Linux学习笔记 --iptables防火墙配置
iptables防火墙配置
一、防火墙简介
1、功能:
1)通过源端口,源IP地址,源MAC地址,包中特定标记和目标端口,IP,MAC来确定数据包是否可以通过防火墙
2)分割内网和外网【附带的路由器的功能】
3)划分要被保护的服务器
如果Linux服务器启用了防火墙,SELinux等的防护措施,那么,他的安全级别可以达到B2[原来是C2]
2、防火墙分类
1)数据包过滤【绝大多数的防火墙】
分析IP地址,端口和MAC是否符合规则,如果符合,接受
2)代理服务器
3、防火墙的限制
1)防火墙不能有效防止病毒,所以防火墙对病毒攻击基本无效,但是对木马还是有一定的限制作用的。
2)防火墙一般不设定对内部[服务器本机]访问规则,所以对内部攻击无效
【附】现当今的杀毒软件对病毒的识别率大约在30%左右。也就是说,大部分的病毒是杀毒软件并不认识的!
4、防火墙配置原则【交叉使用】
拒绝所有,逐个允许
允许所有,逐个拒绝
【附:】防火墙规则:谁先配置,谁先申请!
5、Linux常见防火墙
2.4/2.6内核
iptables #现在常用的
2.2内核
ipchains
二 、iptables防火墙
1、结构:表-------链--------规则
2、表:在iptables中默认有以下三个表
filter表 数据过滤表
#filter过滤,渗透
NAT表 内网与外网地址转换
Mangle 特殊数据包标记
3、链
filter表中: INPUT
OUTPUT FORWARD
三、iptables基础语法
1、规则的查看和清楚
iptables [-t表名]
[选项]
选项:
-L 查看
-F 清除所有规则
-X 清除自定义链
-Z 清除所有链统计
-n 以端口和ip显示
示例:
iptables -t nat -L #查看nat表中规则
iptables -L #查看filter表中规则,不写表名默认查看的是filter表!
2、定义默认策略
iptables -t 表名 -P 链名 ACCEPT|DROP
#-P(大) 定义默认策略
实例:
iptables -t filter -P INPUT DROP
注意:不要把自己踢出服务器,所以这条规则应该最后设定。
3、限定IP和网卡接口设置
iptables [-AI 链]
[-io 网卡接口] [-p 协议]
[-s 源IP] [-d 目标ip]
-j 动作
说明:
-A 追加链规则
#在链规则最后加入此规则
-I INPUT 2 #把此规则插入到INPUT链,变成第二条规则
-D 链 条数
#删除指定链的指定条数防火墙
示例:
iptables -D INPUT 2 #删除input链上的第二条规则
-i eth0 #指定进入接口,要在INPUT链上定义
-o eth0 #指定传出接口,要在OUTPUT链上定义
-p 协议
#[tcp/udp/icmp/all]
-j 动作
#[ACCEPT|DROP]
实例:
iptables -A INPUT -i lo -j ACCEPT
允许本机回环网卡通信,在INPUT链
iptables-A INPUT -i eth0 -s 192.168.140.254 -j ACCEPT
允许254进入eth0
iptables-A INPUT -i eth0 -s 192.168.140.0/24 -j DROP
拒绝140网段访问
4、设定端口访问
iptables -A INPUT -i eth0 -p all -s源ip
--sport 源端口 -d 目标IP
--dport 目标端口-j 动作
#一般需要指定的是目标端口,而且一定要设置协议类型!
实例:
iptables -A INPUT -i eth0 -p tcp -s 192.168.140.0/24 --dport 22 -j DROP
iptables -A INPUT -i eth0 -p tcp -s 192.168.140.0/24 --dport 137:139 -j ACCEPT #允许访问137到139端口
注意:指定端口时,协议不能用all,要指定确切协议,如TCP
5、模块调用
-m 模块名 模块选项加载iptables功能模块
1) -m state
--state ESTABLISHED,RELATED
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#state状态模块常见状态ESTABLISHED【联机成功的状态】RELATED【返回包状态】
2)-m mac --mac-source按照mac地址限制访问
iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j DROP
#拒绝某mac访问
3)-mstring
--string "想要匹配的数据包中字串"
iptables -A FORWARD -p udp --dport 53 -m string --string "tencent"--algo kmp -j DROP
#通过dns拒绝QQ登录
#--algo指定字符串模式匹配策略,支持KMP和BM两种字符串搜索算法,任意指定一个即可
6、简易防火墙实例
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -p tcp --dport 22 -s <IP地址>-j
ACCEPT
iptables -A INPUT -p tcp --dport 873 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -P INPUT DROP
7、防火墙服务开机自启动
chkconfig iptables on
8、防火墙规则开启自启动
1) service
iptables save
会把规则保存到/etc/sysconfig/iptables文件中,重启会自动读取
2) a.手工写防火墙脚本
如 vi /root/iptables.rule
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 873 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -P INPUT DROP
b.赋予执行权限 chmod
755 /root/iptables.rule
c.开机运行 vi/etc/rc.local
d.写入 /root/iptables.rule
Linux学习笔记 --iptables防火墙配置的更多相关文章
- Linux学习笔记1:配置Linux网络和克隆虚拟机并更改配置
一.配置Linux网络 在安装Linux的时候,一定要保证你的物理网络的IP是手动设置的,要不然会在Linux设置IP连通网络的时候会报network is unreachable 并且怎么也找不到问 ...
