iptables火墙服务
文章目录
- 1.iptables火墙服务
- 1.1 iptables服务的启动
- 1.2 iptables 常用参数
- 1.3iptables服务策略
- 1.4 iptables火墙的伪装与端口转发功能
1.iptables火墙服务
1.1 iptables服务的启动
yum list iptables-services
systemctl stop firewald
systemctl distable firewalld
systemctl mask firewalld
systemctl start iptables.service
systemctl enable iptables.service
1.2 iptables 常用参数
man iptables
查看各种参数含义
参数 | 含义 |
---|---|
-t | 指定表格 |
-L | 列出所有规则 |
-nL | 列出所有规则带解析 |
-A | 添加规则 不能指定添加位置 |
-D | 删除规则 |
-C | 检测 一般不使用 |
-I | 指定位置插入规则 |
-R | 指定策略修改 |
-S | 列出策略 更为详细 |
-P | 更改链条的默认动作 只有DROP |
-N | 添加新链 |
-E | 链重命名 |
-X | 删除链 |
-F | 刷新iptables |
-Z | 清空iptables数据 |
命令添加的规则如果不保存默认都是临时的,再次刷新或重启服务规则会被清理
保存的两种方式
(1)srvice iptables save
(2)iptables-save > /etc/sysconfig/iptables
将策略保存文件内容倒入策略文件策略算是永久保存
清空策略:
对保存了的策略需要到文件中删除
> iptables-saveiptables-save > /etc/sysconfig/iptables
1.3iptables服务策略
(1)iptables给特定ip指定特定服务:
1) iptables -t filter -A INPUT -p tcp --dport 22 -s 172.25.254.101 -j REJECT
2)! 表示除…之外…
iptables -A INPUT ! -s 172.25.254.1 -p tcp --dport 22 -j REJECT ## 除1号主机外拒绝其他主机连接ssh服务
(2)iptables 添加火墙服务并检测标签提高效率(以开放squid代理服务、ssh服务、DNS服务)
由于系统读取策略都是在表中从上置下依次读取,且读取到符合要求的策略就不再向下读取;NEW标签的主机检测过后标签就变为ESTABLSHED或RELAED 下次连接就不用检测,提高效率
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 对ESTABLSHED和RELAED标签的ip直接通过检测
iptables -A INPUT -m state --state NEW -i lo -j ACCEPT 对NEW标签内部接口的ip也直接通过检测
iptables -A INPUT -m state --state NEW -p tcp --dport 3128 -j ACCEPT NEW标签ip连接squid服务 检测3128端口
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT 检测22端口
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT 检测53端口
iptables -A INPUT -j REJECT 其余的服务连接都拒绝不用检测
1.4 iptables火墙的伪装与端口转发功能
实验准备:
服务端:双网卡,eth0ip为:172.25.254.201 ;eth1ip为: 192.168.0.201
客户端: 单网卡 eth0ip为:192.168.0.101 GATEWAY:192.168.0.201
必须开启内核路由功能,否则SNAT实验将失败!
(1)iptables 火墙的伪装——路由之后SNAT源地址转换
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.201 (ip为所写网卡对应ip)
##在nat表中的路由之后链POSTOUTING中添加规则:对通过eth0网卡出去的ip做源地址转换 ip转换为172.25.254.201
iptables-save > /etc/sysconfig/iptables
(2)iptables 连接端口的转发——路由之前 DNAT目的地址的转换(ssh服务连接为例)
DNAT实验前提为:SNAT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-dest x.x.x.x:22 ##在nat表中的路由之前链PREROUTING中添加规则:对连接eth0网卡ip的主机做目的端口转发,目的主机为x.x.x.x 只有通过设定的网卡进入服务端的客户机才能发生跳转!!!
