国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

Linux防火墻之iptables（下）

2年前作者：站在這別動(dòng)，我去給你買橘子分類：Toy博客閱讀(44)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Linux防火墻之iptables（下）。希望對大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

承接上文，上文介紹了iptables的工作原理，四表五鏈，以及基本規(guī)則的增刪改查。本文為上文的拓展，繼續(xù)延申iptables規(guī)則設(shè)置的匹配方式。以及如何備份，還原iptables設(shè)置，還有修改iptables的初始化設(shè)置

內(nèi)容預(yù)知

?1.通用匹配

1.1 協(xié)議匹配?

1.2 地址匹配?

1.3 接口匹配

?2.隱含匹配

?2.1 端口匹配

2.2 TCP標(biāo)志位的匹配?

?2.3 ICMP的類型匹配

?2.3.1? 請求規(guī)則設(shè)置

?2.3.2? 回顯匹配

2.3.3 顯示目的不可達(dá)匹配?

?3.顯示匹配

3.1? 多端口匹配

3.2 IP范圍匹配

3.3 MAC匹配

3.4 狀態(tài)匹配

?4. 備份與還原iptables規(guī)則設(shè)置

?4.1? ?備份iptables設(shè)置

4.2? 一鍵導(dǎo)出，設(shè)置為當(dāng)前防火墻設(shè)置?

4.3 修改iptables的默認(rèn)設(shè)置?

?文章來源地址http://www.zghlxwxcb.cn/news/detail-803612.html

?1.通用匹配

?直接指定目的網(wǎng)段，IP地址，出入站網(wǎng)卡，從而直接對該類主機(jī)進(jìn)行權(quán)限設(shè)置操作

?

?通用的匹配方式一般為三種：

?

協(xié)議匹配	-p 協(xié)議名
地址匹配	-s 源地址、-d 目的地址 ?？梢允荌P、網(wǎng)段、域名、空(任何地址
接口匹配	-i 入站網(wǎng)卡、-o 出站網(wǎng)卡

1.1 協(xié)議匹配?

?

上文中運(yùn)用的實(shí)例基本都是協(xié)議匹配完成，協(xié)議匹配中還存在一個(gè)取反匹配?

[root@localhost ~]#iptables -A  INPUT   ! -p icmp -j ACCEPT
[root@localhost ~]#iptables -nL

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

測試結(jié)果：

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算 ?

?

1.2 地址匹配?

?直接對IP地址，源地址，目的地址或則網(wǎng)段中的主機(jī)進(jìn)行權(quán)限操作

[root@localhost ~]#iptables -A INPUT -s 192.168.73.110 -j DROP
[root@localhost ~]#iptables -nL

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算 ?

?測試結(jié)果：

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

?

?

1.3 接口匹配

可以認(rèn)為是對地址匹配的進(jìn)一步設(shè)置，具體化到防火墻主機(jī)的網(wǎng)卡設(shè)置。

?

[root@localhost ~]#iptables -A INPUT  -i ens33  -s 192.168.73.0/24  -j DROP

?

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算 ?

?2.隱含匹配

?要求以特定的協(xié)議匹配作為前提，包括端口、TCP標(biāo)記、ICMP類型等條件。

?

?2.1 端口匹配

?

--sport	源端口
--dport	目的端口

?

對于端口的指定可以為單一，也可以為一個(gè)范圍

--sport 100? ? 指定的就是匹配源端口100

--sport? 100：200? 就是指定100-200這個(gè)范圍

--sport? 100：? 就是指定100及其100以上的端口

--sport? 200：? 就是指定200及其200以下的源端口?

?

?

[root@localhost ~]#iptables -A INPUT  -p tcp   --dport 20:21 -j REJECT

? iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

?

2.2 TCP標(biāo)志位的匹配?

?

這里的防火墻規(guī)則運(yùn)用到了TCP的三次握手規(guī)則，我在之前的博客中有詳細(xì)記錄三次握手：?

