iptables防火墙规则
防火墻的分類
主機型防火墻:主要保護的是服務器本機(過濾威脅本機的數(shù)據(jù)包)
網絡型防火墻:主要保護的是防火墻后面的其他服務器,如web服務器、FTP服務器等
Iptables介紹
Linux內核默認支持軟路由功能,通過修改內核參數(shù)即可開。
永久保存寫入規(guī)則文件:service iptables save
規(guī)則文件位置:/etc/sysconfig/iptables
Linux內核默認支持軟路由功能,通過修改內核參數(shù)即可開啟或關閉路由轉發(fā)功能:
添加網關:
[ root@client ~] # nmcli connection modify eth0 ipv4.gateway 192.168.4.5 [ root@client ~] # nmcli connection up eth0添加永久的網關:
創(chuàng)建一個對應網卡的路由配置文件
然后重啟網絡 service network restart
查看 route -n 或 ip route
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1 的永久路由,請鍵入:
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1,接口索引為 0x3 的路由,請鍵入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3IPtable的四張表:
Raw表:確定是否對該數(shù)據(jù)包進行狀態(tài)跟蹤
Mangle表:為數(shù)據(jù)包設置標記
Nat表:修改數(shù)據(jù)包的源、目的IP地址和端口
Filter表:確定是否放行該數(shù)據(jù)包
Iptable的五條鏈:
入站:PREROUTING INPUT
出站:POSTROUTING OUTPUT
轉發(fā):PREROUTING POSTROUTING FORWARD
7個動作類型:
ACCEPT:允許通過
DORP:直接丟棄,不給出任何回應
REJECT:拒絕通過,必要時給出提示
LOG:記錄日志信息,然后傳給下一條規(guī)則繼續(xù)匹配
SNAT:修改數(shù)據(jù)包的源地址
DNAT:修改數(shù)據(jù)包的目的地址
REDIRECT:重定向
選項:
-A:在鏈的末尾追加一條規(guī)則
-I:在鏈的開頭(指定序號)插入一條規(guī)則
-L:列出所有規(guī)則條目
-n:以數(shù)字的形式顯示地址、端口等信息
-v:以更詳細的方式顯示規(guī)則信息
–line-numbers:顯示規(guī)則的序號
-D:刪除鏈內指定序號的一條規(guī)則
-P:為指定的鏈設置默認規(guī)則
-F:清空所有規(guī)則
常見的通用匹配條件:
-p:協(xié)議名
-s:源地址
-d:目標地址
-i:入站網卡
-o:出站網卡
常見的隱藏匹配條件:
–sport:源端口
–dport:目標端口
–icmp-type:icmp類型
源端口:就是本機程序用來發(fā)送數(shù)據(jù)的端口,目的端口,就是對方主機用哪個端口接收,源IP目標IP,意思相似。
常見的顯示匹配條件:
-m multiport --sport 源端口列表 多端口匹配
-m iprange --src-range ip范圍
-m mac --macl-source mac地址范圍
-m state --state 連接狀態(tài)
注意事項和規(guī)律:
可以不指定表,默認為filter表;
可以不指定鏈,默認為對應表的所有鏈;
可以不指定鏈,默認為對應表的所有鏈;
選項/鏈名/目標操作用大寫字母,其余都小寫;
SNAT策略:
局域網主機共享單個公網IP地址接入Internet
DNAT策略:
在Internet中發(fā)布位于企業(yè)局域網的服務器
導出規(guī)則:
使用iptables-save工具,可以結合重定向輸出保存到指定文件
導入規(guī)則:
使用iptables-restore工具,可以結合重定向輸入指定規(guī)則來源
Firewalld防火墻
firewall-cmd --get-default-zone #查看默認區(qū)域 firewall-cmd --set-default-zone=規(guī)則 #修改默認區(qū)域 firewall-cmd --zone=規(guī)則 --list-all #查看區(qū)域策略 firewall-cmd --zone=規(guī)則 --add-service=協(xié)議 #添加協(xié)議 firewall-cmd --reload #重新加載防火墻所有配置文件規(guī)則 --permanent 永久配置選項 firewall-cmd --zone=規(guī)則 --remove-service=協(xié)議 #刪除協(xié)議 firewall-cmd --zone=規(guī)則 --add-source=IP #添加源IP地址策略 firewall-cmd --zone=規(guī)則 --add-port=端口 #添加端口策略 firewall-cmd --permanent --zone=public --add-forward-port=port=5423:proto=tcp:toport=80 #端口映射總結
以上是生活随笔為你收集整理的iptables防火墙规则的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 2022.4.11-4.17 AI行业周
- 下一篇: [MIP技术分享] 织梦/DEDECMS