Linux—网络通讯管理命令
一、安装ufw服务
ubuntu@VM-0-16-ubuntu:~$ sudo apt-get install ufw
二、开启、关闭、重启ufw服务
1、开启 ufw 防火墙
ubuntu@VM-0-16-ubuntu:~$ sudo ufw enable # 开启了防火墙,并在系统启动时自动开启。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw default deny # 关闭所有外部对本机的访问,但本机访问外部正常。
2、关闭 ufw 防火墙
ubuntu@VM-0-16-ubuntu:~$ sudo ufw disable
3、重启 ufw 防火墙
ubuntu@VM-0-16-ubuntu:~$ sudo ufw reload # 方式一
ubuntu@VM-0-16-ubuntu:~$ sudo ufw disable && sudo ufw enable # 方式二
4、查看 ufw 防火墙状态
ubuntu@VM-0-16-ubuntu:~$ sudo ufw status
5、默认 ufw 防火墙设置
ubuntu@VM-0-16-ubuntu:~$ sudo ufw default deny # 默认拒绝外部访问主机
ubuntu@VM-0-16-ubuntu:~$ sudo ufw default allow # 默认允许外部访问本机
6、查看 ufw 防火墙版本
ubuntu@VM-0-16-ubuntu:~$ sudo ufw version
三、启用端口、关闭端口
1、开启、禁用、删除相应端口
ubuntu@VM-0-16-ubuntu:~$ sudo ufw deny 3120 # 拒绝外部访问3120端口,3120后可跟/tcp或/udp,表示tcp或udp封包
ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow 3120 # 允许外部访问3120端口,3120后可跟/tcp或/udp,表示tcp或udp封包。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete deny 3120 # 删除以前定义的"拒绝访问3120端口"的规则。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete allow 3120 # 删除以前定义的"允许访问3120端口"的规则。
2、开启、禁用、删除相应服务
ubuntu@VM-0-16-ubuntu:~$ sudo ufw deny smtp # 禁止外部访问smtp服务。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow smtp # 允许外部访问smtp服务。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete deny smtp # 删除上面建立的 smtp 服务的拒绝访问规则。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete allow smtp # 删除上面建立的 smtp 服务的允许访问规则。 ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow/deny servicename # 从/etc/services中找到对应service的端口,进行过滤。
3、指定 IP 访问
ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow from 192.168.3.142 # 允许此IP访问所有的本机端口(允许某特定 IP)
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete allow from 192.168.3.142 # 删除这条规则
ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow from xx.xx.xx.xx to any port 22
四、屏蔽指定IP、放行指定IP
1、屏蔽指定IP(所有端口都不能访问)
ubuntu@VM-0-16-ubuntu:~$ sudo ufw deny from 28.16.66.45 to any # 屏蔽IP为28.16.66.45的主机访问。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete deny from 28.16.66.45 to any # 删除上面的规则。
2、放行指定IP(所有端口都可以访问)
ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow from 28.16.66.45 # 允许IP为28.16.66.45的主机访问本机所有端口。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow from 28.16.66.45 to any # 放行IP为28.16.66.45的主机访问本机所有端口。与上面效果一样。 ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete allow from 28.16.66.45 # 删除某个IP地址访问本机所有端口。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete allow from 28.16.66.45 to any # 删除上面的规则。
五、指定IP访问指定端口
1、允许指定ip访问指定端口
ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow proto tcp from 28.16.66.45 to any port 88 # 允许自28.16.66.45的tcp封包访问本机的88端口。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw allow proto tcp from 28.16.66.45 to 172.16.0.5 port 98 # 与上面效果一样,这里本机ip应该为内网IP,外网IP不行。 ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete allow proto tcp from 28.16.66.45 to any port 88 # 删除上面规则。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete allow proto tcp from 28.16.66.45 to 172.16.0.5 port 98 # 删除上面规则。
2、拒绝指定ip访问指定端口