?一次性學(xué)會傳輸層協(xié)議相關(guān)內(nèi)容（站在外面干啥呢？點(diǎn)進(jìn)來看看?。站在這別動(dòng)，我去給你買橘子的博客-CSDN博客https://blog.csdn.net/qq_62462797/article/details/125764066?spm=1001.2014.3001.5501

?--tcp-flags? ?TCP? ? 標(biāo)記

?

[root@localhost ~]# iptables -I INPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH  SYN,ACK  -j  REJECT
[root@localhost ~]# iptables -I OUTPUT -p tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH  SYN,ACK  -j  REJECT

?

? iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

?

?2.3 ICMP的類型匹配

?

?ICMP類型可以是字符串、數(shù)字代碼:

ICMP類型	含義
Echo-Request （代碼為8）	表示請求
Echo- -Reply （代碼為0）	表示回顯
Dest ination-Unreachable （代碼為3）	表示目標(biāo)不可達(dá)

?--icmp-type ICMP類型

?2.3.1? 請求規(guī)則設(shè)置

[root@localhost ~]#iptables  -A INPUT -p  icmp   --icmp-type 8 -j REJECT

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算 ?

其他主機(jī)ping本機(jī)測試：

? iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

?

?2.3.2? 回顯匹配

?

[root@localhost ~]#iptables  -A INPUT -p  icmp   --icmp-type 0 -j REJECT

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

其他主機(jī)ping本機(jī)測試：

? iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

?

如果設(shè)置到出站數(shù)據(jù)包處理鏈（OUTPUT上），就是雙方無法進(jìn)行平命令，且沒有信息的回顯?

?

?

2.3.3 顯示目的不可達(dá)匹配?

?

[root@localhost ~]# iptables -A INPUT -p icmp   --icmp-type 3     -j ACCEPT

?

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算 ?

?3.顯示匹配

?要求以“-m擴(kuò)展模塊”的形式明確指出類型，包括多端口、MAC地址、IP范圍、數(shù)據(jù)包狀態(tài)等條件

?

3.1? 多端口匹配

?

-m multiport --sport 源端口列表
-m multiport --dport 目的端口列表

[root@localhost ~]#iptables -A INPUT -p tcp -m multiport --dport 80,22,21,20,53 -j ACCEPT
[root@localhost ~]#iptables -A INPUT -p udp -m multiport --dport 53 -j ACCEPT

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

?

?

3.2 IP范圍匹配

?

-m iprange --src-range 源IP范圍
-m iprange --dst-range 目的IP范圍

[root@localhost ~]# iptables -A FORWARD  -p udp -m iprange --src-range 192.168.73.150-192.168.73.200 -j DROP

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算 ?

?

3.3 MAC匹配

?

該方式范圍過于有限，且操作不方便，所以并不受行內(nèi)推崇使用?

??-m mac -- -mac- source MAC地址

iptables -A FORWARD -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP
 #禁止來自某MAC地址的數(shù)據(jù)包通過本機(jī)轉(zhuǎn)發(fā)

?

3.4 狀態(tài)匹配

?

格式：

-m state --state連接狀態(tài)

狀態(tài)	含義
NEW	主機(jī)連接目標(biāo)主機(jī),在目標(biāo)主機(jī)上看到的第一個(gè)想要連接的包
ESTABLISHED	主機(jī)已與目標(biāo)主機(jī)進(jìn)行通信,判斷標(biāo)準(zhǔn)只要目標(biāo)主機(jī)回應(yīng)了第一個(gè)包,就進(jìn)入該狀態(tài)
RELATED	主機(jī)已與目標(biāo)主機(jī)進(jìn)行通信,目標(biāo)主機(jī)發(fā)起新的鏈接方式，一般與ESTABLISHED配合使用
INVALID	無效的封包,例如數(shù)據(jù)破損的封包狀態(tài)

?

[root@localhost ~]# iptables -I INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
[root@localhost ~]#iptables -A INPUT -p tcp -m multiport --dport 443,80,22,21,20,53 -j ACCEPT
[root@localhost ~]#iptables -A INPUT -p udp --dport 53 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@localhost ~]# iptables -P INPUT DROP

?

