Linux防火墙之iptables建立规则和链

2015-05-12  来源:本站原创  分类:RedHat Enterprise Linux 7  人气:726 

在RHEL 7.0中安装启动iptables:

yum install iptables-services                    #安装iptables
systemctl mask firewalld.service              #屏蔽firewalld服务
systemctl enable iptables.service            #设置开机启动
systemctl enable ip6tables.service          #设置开机启动
systemctl stop firewalld.service               #停止firewalld服务
systemctl start iptables.service                #开启iptables服务
systemctl start ip6tables.service              #开启ip6tables服务

一般情况下,iptables已经包含在Linux发行版中,可以运行“iptables --version”命令来查看系统是否安装了iptables。在RHEL 7.0中,iptables版本是iptables-1.4.21-13。如果系统确实没有安装iptables,那么可以从地址:http://www.netfilter.org/ 下载。

1. 查看规则集

虽然简单介绍了iptables的用法,但现实中可能需要知道更完整的信息。可以运行:

iptables --help

来查看快速帮助。要查看系统中现有的iptables规划集,可以执行如下命令:

sudo iptables --list

2. 增加规则

如例,示例中的规则将会阻止来自某一特定IP地址范围内的数据包,因为该IP地址范围被管理员怀疑有大量恶意的攻击者在活动。

iptables -t filter -A INPUT -s xxx.xxx.xxx.0/24 -j DROP

也可以很容易地阻止所有流向攻击者IP地址的数据包,该命令也只是稍有不同:

iptables -t filter -A OUTPUT -d xxx.xxx.xxx.0/24 -j DROP

3. 删除规则

网络上的恶意攻击者时刻在变化,因此也要不断地改变IP地址。假设一个网络攻击者转移到了新的IP地址,而其老的IP地址被分配给了一些清白的用户,那么这时这些用户的数据包将无法通过网络。在这种情况下,可以使用带 -D 选项的命令来删除现有的规则:

iptables -t filter -D OUTPUT -d xxx.xxx.xxx.0/24 -j DROP

4. 默认策略

创建一个具有很好灵活性并可以抵御各种意外事件的规则需要花费大量的时间。下面为每个链设置默认的规则。示例:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

选项 -P 用于设置链的策略,只有3个内建的链才有策略。示例中,这些策略可以使信息毫无限制地流出,但不允许信息流入。如果需要接收外部信息,则可使用以下命令,示例:

iptables -t filter -A INPUT -s 123.456.789.0/24 -j ACCEPT

这里只是简单的说说,难的我也没有搞过,做为开发人员,了解一下就好了!

相关文章
  • Linux防火墙之iptables建立规则和链 2015-05-12

    在RHEL 7.0中安装启动iptables: yum install iptables-services #安装iptables systemctl mask firewalld.service #屏蔽firewalld服务 systemctl enable iptables.service #设置开机启动 systemctl enable ip6tables.service #设置开机启动 systemctl stop firewalld.service #停止firewalld服务 sys

  • Linux防火墙之iptables基础 2015-05-12

    通过为防火墙提供有关对来自某个源,到某个目的地或具有特定协议类型的信息包要执行操作的指令及规则控制信息包的过滤.通过使用Netfilter/iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间的特定信息包过滤表内的链中.添加,除去及编辑规则命令的一般语法如下: $ iptables [-t table] command [match] [target] 大部分规则都是按这种语法写的,如果不想用标准的表,就要在"table"处指定表名.一般情况下,没有必要

  • Linux防火墙之介绍 2015-05-12

    Linux提供了一个非常优秀的防火墙工具,即Netfilter/iptables(http://www.netfilter.org/).它完全是免费的,并且可以在一台低配置的老机器上很好地运行.Netfilter/iptables功能强大,使用灵活,并且可以对流入和流出的信息进行细化控制. 事实上,每个主要的Linux版本中都有不同的防火墙软件套件,iptables(Netfilter)应用程序被认为是Linux中实现包过滤功能的第4代应用程序. Netfilter/iptables系统如何工作

  • Linux防火墙之FirewallD简介 2015-05-12

    FirewallD提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理工具.它支持IPv4,IPv6防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙规则的接口.system-config-firewall/lokkit防火墙模型是静态的,每次修改都要求防火墙完全重启(注:system-config-firewall就是iptables的图形界面管理工具,而Firewalld是由Red Hat的Thomas Woerner为F

  • Linux Firewalls Using iptables 2010-06-08

    Forums Corrections About (C) Peter Harrison <! - Adsense Search -> <! - LinuxHomeNetworking Stop -> Quick HOWTO: Ch14: Linux Firewalls Using iptables <! - LinuxHomeNetworking Start -> <! - FirstHeading -> Linux is growing. It is no

  • Linux防火墙 Firestarter 2008-09-17

    Firestarter 网站 : http://www.fs-security.com/ Firestarter是一个非常好用的防火墙图形化配置工具,作者和开发者是芬兰人. 首先肯定的说Firestarter防火墙是一款非常优秀的基于GUI图形用户界面下的,完全免费的自由软件,它为中小型Linux网络的系统管理员提供了 良好的安全服务.它的使用简单但功能强大:如果你的Linux系统中安装的声卡.并且在Firestarter中进行了配置,那么在遭到系统入侵时它还会 发出报警铃声.Firestart

  • Linux编程实现制作文件的ed2k链 2014-10-05

    这篇文章主要介绍了Linux编程实现制作文件的ed2k链的相关资料,需要的朋友可以参考下 本程序依赖 c99, 只支持终端"标准输入",转换成的链接以"标准输出"而输出,错误以"标出错误输出"而输出. md4 编码代码来自网络. 编译命令:gcc -std=c99 -o ed2k md4.c ed2k.c utils.c 用户命令:ed2k <File...> 产生的链是最简短的形式:ed2k://|file|<FileName