ubuntu@VM-0-16-ubuntu:~$ sudo ufw deny proto tcp from 28.16.66.45 to any port 88 # 拒绝自28.16.66.45的tcp封包访问本机的88端口。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw deny proto tcp from 28.16.66.45 to 172.16.0.5 port 98 # 与上面效果一样,这里本机ip应该为内网IP,外网IP不行。 ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete deny proto tcp from 28.16.66.45 to any port 88 # 删除上面规则。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw delete deny proto tcp from 28.16.66.45 to 172.16.0.5 port 98 # 删除上面规则。
六、端口转发
1、编辑 /etc/default/ufw 文件,更改参数 DEFAULT_FORWARD_POLICY 的值。
DEFAULT_FORWARD_POLICY="ACCEPT" # 将 DROP 改为 ACCEPT
2、编辑 /etc/ufw/sysctl.conf 文件,若允许ipv4转发,将里边的转发选项去掉注释(如果你要开启 ipv6转发,那么就把 ipv6的注释也去掉)。启用内核转发(取消注释)。
net/ipv4/ip_forward=1
#net/ipv6/conf/default/forwarding=1
#net/ipv6/conf/all/forwarding=1
3、编辑 /etc/ufw/before.rules 文件,添加NAT到配置文件中。将以下内容添加到过滤器规则(*filter)之前。
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0] -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3120 # 方式一:将请求80端口的数据转发到本机的3120端口。
-A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 172.16.0.12:3120 # 方式二:将请求80端口的数据转发到本机的3120端口。注意:要使用本机ip地址+端口,如果使用127.0.0.1:3120,没效果。 -A PREROUTING -p tcp --dport 90 -j DNAT --to-destination 49.232.56.69:3120 # 将请求90端口的数据转发到IP为49.232.56.69上的3120端口
-A POSTROUTING -d 49.232.56.69 -j MASQUERADE COMMIT
4、重启 ufw 使配置生效。
ubuntu@VM-0-16-ubuntu:~$ sudo ufw reload # 方式一
ubuntu@VM-0-16-ubuntu:~$ sudo ufw disable && sudo ufw enable # 方式二
七、通过 ipset 来封禁IP
1、创建一个新的 ipset:test 是 ipset 名称
ubuntu@VM-0-16-ubuntu:~$ sudo ipset create test hash:net # 创建一条新的IP集,名为test(名字任意)
ubuntu@VM-0-16-ubuntu:~$ sudo ipset create test hash:net timeout 3600 # timeout 3600 表示封禁3600s
2、加入一个名单 ip 与 去除一个名单 ip
ubuntu@VM-0-16-ubuntu:~$ sudo ipset add test 28.16.66.45 # 加入一个名单 ip
ubuntu@VM-0-16-ubuntu:~$ sudo ipset del test 28.16.66.45 # 去除一个名单 ip
3、创建防火墙规则
ubuntu@VM-0-16-ubuntu:~$ sudo iptables -I INPUT -m set --match-set test src -j DROP # 拒绝访问
ubuntu@VM-0-16-ubuntu:~$ sudo iptables -D INPUT -m set --match-set test src -j DROP # 删除规则 ubuntu@VM-0-16-ubuntu:~$ sudo iptables -I INPUT -m set --match-set test src -p tcp -j DROP # 拒绝访问(tcp协议)
ubuntu@VM-0-16-ubuntu:~$ sudo iptables -D INPUT -m set --match-set test src -p tcp -j DROP # 删除规则 ubuntu@VM-0-16-ubuntu:~$ sudo iptables -I INPUT -m set --match-set test src -p tcp --destination-port 25 -j DROP # test这个ipset里的ip都无法访问22端口
ubuntu@VM-0-16-ubuntu:~$ sudo iptables -D INPUT -m set --match-set test src -p tcp --destination-port 25 -j DROP # 删除规则
4、查看已创建的 ipset
ubuntu@VM-0-16-ubuntu:~$ sudo ipset list
5、删除已创建的 ipset
ubuntu@VM-0-16-ubuntu:~$ sudo ipset destroy test
6、导入导出 ipset 规则
ubuntu@VM-0-16-ubuntu:~$ sudo ipset save test -f test.txt # 导出 ipset 规则,保存到文件
ubuntu@VM-0-16-ubuntu:~$ sudo ipset restore -f test.txt # 导入 ipset 规则
ipset 的一个优势是集合可以动态的修改,即使ipset的iptables规则目前已经启动,新加的入ipset的ip也生效。
https://blog.csdn.net/tycoon1988/article/details/46515535
https://blog.csdn.net/firehive/article/details/81260169
Linux—网络通讯管理命令的更多相关文章
- Linux网络服务管理命令
netstat命令 示例:查看指定的服务是否开启netstat | grep ssh | grep -v grep 网络下载器————wget wget是一个Linux环境下用于从WWW上提取文件的工 ...
- linux网络通讯相关命令
ifconfig 1.查看当前使用的网卡 watch cat /proc/net/dev 看下哪张网卡的流量变化大一般就是哪张网卡是在线使用的 2.ifconfig查看所有网卡信息,ifconfig ...