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算 ?

?最后一步設(shè)置為白名單：代表只有通過層層篩選最終能夠建立聯(lián)系的主機(jī)，才能夠與本機(jī)進(jìn)行所有端口的連接使用

?

?4. 備份與還原iptables規(guī)則設(shè)置

?我們對iptables命令行中的設(shè)置，都是臨時(shí)設(shè)置，只要遇到服務(wù)器關(guān)機(jī)，或者服務(wù)重啟時(shí)，所有的設(shè)置都會清空且還原為原本的設(shè)置。為此，我們可以對已經(jīng)測試完畢符合我們需求的防火墻設(shè)置進(jìn)行備份，在必要時(shí)，可以一鍵還原

?

?4.1? ?備份iptables設(shè)置

?

格式： iptables-save >/指定的文件?

[root@localhost ~]#iptables-save >/opt/iptables.bak

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

?

4.2? 一鍵導(dǎo)出，設(shè)置為當(dāng)前防火墻設(shè)置?

?

[root@localhost ~]#iptables-restore </opt/iptables.bak

?

iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算 ?

4.3 修改iptables的默認(rèn)設(shè)置?

?iptables的默認(rèn)配置文件存在于? ? /etc/sysconfig/iptables

? iptables 白名單設(shè)置,Linux安全運(yùn)維,linux中軟件安裝,linux,服務(wù)器,運(yùn)維,云計(jì)算

?

?若想永久修改只需要將備份的iptables文件重定向輸入到默認(rèn)配置文件（覆蓋）

?

cat /opt/iptables.bak >/etc/sysconfig/iptables

?

或則將當(dāng)前的設(shè)置修改為默認(rèn)配置：

?

iptables-save >/etc/sysconfig/iptables

?注意：無論時(shí)什么要修改方式，謹(jǐn)記修改重要配置先備份的原則，修改iptables默認(rèn)設(shè)置前先進(jìn)行備份

?

?

到了這里，關(guān)于Linux防火墻之iptables（下）的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

