国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

“Shell“iptales防火墻設置

2年前作者：Wanghwei 17分類：Toy博客閱讀(13)違法舉報

這篇具有很好參考價值的文章主要介紹了“Shell“iptales防火墻設置。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

一.Linux防火墻基礎

1.1Linux包過濾防火墻概述

Linux 系統(tǒng)的防火墻: IP信息包過濾系統(tǒng)，它實際上由兩個組件netfilter 和 iptables組成。
主要工作在網(wǎng)絡層，針對IP數(shù)據(jù)包。體現(xiàn)在對包內的IP地址、端口、協(xié)議等信息的處理上

netfilter/iptables 關系:

netfiter: 屬于“內核態(tài)” (Kernel Space，又稱為內核空間）的防火墻功能體系
是內核的一部分，由一些數(shù)據(jù)包過濾表組成，這些表包含內核用來控制數(shù)據(jù)包過濾處理的規(guī)則集。

位于Linux內核中的包過濾功能體系
稱為Linux防火墻的“內核態(tài)”

iptables:屬于“用戶態(tài)”(user Space，又稱為用戶空間) 的防火墻管理體系。
是一種用來管理Linux防火墻的命今程序，它使插入、修改和刪除數(shù)據(jù)包過濾表中的規(guī)則變得容易，通常位于/sbin/iptables文件下

位于/sbin/iptables，用來管理防火墻規(guī)則的工具
稱為Linux防火墻的“用戶態(tài)“

netfilter/iptables后期簡稱為iptables。iptables是基于內核的防火墻，其中內置了 raw、mangle、 nat 和 filter四個規(guī)則表。表中所有規(guī)則配置后，立即生效，不需要重啟服務。

1.2四表五鏈

規(guī)則表的作用: 容納各種規(guī)則鏈
規(guī)則鏈的作用: 容納各種防火墻規(guī)則
總結:表里有鏈，鏈里有規(guī)則

四表：

（1）raw表；確定是否對該數(shù)據(jù)包進行狀態(tài)跟蹤。包含兩個規(guī)則鏈，OUTPUT、PREROUTING
（2）mangle表：修改數(shù)據(jù)包內容，用來做流量整形的，給數(shù)據(jù)包設置標記。包含五個規(guī)則鏈，INPUT、OUTEPUT、FORWARD、PREROUTING、POSTROUTING
（3）nat表：負責網(wǎng)絡地址轉換，用來修改數(shù)據(jù)包中的源、目標IP地址或端口。包含三個規(guī)則鏈，OUTPUT、REROUTING、POSTROUTING
（4）filter表：負責過濾數(shù)據(jù)包，確定是否放行該數(shù)據(jù)包 (過濾)。包含三個規(guī)則鏈，INPUT、FORMARD、OUTPUT。

在 iptables 的四個規(guī)則表中，mangle 表和 raw 表的應用相對較少。

五鏈：

（1）INPUT;處理入站數(shù)據(jù)包，匹配目標IP為本機的數(shù)據(jù)包
（2）OUTPUT;處理出數(shù)據(jù)包，一般不在此鏈上做配置；
（3）FORWARD;處理轉發(fā)數(shù)據(jù)包，匹配流經(jīng)本機機的數(shù)據(jù)包。
(4）PREROUTING;在進行路由選擇前處理數(shù)據(jù)包，用來修改目的地址，用來做DNAT。相當于把內網(wǎng)服務器的IP和端口映射到路由器的外網(wǎng)IP和端口上。
（5）POSTROUTING;在進行路出選擇后處理數(shù)據(jù)包，用來修改源地址，用來做SNAT。相當于內網(wǎng)通過路出器NAT轉換功能實現(xiàn)內網(wǎng)主機通過一個公網(wǎng)IP地址上網(wǎng)

數(shù)據(jù)包到達防火墻時，規(guī)則表之間的優(yōu)先順序：
raw > mangle > nat > filter

1.3規(guī)則鏈之間的匹配順序

“Shell“iptales防火墻設置
1.主機型防火墻：

入站數(shù)據(jù)（來自外界的數(shù)據(jù)包，且目標地址是防火墻本機）：
PREROUTING --> INPUT --> 本機的應用程序

出站數(shù)據(jù)（從防火墻本機向外部地址發(fā)送的數(shù)據(jù)包）：
本機的應用程序 --> OUTPUT --> POSTROUTING