- Linux网络属性管理
Linux网络属性管理 局域网:以太网,令牌环网 Ethernet: CSMA/CD 冲突域 广播域 MAC:Media Access Control 48bits: 24bits: 24bits: ...
- Linux 网络属性管理
Linux网络基础管理-1:IPv4 地址分类: 点分十进制:0.0.0.0-255.255.255.255 A类: 0 0000000 - 0 1111111: 1-127 网络数:126, 1 ...
- Linux下磁盘管理命令df与du
Linux下磁盘管理命令df与du 对磁盘进行查看和控制的两个linux命令,df和du. 一.du命令 首先看一下du的help说明: [root@misdwh opt]# du --help ...
- Linux网络属性配置命令和管理详解
一.Linux网络属性配置 1.Linux主机接入到网络方式 IP/NETMASK:实现本地网络通信 路由(网关):可以进行跨网络通信 DNS服务器地址:基于主机名的通信,Linux可以有三个DNS地 ...
- Linux网络技术管理及进程管理(week2_day4)--技术流ken
OSI七层模型和TCP/IP四层模型 OSI七层模型:OSI(Open System Interconnection)开放系统互连参考模型是国际标准化组织(ISO)制定的一个用于计算机或通信系统间互联 ...
- Linux网络技术管理及进程管理
OSI七层模型和TCP/IP四层模型 OSI七层模型:OSI(Open System Interconnection)开放系统互连参考模型是国际标准化组织(ISO)制定的一个用于计算机或通信系统间互联 ...
- Linux——网络配置及命令
traceroute命令(unix)/tracert命令(windows) tracert命令的格式为:tracert [-d] [-h maximum_hops] [-j host-list] [- ...
随机推荐
- boostrap 学习笔记
bootstrap : 是全球最受欢迎的前端组件库,用于开发响应式布局.移动设备优先的 WEB 项目. 用于项目样式的快速搭建,真的是..特别快.. 随便找两个cdn引用就能使用了. https:// ...
- Linux查看文件系统的挂载时间浅析
我们在Linux系统中如何找到文件系统的挂载时间呢,下面实验测试环境为RHEL 6.6,其它Linux版本没有验证测试.这个简单测试了一下常用的ext3/4.xfs.nfs文件系统. ext文件系统 ...
- DWR服务器推送技术
参考博客:https://blog.csdn.net/Marksinoberg/article/details/55505423 下载Dwr.jar文件 到官网http://directwebremo ...
- Java核心(一)深入理解BIO、NIO、AIO
目标: BIO.NIO.AIO 的区别是什么? 同/异步.阻/非阻塞的区别是什么? 文件读写最优雅的实现方式是什么? NIO 如何实现多路复用功能? 一,IO的介绍: (1)IO的全称其实是:Inpu ...
- C++ int型负数除法取余问题
1:关于除法,不管是正数还是负数都是向0取整的:10/4 = 2,10/(-4) = -2 2:负数取余,通过取模来判定 |小| % |大| = |小| 符号同前 |大| % |小| = |余| ...
- 记录libreoffice实现office转pdf(适用于windows、linux)
由于目前的工作跟office打交道比较多,所以才有了此篇blog,需求是实现word转换pdf方便页面展示.之前lz采用的是jacob(仅支持windows)进行转换的,但是现在服务器改成linux显 ...
- springboot-热部署Jrebel
1. 场景描述 介绍下idea+springboot下的热部署插件-Jrebel,贼好用,以前用过好多种,但是总出现不稳定或者会莫名其妙的没有部署新代码. 2.解决方案 springboot自带的de ...
- MySQL属性SQL_MODE学习笔记
最近在学习<MySQL技术内幕:SQL编程>并做了笔记,本博客是一篇笔记类型博客,分享出来,方便自己以后复习,也可以帮助其他人 SQL_MODE:MySQL特有的一个属性,用途很广,可以通 ...
- Protractor-引入Cucumber
上一篇博文中我们已经在package.json中写入了cucumber依赖库,在执行 npm install 之后,cucumber就已经下载好了.接下来要做的是修改conf.js,请参考下图: 去年 ...
- pymongo和mongoengine安装和使用教程 包含常用命令行和代码示例 | pymongo and mongoengine tutorial on ubuntu 16.04
本文首发于个人博客https://kezunlin.me/post/e88f04e5/,欢迎阅读最新内容! pymongo and mongoengine tutorial on ubuntu 16. ...