Linux防火墻白名單限制
首先說一下事件的背景，公司護(hù)網(wǎng)期間，某用戶的請求報(bào)一下的事件： ?原因是服務(wù)器上的相關(guān)服務(wù)存在漏洞，未了防止不明用戶的訪問及攻擊，現(xiàn)需要對服務(wù)器做一個(gè)白名單的限制。接下來直接講步驟，進(jìn)到服務(wù)器后，先通過下面的命令查看下現(xiàn)有防火墻的一個(gè)情況：
2024年02月15日
瀏覽(25)
linux 防火墻 iptables 命令詳解
iptables 是Linux操作系統(tǒng)上的一個(gè)防火墻工具，它可以控制進(jìn)入、離開、轉(zhuǎn)發(fā)的數(shù)據(jù)流，是Linux服務(wù)器安全性的重要保障。下面是iptables命令的詳解及相應(yīng)的示例：啟動(dòng)/停止/重啟iptables服務(wù)：啟動(dòng)： sudo systemctl start iptables 停止： sudo systemctl stop iptables 重啟： sudo systemctl restart
2024年02月06日
瀏覽(21)
Linux下iptables防火墻配置
目錄一.Linux防火墻基礎(chǔ) 1.1 防火墻概述 1.2? 四表五鏈二. iptables--命令 2.1 iptables的安裝 2.2 iptables的配置方法 ?三.配置Filter表防火墻 3.1 列出（fliter）表中的所有鏈? iptables -L 3.2 使用數(shù)字形式（fliter）表所有鏈顯示輸出結(jié)果iptables -nL ?3.3 清空表中所有鏈iptables -t filter -F 3.4 添
2024年02月05日
瀏覽(25)
Linux防火墻之iptables（下）
承接上文，上文介紹了iptables的工作原理，四表五鏈，以及基本規(guī)則的增刪改查。本文為上文的拓展，繼續(xù)延申iptables規(guī)則設(shè)置的匹配方式。以及如何備份，還原iptables設(shè)置，還有修改iptables的初始化設(shè)置 ?1.通用匹配 1.1 協(xié)議匹配? 1.2 地址匹配? 1.3 接口匹配 ?2.隱含匹配 ?2.
2024年01月19日
瀏覽(44)
linux iptables安全技術(shù)與防火墻
一、入侵檢測系統(tǒng) 二、防火墻 1.特點(diǎn) 2.防火墻分類 3.按實(shí)現(xiàn)方式劃分 4.按網(wǎng)絡(luò)協(xié)議劃分 5.Netfilter 6.iptables 三、防水墻四、tcpdump抓包五、實(shí)驗(yàn)演示 1.SNAT? ? ? ? ? ? ? ? ? ? ? ? ? ? 是不阻斷任何網(wǎng)絡(luò)訪問，量化、定位來自內(nèi)外網(wǎng)絡(luò)的威脅情況，主要以提供報(bào)警和事后監(jiān)督
2024年02月08日
瀏覽(27)
Linux_iptables防火墻學(xué)習(xí)筆記
主機(jī)型對主機(jī)進(jìn)行保護(hù) 網(wǎng)絡(luò)型系統(tǒng)當(dāng)作路由時(shí)使用,對網(wǎng)絡(luò)進(jìn)行保護(hù) iptables是一個(gè)用戶空間的應(yīng)用,用來設(shè)置內(nèi)核空間的netfilter iptables沒有守護(hù)進(jìn)程,不能算是真正意義上的服務(wù),應(yīng)該算是內(nèi)核提供的功能數(shù)據(jù)經(jīng)過防火墻的流程四表 filter表負(fù)責(zé)過濾功能,防火墻;內(nèi)核模塊:ipta
2024年04月16日
瀏覽(56)
linux防火墻查看狀態(tài)firewall、iptable
1、iptables防火墻查看防火墻狀態(tài)? service iptables status 停止防火墻 service iptables stop 啟動(dòng)防火墻 service iptables start 重啟防火墻 service iptables restart 永久關(guān)閉防火墻 chkconfig iptables off 永久關(guān)閉后重啟 chkconfig iptables on 開啟80端口 vim /etc/sysconfig/iptables 加入一下代碼 -A INPUT -m state --s
2024年01月16日
瀏覽(31)
Linux防火墻查看及白名單添加
一、臨時(shí)白名單添加，執(zhí)行即生效，重啟防火墻后失效查看防火墻狀態(tài)：查看白名單列表：添加白名單： ?查看白名單添加結(jié)果：二、永久防火墻添加白名單：移除白名單：重啟防火墻后生效： firewall-cmd --reload
2024年02月11日
瀏覽(16)
Linux網(wǎng)絡(luò)服務(wù)之iptables防火墻工具
Netfilter是一個(gè)Linux內(nèi)核功能，用于在網(wǎng)絡(luò)數(shù)據(jù)包從網(wǎng)絡(luò)堆棧進(jìn)入或離開時(shí)進(jìn)行包過濾和操作。 Netfilter內(nèi)稱為防火墻的“內(nèi)核態(tài)”。 Firewalld和Iptables 都不是防火墻，是防火墻管理工具，被稱為防火墻的“用戶態(tài)”。 Centos 7中默認(rèn)管理防火墻規(guī)則的工具是firewalld。由軟件包ip
2024年02月12日
瀏覽(23)
Centos上關(guān)閉Linux防火墻(iptables) 及 SELinux
一、關(guān)閉防火墻 1、重啟后永久性生效：開啟： chkconfig iptables on 關(guān)閉： chkconfig iptables off 2、即時(shí)生效，重啟后失效：開啟： service iptables start 關(guān)閉： service iptables stop 在開啟了防火墻時(shí)，做如下設(shè)置，開啟相關(guān)端口，修改?/etc/sysconfig/iptables?文件，添加以下內(nèi)容： -A INPUT
2024年02月08日
瀏覽(19)

<div id="78mda"><td id="78mda"><strong id="78mda"></strong></td></div>