2.網(wǎng)絡型防火墻：

轉發(fā)數(shù)據(jù)（需要經(jīng)過防火墻轉發(fā)的數(shù)據(jù)包）：
PREROUTING --> FORWARD -->POSTROUTING

1.4規(guī)則鏈內的匹配順序

自上向下按順序依次進行檢查，找到相匹配的規(guī)則即停上 (LOG策略例外，表示記求相關日志)
若在該鏈內找不到相匹配的規(guī)則，則按該鏈的默認策略處理(未修改的狀況下，默認策略為允許)

1.5總結

iptables防火墻：是Linux系統(tǒng)防火墻的一種 Centos7以前的默認防火墻

組件：
netfilter：屬于內核態(tài)的功能體系，是一個內核模塊，由多個規(guī)則表組成，其中包括過濾數(shù)據(jù)包的規(guī)則集
iptables：屬于用戶態(tài)的管理工具，是一個應用程序，用來管理防火墻的規(guī)則集

四表五鏈：
表中有鏈，鏈中有規(guī)則
四表：
1.raw(數(shù)據(jù)包狀態(tài)跟蹤)
2.mangle(修改數(shù)據(jù)包內容)
3.nat(地址轉換)
4.filter(過濾數(shù)據(jù)包)
五鏈：
1.INPUT(處理入站數(shù)據(jù))
2.OUTPUT(處理出戰(zhàn)數(shù)據(jù))
3.FORWARD(處理轉發(fā)數(shù)據(jù))
4.POSTROUTING(修改源IP)
5.PREROUTING(修改目的IP)

表的匹配優(yōu)先級：
raw > mangle > nat > filter
鏈的匹配順序：
入站數(shù)據(jù) PREROUTING --> INPUT --> 本機的應用程序過濾數(shù)據(jù)包filter(INPUT)
出站數(shù)據(jù) 本機的應用程序 -> OUTPUT -> POSTROUTING 過濾數(shù)據(jù)包filter(OUTPUT)
轉發(fā)數(shù)據(jù) PREROUTING -> FORWARD -> POSTROUTING 過濾數(shù)據(jù)包filter(EORWARD)
外網(wǎng)到內網(wǎng)修改目的IP nat (PREROUTING)
內網(wǎng)到小網(wǎng)修改源I nat(POSTROUTING)

二.編寫防火墻規(guī)則

2.1iptables防火墻的配置方法

1、使用iptables 命令行。
2、使用system-config-firewal1
iptables 命令行配置方法:

命令格式：

ptables [-t 表名] 管理選項 [鏈名] [匹配條件] [-j 控制類型]

注意事項:

不指定表名時，欺認指flter表
不指定鏈名時，默認指表內的所有鏈
除非設置鏈的默認策略，否則必須指定匹配條件
控制類型使用人寫字母，其余均為小寫

常用的控制類型：

名稱	作用
ACCEPT	允許數(shù)據(jù)包通過
DROP	直接丟棄數(shù)據(jù)包，不給出任何回應信息
REJECT	拒絕數(shù)據(jù)包通過，會給數(shù)據(jù)發(fā)送端一個響應信息
SNAT	修改數(shù)據(jù)包的源地址
DNAT	修改數(shù)據(jù)包的目的地址
MASQUEERADE	偽裝成一個非固定公網(wǎng)IP地址
LOG	在/ar/log/message文件中記錄日志信息，然后將數(shù)據(jù)包傳遞給下一條規(guī)則。LOG是一種輔助動作，并沒有真正處理數(shù)據(jù)包

“Shell“iptales防火墻設置

常用管理選項：

選項	解釋
-A	在指定鏈的末尾追加（–append）一條新的規(guī)則
-I	在指定鏈的開頭插入（–insert）一條新的規(guī)則，未指定序號時默認作為第一條規(guī)則
-R	修改、替換（–replace）指定鏈中的某一條規(guī)則，可指定規(guī)則序號或具體內容
-P	設置指定鏈的默認策略（–policy）
-D	刪除（–delete）指定鏈中的某一條規(guī)則，可指定規(guī)則序號或具體內容
-F	清空（–flush）指定鏈中的所有規(guī)則，若未指定鏈名，則清空表中的所有鏈
-L	列出（–list）指定鏈中所有的規(guī)則，若未指定鏈名，則列出表中的所有鏈
-n	使用數(shù)字形式（–numeric）顯示輸出結果，如顯示 IP 地址而不是主機名
-v	顯示詳細信息，包括每條規(guī)則的匹配包數(shù)量和匹配字節(jié)數(shù)
–line–number	查看規(guī)則時，顯示規(guī)則的序號