- Linux学习笔记之CentOS7配置***SS
0x00 概述 最近安装K8S,镜像在国内不可达,只能通过科学方法获取. 0x01 安装配置Shadowsocks客户端 1.1 安装Sha.dows.ocks客户端 安装epel扩展源 采用Pyth ...
- Linux学习笔记04—IP配置
一.自动获取IP只有一种情况可以自动获取IP地址,那就是你的Linux所在的网络环境中有DHCP服务.只要你的真机可以自动获取IP,那么安装在虚拟机的Linux同样也可以自动获取IP. 方法很简单,只 ...
- Linux学习笔记之rsync配置
0x00 rsync 简介 Rsync(remote synchronize)是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件,也可以使用 Rsync 同步本地硬盘中的不同目录. ...
- Linux学习笔记之目录配置
一.目录配置 相关目录说明 /bin 二进制文件 /boot 系统启动文件(内核的初始化文件等) /dev 设备文件(硬盘等) /e ...
- Linux学习笔记总结--memcached配置
Memcached是一个高性能的分布式的内存对象缓存系统,通过在内存里维护一个统一的巨大的hash表,它能够用来存储各种格式的数据,包括图像.视频.文件以及数据库检索的结果等.简单的说就是将数据调用到 ...
- Linux学习笔记(11)linux网络管理与配置之一——配置路由与默认网关,双网卡绑定(5-6)
Linux学习笔记(11)linux网络管理与配置之一——配置路由与默认网关,双网卡绑定(5-6) 大纲目录 0.常用linux基础网络命令 1.配置主机名 2.配置网卡信息与IP地址 3.配置DNS ...
- Linux学习笔记(10)linux网络管理与配置之一——主机名与IP地址,DNS解析与本地hosts解析(1-4)
Linux学习笔记(10)linux网络管理与配置之一——主机名与IP地址,DNS解析与本地hosts解析 大纲目录 0.常用linux基础网络命令 1.配置主机名 2.配置网卡信息与IP地址 3.配 ...
- Linux学习笔记 | 配置ssh
目录: SSH的必要性 将默认镜像源修改为清华镜像源 Linux安装ssh软件 使用putty软件实现ssh连接 Windows下安装winscp SSH的必要性 一般服务器都位于远程而非本地,或者及 ...
随机推荐
- 20160225.CCPP体系详解(0035天)
程序片段(01):CircleList.h+CircleList.c+main.c 内容概要:环形链表 ///CircleList.h #pragma once #include <stdio. ...
- java.lang.ClassNotFoundException:org.springframework.web.context.ContextLoaderListener问题解决
今天搭建SSH项目的时候出现了如下错误: 严重: Error configuring application listener of class org.springframework.web.con ...
- Git之(四)分支管理
当我们初始化Git仓库的时候,Git会默认创建一个名为master的主分支.在实际工作中,主分支要求是一个稳定.健壮.安全的主线,一般不允许在主分支上直接进行开发,而是拉取一个新的分支,开发.测试完成 ...
- Dynamics CRM 不同的站点地图下设置默认不同的仪表板
CRM的默认仪表板只能设置一个,也就是说每个引用仪表板的站点地图下点开仪表板后都是看到的默认仪表板,例如我下图中的"日常维修仪表板" 那如果我要在不同的站点地图下看到的默认仪表板不 ...
- 28自定义View 模仿联系人字母侧栏
自定义View LetterView.java package com.qf.sxy.customview02; import android.content.Context; import andr ...
- Java异常处理-----运行时异常(RuntimeException)
RuntimeException RunntimeException的子类: ClassCastException 多态中,可以使用Instanceof 判断,进行规避 ArithmeticExcep ...
- Android逆向工程
在Root前提下,我们可以使用Hooker方式绑定so库,通过逆向方式篡改数值,从而达到所谓破解目的.然而,目前无论是软件加固方式,或是数据处理能力后台化,还是客户端数据真实性验证,都有了一定积累和发 ...
- Android 读取清单文件<meta-data>元素的数据
添加属性 <application -- > <meta-data android:value="Channel_0" android:name="UM ...
- Android判断当前系统语言
Android获取当前系统语言 getResources().getConfiguration().locale.getCountry() 国际化常用语言 中文: getResources().get ...
- java虚拟机 jvm 栈数据区
java栈帧还是需要一些数据支持常量池的解析.正常方法的返回和异常的处理.大部分的java字节码指令需要进行常量池的访问,在栈帧数据区中保存着访问常量池的指针,方便程序访问java常量池.如下图所示: ...