码中特殊的注释技术——TODO、FIXME和XXX的用处
- 不相交集ADT(联机算法 + 脱机算法)
- android n 发布时间,Android N 正式版将在9月发布
- 安装引导黑屏_给电脑安装系统老是装不上,重启就黑屏,原来是这项设置在作怪!...
- Linux内存管理:kmemcheck介绍
- Linux下Grub命令配置详解
- php代码高亮正则,php通过正则表达式实现语法高亮
- [实验]OSPF多区域互通---华为
- 局域网部署文档协同办公系统:Windows + onlyoffice + dzzoffice
- 期待了1年多了《黑客攻防实战编程》终于面世了!
- PostgreSQL使用pgAdmin3不能编辑表里的数据
- 论文阅读——SIPP: Safe Interval Path Planning for Dynamic Environments
- GaussDB中analyze关键字
- 连接服务器显示句柄无效,句柄无效。 (从HRESULT异常:0x80070006(E_HANDLE))
- hwd分别是长宽高_W H D在尺寸上代表什么??
- 剑侠世界3怎么快速起号?
- 请捎去我的祈祷和祝福
- ios12最后一个正式版_iOS12.4正式版怎么样 iOS12.4正式版要不要升级
- 线性布局管理器LinearLayout
- [Excel] 用sumproduct函数实现数据透视表功能
热门文章
- linear-gradient常用实现效果
- PAT1018. Public Bike Management (30)
- Python学习笔记008_类_对象_继承_组合_类相关的BIF
- sqlite具体操作篇
- SICP习题 1.17 (用加法求乘积)
- CS224n笔记11 GRU和NMT的进一步话题
- python 获取路径
- 浏览器兼容性-JS篇
- Codevs 1215 迷宫
- 2016/7/7 设置wamp2.5 mysql密码 重点是mysql版本