2.2規(guī)則的匹配

通用匹配：
可以直接使用，不依賴于其他條件或擴展，包括網(wǎng)絡協(xié)議、IP地址、網(wǎng)絡接口等條件。

協(xié)議匹配: -p 協(xié)議名
地址匹配：-s 源地址，-d 目的地址 //可以是ip，網(wǎng)段，域名，空（任何地址）
接口匹配：-i 入站網(wǎng)卡， -o 出站網(wǎng)卡

命令格式：

iptables   -A   FORWARD   !     -p    icmp       -j     ACCEPT
iptables   -A   INPUT     -s    192.168.80.11    -j     DROP
iptables   -I   INPUT     -i    ens33 -s    192.168.80.0/24    -j     DROP

隱含匹配

要求以特定的協(xié)議匹配作為前提，包括端口，tcp標記，icmp類型等條件

端口匹配： --sport 源端口， --dport 目的端口

命令格式：

--sport 1000                 //匹配源端口是1000的數(shù)據(jù)包
--sport 1000：3000           //匹配源端口是1000-3000的數(shù)據(jù)包
--sport ：3000               //匹配源端口是3000及以下的數(shù)據(jù)包
--sport 1000：               //匹配源端口是1000及以上的數(shù)據(jù)包

注意: --sport 和 --dport 必須配合 -p<協(xié)議類型> 使用

2.3命令使用

（1）添加新的規(guī)則

用其他主機來ping其地址

（2）清空規(guī)則：
注意：
1.-F 僅僅是清空鏈中的規(guī)則，并不影響 -P 設置的默認規(guī)則，默認規(guī)則需要手動進行修改
2.-P 設置了DROP后，使用 -F 一定要小心！
#防止把允許遠程連接的相關規(guī)則清除后導致無法遠程連接主機，此情況如果沒有保存規(guī)則可重啟主機解決
3.如果不寫表名和鏈名，默認清空filter表中所有鏈里的所有規(guī)則

（3）從上往下依次匹配，匹配通過第一條就停止

用其他主機ping其地址看是否能通

（4）查看到規(guī)則的序號

（5）訪問22端口的數(shù)據(jù)包,在中間插入

（6）刪除該條規(guī)則(通過序號刪除)
注意：
1.若規(guī)則列表中有多條相同的規(guī)則時，按內容匹配只刪除的序號最小的一條
2.按號碼匹配刪除時，確保規(guī)則號碼小于等于已有規(guī)則數(shù)，否則報錯
3.按內容匹配刪除時，確保規(guī)則存在，否則報錯

（7）查看數(shù)據(jù)包

（8）顯示詳細內容：

（9）顯示詳細內容行號：文章來源地址http://www.zghlxwxcb.cn/news/detail-453534.html

到了這里，關于“Shell“iptales防火墻設置的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。如若轉載，請注明出處：如若內容造成侵權/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領支付寶紅包贊助服務器費用