  • Linux知识总结复习2:Linux防火墙的基本概念和使用方法(未完待续) 2012-12-02

    要理解Linux防火墙,先记住下面两张图(未完待续): 图1 Netfilter packet flow 图2 详细处理

  • Linux防火墙iptables基本使用方法 2012-10-09

    iptables是Linux上常用的防火墙软件,一般VPS系统里面默认都有集成. 1.安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables Debian/Ubuntu执行: apt-get install iptables 2.清除已有iptables规则 iptables -F iptables -X iptables -Z 3.开放指定的端口 #允许本地回环接口(即运行本机访问本机) iptables -A INPU

  • 关闭或开启Linux上的iptables防火墙,SSH端口 - 少即是多 - 专注 2012-06-13

    关闭 /etc/rc.d/init.d/iptables stop 开启 /etc/rc.d/init.d/iptables start 查看当前配置:iptables -L redhat : chkconfig --level 2345 iptables off service iptables stop 但是不推荐关闭防火墙 1) 重启后生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2) 即时生效,重启后失效 开启: serv

  • linux centos fedora iptables防火墙配置 2014-09-11

    平时在搭建环境的时候,经常会有防火墙(iptables)的配置, 现整理成脚本,方便执行 #! /bin/bash #---- settings rules ----------- iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -A INPUT -

  • iptables的规则整理使用 2012-11-21

    近期断断续续参考和整理了iptables的使用. iptables是Linux实现过滤包的一个应用程序,是打开服务器的最后一扇大门,也称之为Linux的防火墙.使用得当,可以对访问的可疑IP实现控制,特别恶意攻击时直接将其拒绝门外.目前只对IPV4过来的包起作用,IPV6不行. 环境: CENTOS 6.2 (final) 1.基础应用 a.安装位置 [[email protected] ~]# which iptables /sbin/iptables b.查看iptables状态 [[email protected]

  • Linux安全之iptables详解 2014-07-31

    基本上,依据防火墙管理的范围,我们可以将防火墙区分为网域型与单一主机型的控管.在单一主机型的控管方面, 主要的防火墙有封包过滤型的 Netfilter 与依据服务软件程序作为分析的 TCP Wrappers(只于服务名称有关) 两种.若以区域型的防火墙而言, 由于此类防火墙都是当作路由器角色,因此防火墙类型主要则有封包过滤的 Netfilter 与利用代理服务器 (proxy server) 进行存取代理的方式了. 防火墙在 做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息

  • 关于linux防火墙 2014-08-09

    事实上,每一个主要的Linux版本中都有不同的防火墙软件套件.Iptabels(netfilter)应用程序被认为是Linux中实现包过虑功能的第四代应用程序.第一代是Linux 内核1.1版本所使用的Alan Cox从BSD Unix中移植过来的ipfw. 在2.0版的内核中,Jos Vos和其它一些程序员对ipfw进行了扩展,并且添加了ipfwadm用户工具.在2.2版内核中, Russell和Michael Neuling做了一些非常重要的改进,也就是在该内核中,Russell添加了帮助用

  • 防火墙与iptables 2014-11-24

    iptables负责构建和操作Linux内核中的网络分组过滤规则.可以使用iptables来创建防火墙,保护系统免受恶意用户的攻击以及设置NAT(Network Address Translation,网络地址转换,该技术可以让多个系统共享单个因特网连接). netfilter与iptables:常被称为iptables的功能是由两部分组成的,netfilter和iptables.netfilter部分在内核空间运行,它是一组保存着一系列规则的表,内核利用这些规则控制网络分组过滤.iptable

  • Linux操作系统下IPTables配置方法详解(转载) - 少即是多 - 专注 2012-06-13

    配置一个filter表的防火墙 1.查看本机关于IPTABLES的设置情况 [[email protected] ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source dest

  • Linux防火墙之具有命令行的FirewallD的基本操作 2015-05-12

    启动FirewallD服务: systemctl enable firewalld.service #设置开机启动 systemctl start firewalld.service #开启服务 查看防火墙状态: systemctl status firewalld 1. 区域管理 1.1. 网络区域简介 通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流.例如,互联网是不可信任的区域,而内部网络是高度信任的区域.网络安全模型可以在安装,初次启动和首次建

  • centos iptables 新增规则自动保存 2012-12-11

    1.重定向 例如我要新增某个ip禁止访问 #禁止所有端口 /sbin/iptables -I INPUT -s 5.39.67.46 -p TCP -j DROP #禁止 80端口 /sbin/iptables -I INPUT -s 183.2.145.98 -p TCP –dport 80 -j DROP 1.2.重定向保存 /sbin/iptables-save | cat >/etc/sysconfig/iptables 1.3.重启 service iptables restart;

  • linux 防火墙的相关设置 2014-11-20

    查看状态:/etc/init.d/iptables status 关闭:/etc/init.d/iptables stop 禁止防火墙在系统启动的时候启动:/sbin/chkconfig --level 2345 iptables off 重启防火墙:/etc/init.d/iptables restart 其它高级用法:如单独开放某个端口什么的需求自行google. 参考:http://blog.csdn.net/bslzl/article/details/7937899

  • 永久关闭linux防火墙 2015-02-10

    1.首先查看防火墙状态: service iptables status 2.永久性生效,重启后不会复原 开启:chkconfig iptables on 关闭:chkconfig iptables off 3.即时生效,重启后复原 开启:service iptables start 关闭:service iptables stop 3.设置后重启:reboot