2. 程式人生 > >centos6-iptables防火墻

centos6-iptables防火墻

阿新 發佈:2018-02-20
mask inpu 特定 type www 跟蹤 cmp start 查看

iptables命令中常見的控制類型有:

ACCEPT:允許通過

LOG:記錄日誌信息,然後傳給下一條規則繼續匹配

REJECT:拒絕通過,必要時會給出提示

DROP:直接丟棄,不給出任何回應

規則鏈依據處理數據包的位置不同而進行分類:

PREROUTING:在進行路由選擇前處理數據包

INPUT:處理入站的數據包

OUTPUT:處理出站的數據包

FORWARD:處理轉發的數據包

POSTROUTING:在進行路由選擇後處理數據包

Iptables中的規則表是用於容納規則鏈,規則表默認是允許狀態的,那麽規則鏈就是設置被禁止的規則,而反之如果規則表是禁止狀態的,那麽規則鏈就是設置被允許的規則。

raw表:確定是否對該數據包進行狀態跟蹤

mangle表:為數據包設置標記

nat表:修改數據包中的源、目標IP地址或端口

filter表:確定是否放行該數據包(過濾)

規則表的先後順序:raw→mangle→nat→filter

入站順序:PREROUTING→INPUT

出站順序:OUTPUT→POSTROUTING

轉發順序:PREROUTING→FORWARD→POSTROUTING

iptables:

-P 設置默認策略:iptables -P INPUT (DROP|ACCEPT)

-F 清空規則鏈

-L 查看規則鏈

-A 在規則鏈的末尾加入新規則

-I num 在規則鏈的頭部加入新規則

-D num 刪除某一條規則

-s 匹配來源地址IP/MASK,加嘆號"!"表示除這個IP外。

-d 匹配目標地址

-i 網卡名稱 匹配從這塊網卡流入的數據

-o 網卡名稱 匹配從這塊網卡流出的數據

-p 匹配協議,如tcp,udp,icmp

--dport num 匹配目標端口號

--sport num 匹配來源端口號

環境:

xp(外網client):192.168.200.10

IPtables防火墻:192.168.200.101(外網)

192.168.10.1(內網)

192.168.20.1(內網DMZ)

nginx server: 192.168.20.2

local client: 192.168.10.2 GW:192.168.10.1

IPtable防火墻網絡配置:

nmtui

技術分享圖片

技術分享圖片

技術分享圖片

技術分享圖片

技術分享圖片

systemctl restart network

ip addr

1. 安裝IPtables軟件包。

systemctl stop firewalld.service

systemctl disable firewalld.service

yum install -y iptables-services

2、啟用路由轉發。

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

sysctl -p

3、配置內部主機訪問外網。

iptables -t nat -A POSTROUTING -o ens32(#外網網卡) -s 192.168.10.0/24 -j SNAT --to-source 192.168.200.101

iptables -t nat -L

iptables save

技術分享圖片

4、設置防火墻主機拒絕icmp數據包。

iptables -t filter -I INPUT -p icmp --icmp-type 8 -j REJECT

iptables -t filter -L

iptables save

技術分享圖片

技術分享圖片

5、發布DMZ區域的Web服務器。

yum install -y epel-release

yum install -y nginx

systemctl restart nginx

systemctl enable nginx

ss -ntlu | grep 80

iptables -t nat -A PREROUTING -d 11.23.0.215 -p tcp --dport 80 -j DNAT --to-destination 192.168.10..:80

iptables save

iptables -t nat -L

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

DNAT tcp -- anywhere 01 tcp dpt:http to:192.168.20.2:80

技術分享圖片

6、禁止內網主機訪問特定網站。

iptables -t filter -I FORWARD -s 192.168.10.0/24 -d www.weibo.com -j DROP

iptables save

iptables -t filter -L

Chain FORWARD (policy ACCEPT)

target prot opt source destination

DROP all -- 192.168.10.0/24 180.149.134.141

DROP all -- 192.168.10.0/24 180.149.134.142

技術分享圖片

centos6-iptables防火墻

相關推薦

centos6-iptables防火

mask inpu 特定 type www 跟蹤 cmp start 查看 iptables命令中常見的控制類型有: ACCEPT:允許通過 LOG:記錄日誌信息,然後傳給下一條規則繼續匹配 REJECT:拒絕通過,必要時會給出提示 DROP:直接丟棄,不給出任何回應

【Linux】Centos6iptables防火設置

accep stop 設置 pan init 防火 rest code sta 1,查看防火墻狀態 # service iptables status //或 # /etc/init.d/iptables status 2,防火墻的啟動、重啟,關閉 # servi

CentOS6防火iptables)的配置方法詳解

拒絕訪問 基於 init.d 0.10 打開 linux 服務 fig 所有 CentOS6系統是基於linux中的,它的防火墻其實就是iptables了。 下面我來介紹在CentOS防火墻iptables的配置教程,希望此教程對各位朋友會有所幫助。 iptables是與L