实验现象:规则中设定通过eth0进入服务端的主机会发生目的端口跳转,所以在客户端实验是不会发生跳转的,因为客户端是通过eth1连接的服务端,在ip为172网段的主机上实验,可以看到实验现象;如果将规则该为 -i eth1 ,则只有在客户端实验能发生跳转,并且不管客户端ssh连接172网段哪一主机都会发生跳转,因为客户端在连接除服务端之外的172网段主机时,首先会通过服务端的eth1进入服务端,只要通过eth1进入服务端都会发生DNAT跳转
目的端口转发必须开启火墙的伪装功能,否则会出现如下效果:
iptables火墙服务相关推荐
- 【linux进阶9】linux中的iptables火墙优化策略
linux中的iptables火墙优化策略 一.基本命令 二.火墙的切换 三.iptables的使用及火墙使用规则 (1).名词解释 (2).表格解释 (3).iptables使用方式 1).基本命令 ...
- 性能优化实战|使用eBPF代替iptables优化服务网格数据面性能
目前以 Istio[1] 为代表的服务网格普遍使用 Sidecar 架构,并使用 iptables 将流量劫持到 Sidecar 代理,优点是对应用程序无侵入,但是 Sidecar 代理会增加请求时延 ...
- linux下的iptables火墙的管理
1.iptables火墙的基本命令 systemctl stop firewalldsystemctl disable firewalldsystemctl start iptablessystemc ...
- iptables防火墙火墙服务
一.iptables介绍 二.安装服务并开启服务 yum install iptables-services.x86_64 systemctl stop firewalld systemctl dis ...
- Linux中的火墙策略优化(iptables,firewalld)
一.火墙介绍 1.netfilter 2.iptables 3.iptables | firewalld 二.火墙管理工具切换 在rhel8中默认使用的是firewalldfirewalld----- ...
- RHCE——火墙之iptables和firewalld部署
文章目录 1.火墙介绍 1.1 netfilter 1.2 iptables 1.3 iptables|firewalld(火墙管理的两种工具) 2.火墙管理工具切换 2.1 firewalld--- ...
- CentOS 7中iptables服务暂停启动和保存备份
默认使用firewalld管理iptables # yum -y install iptabels 安装iptables #yum -y install iptables-servic ...
- linux处置服务Iptables
一:Iptables防火墙服务 iptables分为两个部分:一个部分在内核中实现,一个为用户接口命令iptables,用户通过该命令来改动防火墙的功能.所以,iptables要使用对应的功能.必需要 ...
- iptables相关管理命令
1.基础 1)基本参数 参数 功能 -t 指定表名称 -n 不作解析 -L 列出指定表中的策略 -A 增加策略 –dport 端口 -s 数据来源 -j 动作 ACCEPT 允许 REJECT 拒绝 ...
最新文章
- 菜鸟学习之linux用户行为日志审计方案
- php 操作数组 (合并,拆分,追加,查找,删除等)
- VS中查看子类对象内存分布的方法
- CTF(Pwn) 当题目为我们提供Libc版本.so文件, 与 不提供的区别
- 来兄弟连学习的经历和感受
- 机器学习导论 与数学分析
- MySql 复习SQL基础
- Random()中具体实现(含种子数组的实现)
- Linux乱码和数据库乱码的问题简单排查
- 测试网速的c语言代码,如何用C语言编个测网速的小工具
- 目录-管壳式换热器的分析与计算
- Android签名 (二) 制作签名文件
- Redhat7.3修改密码
- 地理坐标系与投影坐标系
- 信息学奥赛一本通【21CSPS提高组】和【21NOIP提高组】题解
- mac字体渲染精细处理
- 2015年中国最具竞争力机器人控制器企业10强
- Oscar-实验过程记录
- 自考计算机还是商务英语,自考本科报商务英语怎么样
- 担心基站高辐射?快来看5G建设电磁辐射科普宣传片
热门文章
- 论文笔记MEMC-Net TPAMI
- STM32使用OLED显示一个简单的计数器
- Android 4.0 Launcher源码详细分析 傻蛋
- IIS 发布Web网站或接口,提示错误“未能加载文件或程序集“XXXX, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null”
- matlab中sparse和full函数的使用
- yolov4-tiny从安装到训练再到python调用接口
- iOS7 中的新特性
- 微信多图上传,解决android多图上传失败问题
- 如何寻找英文外链资源,英文SEO高质量外链建设
- 华为手机备份的通讯录是什么文件_华为手机资料备份与恢复教程(含联系人短信图片程序等)...