Linux防火墻設置放行、移除端口
1、查詢已開啟的端口列表： ????????若為空，表示所有端口都未放行。 2、端口放行、移除： 3、重啟防火墻：
2024年02月15日
瀏覽(24)
Linux · Zookeeper的安裝、使用及常用命令，虛擬機ping外網(wǎng)，linux防火墻設置
近期在學習Zookeeper，將服務注冊進去并能夠正常使用。由于Zookeeper依賴于Java和Linux，所以中間還碰到了一些虛擬機上的問題，在此記錄一下，共同學習一下。 Zookeeper是一個分布式協(xié)調服務，一般用來做服務注冊中心。Zookeeper的數(shù)據(jù)是存儲在內存中的，因此效率較高，內部數(shù)據(jù)
2023年04月25日
瀏覽(23)
阿里云服務器linux部署nginx-(阿里云服務器端口打不開解決方法-防火墻和安全組設置)
（ 1 ） nginx官網(wǎng) 下載最新版本安裝包： nginx: download （2）或者直接wget命令下載如果有報錯： ? 驗證nginx是否啟動 # 查看端口號被哪個進程占用 netstat -ntlp | grep 80 # 查看防火墻開放端口 firewall-cmd --zone=public --list-ports # 若防火墻關閉，檢查防火墻狀態(tài)，開啟防火墻 systemctl sta
2024年04月09日
瀏覽(23)
Linux系統(tǒng)安全：安全技術和防火墻（非常詳細）零基礎入門到精通，收藏這一篇就夠了
入侵檢測系統(tǒng)（Intrusion Detection Systems）：特點是不阻斷任何網(wǎng)絡訪問，量化、定位來自內外網(wǎng)絡的威脅情況，主要以提供報警和事后監(jiān)督為主，提供有針對性的指導措施和安全決策依據(jù),類似于監(jiān)控系統(tǒng)一般采用旁路部署（默默的看著你）方式。入侵防御系統(tǒng)（Intrusion Preve
2024年02月19日
瀏覽(21)
SELinux、SELinux運行模式、破解Linux系統(tǒng)密碼、firewalld防火墻介紹、構建基本FTP服務、systemd管理服務、設置運行模式
作用：負責域名解析的服務器，將域名解析為IP地址 /etc/resolv.conf:指定DNS服務器地址配置文件 ip命令（Linux最基礎的命令） 1.查看IP地址 2.臨時添加IP地址 3.刪除臨時IP地址 ping 命令，測網(wǎng)絡連接 -c 指定ping包的個數(shù) ?常見的日志文件 /var/log/messages 記錄內核消息、各種服務的公
2024年01月18日
瀏覽(48)
Debian防火墻設置
Debian防火墻設置 - Atrixin - 博客園 https://www.cnblogs.com/fairy8781/p/17605434.html 查看防火墻規(guī)則例如要放行8888端口開啟一個范圍的端口然后保存放行規(guī)則保存規(guī)則制定路徑設置完就已經(jīng)放行了指定的端口，但重啟后會失效，下面設置持續(xù)生效規(guī)則安裝 iptables-persistent 保存規(guī)則持
2024年01月16日
瀏覽(21)
Ubuntu 防火墻設置
之前關于防火墻的設置搞得一頭霧水，用的多了才梳理清楚，這里都記錄一下，用來管理防火墻的有很多工具，這里都記錄一下，一般用第一種比較方便安裝 sudo apt-get update sudo apt install firewalld 啟動防火墻 systemctl start firewalld.service 禁止開機自動啟動 systemctl disable firewalld.s
2024年04月11日
瀏覽(32)
Windows server防火墻如何設置阻止IP訪問防火墻限制ip地址訪問
無論是服務器還是本機電腦，安全都是非常重要的，一些安全軟件設置后會攔截到一些異常IP，我們可以通過防火墻將異常IP加入黑名單，禁止訪問，今天芳芳就和你們分享Windows防火墻如何設置IP禁止訪問，希望可以幫助到你~ 打開“控制面板”，在右上角的查看方式改為“
2024年02月13日
瀏覽(34)
如何檢查代理和防火墻設置
這樣的錯誤可能會突然出現(xiàn)在個人計算機屏幕上，當訪問您喜愛的網(wǎng)站時。這是什么原因，如何快速解決這個問題？我們將弄清楚如何檢查。關于訪問問題 ?對網(wǎng)站的訪問受阻實際上是一個非常常見的錯誤，它既可能是由于物理原因（硬件問題）造成的，也可能是由于軟件錯
2024年01月21日
瀏覽(26)
服務器防火墻設置教程
1. 第一步，點擊桌面右下角打開開始菜單，在搜索欄輸入搜索“控制面板”，如果直接能看到控制面板圖標也可以直接點擊打開。 2. 第二步，打開控制面板頁面之后，點擊右上角把查看方式設置為“小圖標”，找到并點擊打開windows防火墻。 3. 第三步，打開Windows防火墻頁面
2024年02月19日
瀏覽(20)