iptables防火墙火墙服务
一.iptables介绍
二.安装服务并开启服务
yum install iptables-services.x86_64
systemctl stop firewalld
systemctl disable firewalld
systemctl mask firewalld
systemctl start iptables.service
systemctl enable iptables.service
systemctl status iptables.service
三.参数的相关解释和用法
iptable
-t##指定表名称
-n##不作解析
-L##列出指定表中的策略
-A##增加策略
-p##网络协议
--dport ##端口
-s##数据来源
-j##动作
ACCEPT##允许
REJECT ##拒绝
DROP##丢弃
-N##增加链
-E##修改链名称
-X##删除链
-D##删除指定策略
-I##插入
-R##修改策略
-P##修改默认策略
iptables -t filter -nL#查看filter表中的策略
iptables -F#刷掉filter表中的所有策略,当没有用-t指定表名称时默认时filter
service iptables save#保存当前策略
iptables -A INPUT -i lo -j ACCEPT#允许lo
iptables -A INPUT -p tcp --dport 22 -j ACCEPT##允许访问22端口
iptables -A INPUT -s 172.25.254.224 -j ACCEPT##允许224主机访问本机所有端口
iptables -A INPUT -j REJECT ##拒绝所有主机的数据来源
iptables -N redhat##增加链redhat
iptables -E redhat westos##改变链名称
iptables -X westos##删除westos链
iptable -D INPUT 2##删除INPUT链中的第二条策略
iptables -I INPUT -p tcp --dport 80 -j REJECT##插入策略到INPUT中的第一条
iptables -R INPUT 1 -p tcp --dport 80 -j ACCEPT##修改第一条策略
iptable -P INPUT DROP##把INPUT表中的默认策略改为drop
四.数据包状态策略(缓解压力,提高速度)
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
允许RELATED,ESTABLISHED 状态通过
iptables -A INPUT -i lo -m state --state NEW -j ACCEPT
允许lo回环接口状态为NEW通过
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
允许访问端口22状态为NEW通过
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
允许访问端口80状态为NEW通过
iptables -A INPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
允许访问端口443状态为NEW通过
iptables -A INPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
允许访问端口53状态为NEW通过
iptables -A INPUT -j REJECT
拒绝所有主机的数据来源
该策略第一次通过后状态会变为RELATED或ESTABLISHED,此后访问时直接通过iptables,不会给iptables带来访问压力。
五.vsftp在iptables下的设置(编写策略让自己开启的非默认端口可以正常工作)
ftp在主动模式下会随机打开一个大于1024的端口,所以开启防火墙后会被禁掉,无法正常使用
1. 编辑配置文件 vim /etc/vsftpd/vsftpd.conf ,并且修改selinux的状态
pasv_max_port=7000
pasv_min_port=7000
systemctl restart vsftpd 重启服务
setenforce 0
2.测试
lftp 172.25.254.24
ls 查看内容,无法显示
3.添加火墙策略
iptables -I INPUT 3 -m stat --state NEW -p tcp --dport 7000 -j ACCEPT
4.测试
lftp 172.25.254.24
ls 查看内容,可以显示
六.iptables的伪装
1.查看内核路由功能,若没有打开则打开内核路由功能。
sysctl -a | grep forward 查找内核路由功能开关
echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.conf 打开内核路由功能
sysctl -p 查看内核路由功能的状态。0表示关闭,1表示打开
2.配置主机双网卡ip
eth0的IP:172.25.254.124 eth1的IP:172.25.0.124
3.添加火墙策略
SNAT转换(源地址转换在路由完成之后转换):
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.124
DNAT转换(目的地转换在路由完成之前转换)
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-dest 172.25.0.224
4.测试
SNAT测试:
1.配置测试主机(另外一台虚拟机)的网卡ip,网关
IP:172.25.0.224 GATEWAY=172.25.0.124
2.用ssh连接另外一台主机172.25.254.24
ssh root@172.25.254.24
查看网络ifconfig 显示的是172.25.254.124
DNAT测试:
1.用ip:172.25.254.24(真机)去连接172.25.254.124
ssh root@172.25.254.124
2.ifconfig查看网络 显示的是172.25.0.224
iptables防火墙火墙服务相关推荐
- iptables火墙服务
文章目录 1.iptables火墙服务 1.1 iptables服务的启动 1.2 iptables 常用参数 1.3iptables服务策略 1.4 iptables火墙的伪装与端口转发功能 1.i ...
- Linux iptables防火墙设置与NAT服务配置
Linux iptables防火墙设置与NAT服务配置 - 摘要: linux教程,NAT服务器,iptables防火墙设置与NAT服务配置, 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组 ...
- 简释iptables防火墙
一般LINUX防火墙(iptalbes)的运用无非是用nat 表(PREROUTING.OUTPUT.POSTROUTING)和filter表 (FORWARD.INPUT.OUTPUT).我们只有知 ...
- Linux iptables 防火墙 添加删除 端口
Linux iptables 防火墙 添加删除 端口 ps:本人亲测,阿里云2核4G5M的服务器性价比很高,新用户一块多一天,老用户三块多一天,最高可以买三年,感兴趣的可以戳一下:阿里云折扣服务器 一 ...
- 安全的Web主机iptables防火墙脚本
下面以自己的Web服务器举例说明之,系统的默认策略是INPUT为DROP,OUTPUT.FORWARD链为ACCEPT,DROP设置得比较宽松,因为我们知道出去的数据包比较安全:为了验证脚本的通用性, ...
- iptables防火墙策略
环境: foundation1 172.25.1.250 172.25.254.1 server1 172.25.1.1 server2 ...
- CentOS之——CentOS7安装iptables防火墙
CentOS7默认的防火墙不是iptables,而是firewalle. 安装iptable iptable-service #先检查是否安装了iptables service iptables ...
- Iptables防火墙详细介绍与实战增强服务器安全
Iptables防火墙详细介绍与实战增强服务器安全 一:Iptables的概述及应用 iptables概述: netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfi ...
- centos6.5下系统编译定制iptables防火墙扩展layer7应用层访问控制功能及应用限制QQ2016上网...
iptables防火墙扩展之layer7应用层访问控制 概述: iptables防火墙是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙.以基于网络层的数据包过滤机制为主,同 ...
最新文章
- Web生产:外部JS文件中的绝对URL?
- [置顶] 风雨20年:我所积累的20条编程经验
- 基于h5的跳一跳游戏的开发与实现_「南宁小程序开发」企业开发小程序有哪些好处?...
- Android之CheckBox进行代码设置setChecked(true)会触发setOnCheckedChangeListener事件
- 阿里格林深瞳计算机视觉岗实习面经
- 解决Latex正文中的参考文献有许多[0]的情况
- C++--第23课 - STL简介
- 版本管理工具git常用命令
- QT与Coin3D实现机器人的仿真
- java 时分秒 转换 秒_java实现时间格式转换(int整数类型的秒/毫秒---时分秒毫秒)...
- 常用的webservice接口(转)
- MOSFET的半桥驱动电路设计要领详解
- FPGA图像处理 浅浅浅浅浅记
- 用Python实现斐波那契数列代码
- 报错:Entering emergency mode. Exit the shell to continue 解决
- 简述Spring的详细工作原理
- android打地鼠案例
- 利用Django-registration开源框架自定义适合自己应用的注册验证(1)
- 安装2008 R2 SQL,在安装程序支持文件时页面闪退
- 国内“孩子青春期”图书中的iPhone:正写书的程序员爸爸点评《拆解青春期女孩的小心事》