iptables 4個表和5個鏈
iptables 顯示相關的命令
iptables -l -n -x -v
檢視iptables的status 為firevall is stopped 解決: linux命令列輸入 step --firevall configuration--enable
清除預設的規則
iptables -f 等價於iptables --flush//清除所有的規則
iptables -x 等價於iptables --delete-chain//刪除使用者自定義規則
iptables -z 等價於iptables --zero//鏈的計數器清零
accept(接受) drop(丟棄) reject(拒絕)
iptables是在系統核心中執行的。檢查基本相關的核心模組
1.關閉ssh 的22 埠關閉
開啟關閉22埠
iptables -a input –p tcp –dport 22 –j drop
刪除22這條規則
iptables -d input -p tcp --dport 22 -j drop
刪除根據行號(iptables -d input 1)
iptables -l -n --line-numbers(顯示行號)
禁止10.0.0.0/24網段連入
iptables -t filter -a input -i eth0 -s 10.0.0.0/24 -j drop
刪除禁止源位址10網段的命令
iptables -d input -i eth0 -s 10.0.0.0/24 -y drop
封乙個ip
iptables -i input -p tcp -s 10.0.0.101 -j drop
禁止目的埠為22埠的資料報通過防火牆
iptables -i input -p tcp --dport 22 -j drop
配置乙個合法的位址能ping
iptables -t filter -i input -p icmp --icmp-type 8 -i eth0 -s ! 10.0.0.101 -j drop
禁止乙個網段
iptables -t filter -i input -i eth0 -s ! 10.0.0.0/24 -j drop 等價於
iptables -t filter -i input -i eth0 -s 10.0.0.0/24 -j accept
封掉3306
iptables -a input -p tcp --dport 3306 -j drop
常用服務的iptables 規則實踐
允許合法的ip通過iptables
iptables -a input -s 10.0.0.1/24 -p all -j accept
允許nagios
iptables -a input -s 10.0.0.1/24 -p tcp --dport 5666 -j accept
允許mysql和oracle ip訪問
iptables -a input -s 10.0.0.1/24 -p tcp --dport 3306 -j accept
iptables -a input -s 10.0.0.1/24 -p tcp --dport 1521 -j accept
允許合法的ip連線ssh
iptables -a input -p tcp -s 10.0.0.1/24 --dport 5801 -j accept
對http請求的開通(一般不做限制)
iptables -a input -p tcp --dport 80 -j accept
對http服務企業,一般的特殊埠,並限制合法ip連線或vpn連線
iptables -a input -s 10.0.0.1/24 -p tcp -n unltiport --dport 8080,8888, -j accept
snmp 的限制
iptables -a input -s 10.0.0.1/24 -p udp --dport 161 -j accept
rsync 服務的限制策
iptables -a input -s 10.0.0.1/24 -p tcp -m tcp --dport 873 -j accept
nfs 服務的限制
iptables -a input -s 10.0.0.1/24 -p tcp -n multiport --dport 111,892,2049 -j accept
ftp服務限制
#iptables -a input -p tcp --dport 21 -j accept
iptables -a input -n state --state establshed,related -j accept
iptables -a output -n state --state establshed,related -j accept
icmp的限制
iptables -a input -p icmp -n icmp --icmp-type any -j accept
iptables -a input -p icmp -s 10.0.0.1/24 -n icmp --icmp-type any -j accept
iptables -a input -p icmp --icmp-type 8 -j accept
高階模式
nat模式的ip一對一對映(外網對應內網)
iptables –t nat –a prerouting –d 201.10.10.11 –p tcp –n tcp –dport 80 –j dnat –to-destination 10.10.10.12:80
snat(源網路轉換)
iptables –t nat –a postrouting –s 10.0.0.0/255.255.255.0 –o eth0 –j sant –to-source 203.21.9.1
對映多個外網ip上網
iptables –t nat –a postrouting –s 10.0.0.0/255.255.255.0 –o eth0 –j sant –to-source 203.21.9.1-203.21.9.20
華為防火牆基礎知識
第一代防火牆 包過濾防火牆 第二代防火牆 防火牆 第三代防火牆 狀態監測防火牆 防火牆 統一威脅管理防火牆 utm 第五代防火牆 下一代防火牆 ngfw 未來防火牆的發展趨勢是基於人工智慧 ai 的防火牆ngfw即下一代防火牆,更適用於新的網路環境。ngfw在功能方面不僅要具備標準的防火牆功能,如網...
FireWall 防火牆基礎知識1
顧名思義,防火牆指的是防止火從乙個部分傳播到另一部分的牆!類似與護城河。防火牆分類 網路層防火牆 主要獲取資料報的包頭資訊。應用層防火牆 對整個資訊流進行分析。常見防火牆 應用閘道器 電路級閘道器 包過濾 位址 包過濾介紹 應用在路由器中,就是為路由器增加了對資料報的過濾功能。一般是對ip資料報的過...
防火牆基礎
隔離,嚴格過濾入站,允許出站。防火牆有無數個域,其中又有4個常用的域分別是 1 首先檢視客戶端請求的資料報 源ip 目標ip 資料 中,源ip位址然後檢測自己所有區域中,哪個區域有此源ip位址的規則,然後進入該區域。2 如果條件一不成立,則會進入預設區域 預設區域為public 修改預設埠為bloc...