2-7-配置iptables防火增加服務器安全

我們 公網ip 為我 介紹 1-1 5% family 方式 man 本節所講內容: ? iptables常見概念 ? iptables服務器安裝及相關配置文件 ? 實戰:iptables使用方法 ? 例1:使用ipt

Iptables防火配置

dport -m nts enter 火墻 pop lis input net Iptables防火墻配置 安裝防火墻 sudo apt-get install iptables 查看狀態 sudo iptab

iptables防火四表五鏈介紹

iptablesiptables只是Linux防火墻的管理工具而已,位於/sbin/iptables。真正實現防火墻功能的是netfilter,它是Linux內核中實現包過濾的內部結構。 iptables包含4個表,5個鏈。其中表是按照對數據包的操作區分的,鏈是按照不同的Hook點來區分的,表和鏈實際上是ne

如何將centos7自帶的firewall防火更換為iptables防火

style 防火墻 dpt http pre wal 配置文件 sta targe 用慣了centos6的iptables防火墻,對firewall太無感了,那麽如何改回原來熟悉的iptables防火墻呢? 1、關閉firewall防火墻 [[email pro

iptables防火服務

iptables一.iptables介紹二.安裝服務並開啟服務 yum install iptables-services.x86_64 systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld

網絡安全之iptables防火

ted dos con inter 調用 sna 遠程 probe 2.6 1》各種傳輸方式到最後都會轉化為能夠通過網絡發送的數據格式:   1>文本格式;   2>二進制格式;2》TCP三次握手連接,四次斷開,連接時客戶端是主動打開

iptables防火規則整理

iptables防火墻規則整理iptables防火墻規則整理iptables是組成Linux平臺下的包過濾防火墻,與大多數的Linux軟件一樣,這個包過濾防火墻是免費的,它可以代替昂貴的商業防火墻解決方案,完成封包過濾、封包重定向和網絡地址轉換(NAT)等功能。在日常Linux運維工作中,經常會設置iptab

CentOS 7.0關閉默認防火啟用iptables防火

you -i system 顯示 entos star for con restart 操作系統環境:CentOS Linux release 7.0.1406(Core) 64位CentOS 7.0默認使用的是firewall作為防火墻,這裏改為iptables防火墻步

Linux iptables防火原理與常用配置

linux iptables Linux系統中,防火墻(Firewall),網址轉換(NAT),數據包(package)記錄,流量統計,這些功能是由Netfilter子系統所提供的,而iptables是控制Netfilter的工具。iptables將許多復雜的規則組織成成容易控制的方式,以便管理員可以

配置IPTABLES防火(1)

iptables linux 防火墻 安全 iptables技能: 需要熟悉linux防火墻的表,鏈結構;理解數據包匹配的基本流程;會管理和設置iptbables規則;會使用防火墻腳本的一般方法。 linux防火墻功能是由內核實現的: 2.0版本中,包過濾機制是ip

Iptables防火規則使用

移動 let 隨著 nat restore 比較 hour 解析 主機 iptables是組成Linux平臺下的包過濾防火墻,與大多數的Linux軟件一樣,這個包過濾防火墻是免費的,它可以代替昂貴的商業防火墻解決方案,完成封包過濾、封包重定向和網絡地址轉換(NAT)等功能。

Centos7安裝iptables防火

centos7安裝iptables防火墻安裝iptable iptable-service#先檢查是否安裝了iptables service iptables status #安裝iptables yum install -y iptables #升級iptables yum update

iptables防火的基本配置

iptables netfilter 包過濾防火墻 filter 楊書凡 在Internet中,通過架設各種服務器為用戶提供各種網絡服務,怎樣保護這些服務器,過濾惡意的訪問、入侵呢?這裏主要介紹Linux系統中的防火墻——netfilter和iptables,包括防火墻的結構和匹配

iptables防火(一)

表名 基本語法 51cto 防火墻規則 處理 cde process 命令 語法 linux的防火墻體系主要工作在網絡層,針對TCP/IP數據包實施過濾和限制,屬於典型的包過濾防火墻(或稱為網絡層防火墻)。(1)在許多安全技術資料中,netfilter和iptables都用

iptables防火 (一)

接口 用戶 分享圖片 允許 詳細 列表 -o 現在 要求 Linux防火墻主要工作在網絡層,屬於典型的包過濾防火墻; netfilter位於Linux內核中的包過濾功能體系稱為Linux防火墻的“內核態”iptables位於/sbin/iptables,用來管理防火墻規則的

iptables防火(二)

icm ofo tro 客戶機 條件 目的 ppp cto tina SNAT策略的典型應用環境局域網主機共享單個公網IP地址接入Internet SNAT策略的原理源地址轉換,Source Network Address Translation修改數據包的源地址局域網共享

iptables防火基本配置

source 內容 追加 通用 tab inpu routing 包括 ip地址 linux的防火墻工作在網絡層,屬於包過濾防火墻,Linux包括netfilter和iptables。netfilter屬於“內核態”防火墻而iptables屬於“用戶態”防火墻。1.ipta