`
LazyDonkey
  • 浏览: 3633 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

iptables 访问策略笔记

 
阅读更多
  1. Linux 2.4之后的防火墙iptables,iptables由3个表filter,nat,mangle组成,主要实验了filter表,这个表是用来过滤数据包的,有三个链INPUT,OUTPUT,FORWARD。

    配置防火墙策略有固定的格式
    iptables  表名   链名    匹配条件  动作

    -t 表名 (默认为filter)

    -A 链名(在该链末尾append追加策略)

    -I 链名 数字

    -I (insert)插入链,如果不加数字,默认是将写的策略添加到表中所有策略的前面,但是我们要指定插入到相应的行,我们可以这样

    Iptables –t filter –I INPUT 2 ……  这里就是插到第二个

    匹配条件:


    -i   网卡    数据包进入的网卡

    -o  网卡   出去的

    -s   ip   源ip

    -d   ip    目的ip

    -p   协议

    --dport  端口号   目的端口号

    --sport   端口号   源端口号

    动作:


    ACCEPT:对满足策略的数据包允许通过

    DROP:丢弃数据包,且不返回任何信息

    REJECT:丢弃数据包,但是会返回拒绝的信息

    LOG:把通过的数据包写到日志中(相当于一个门卫对进去的人进行登记)

     
    查看本机iptables情况 
    iptables -L -n --line-number
     
  2. 防火墙的关闭、打开
    重启系统后生效     
    #打开
chkconfig iptables on
#关闭
chkconfig iptables off
     立即生效,重启系统后丢失设置 
    #开启
service iptables start
#关闭
service iptables stop
     
  3. 添加策略
    如果做了WEB服务器,开启80端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
如果做了DNS服务器,开启53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP
允许icmp包通过,也就是允许ping,
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT    (INPUT设置成DROP的话)
允许loopback!(不然会导致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
    只允许192.168.0.3的机器进行SSH连接
    [root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
    如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
    24表示子网掩码数
     
  4. 删除策略 
     iptables -D INPUT 1  #删除INPUT链的序号为1的策略
     
  5. 修改filter表的链 
    iptables -t filter -P INPUT DROP     #修改filter表的INPUT链的默认动作
     
分享到:
| Linux 安装 MySQL
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    狂神说Linux课堂笔记.rar

    6. **网络配置**:涵盖网络接口设置(ifconfig、ip命令),DNS解析,防火墙规则(firewalld或iptables),以及远程访问服务如SSH的配置。 7. **软件包管理**:介绍使用yum或dnf工具安装、更新和删除软件包,理解RPM...

    Linux学习笔记——入门资料

    理解用户权限模型(如sudo、su),设置root密码,启用防火墙(如iptables或firewalld),并了解基本的访问控制策略,是保障系统安全的基础。 通过这份“Linux学习笔记”,你将逐步熟悉Linux环境,掌握基本操作,为...

    Linux命令笔记水印版.pdf

    - `iptables`的策略和规则链,以及基本命令参数。 - `firewalld`的使用,包括终端和图形管理工具。 - 服务的访问控制列表设置。 8. **使用ssh服务管理远程主机**: - 配置网络接口和服务,如`sshd`服务。 - ...

    linux使用笔记

    通过上述iptables配置,我们可以看到如何通过iptables管理Linux系统的网络访问控制,包括允许或拒绝特定类型的流量。同时,我们也了解了MySQL Semi-Synchronous Replication的概念以及如何在主库和备库上安装相应的...

    linuxcast苏勇老师linux课程学习笔记

    2. 权限与访问控制:理解sudo和selinux,以及如何设置访问控制策略。 3. 数据备份:学习使用rsync、tar等工具进行数据备份,以及如何恢复备份。 通过学习这门课程,你将具备在Linux环境下工作和解决问题的能力,...

    Linux高端企业群集架构师笔记

    四、高级安全:在Linux系统中,安全策略包括权限管理、防火墙配置(iptables、firewalld)、SELinux(安全增强型Linux)等。SELinux提供强制访问控制,进一步增强了系统的安全性。此外,安全审计和日志分析也是确保...

    linux路由笔记

    ### Linux路由笔记:构建Linux路由器并实现多WAN口负载均衡 #### 一、Linux作为路由器的基本配置 在本文档中,我们将深入了解如何利用Linux系统搭建一台高效的路由器,并且实现多WAN口负载均衡,这对于企业级网络...

    Linux相关ppt和笔记

    同时,防火墙如iptables或firewalld的使用,将教你如何保护系统免受未经授权的访问。 服务器运维中,监控和日志分析是关键。学习如何查看和分析系统日志(如/var/log下的各种日志文件),以及使用工具如top、htop、...

    IPv6服务器配置笔记.docx

    4. IPv6 安全策略:与 IPv4 一样,IPv6 也需要配置适当的安全策略,包括防火墙规则、入侵检测系统等。 六、故障排除 如果遇到问题,可以使用 ip -6 命令或其他相关的工具来检查 IPv6 配置。例如,ip -6 addr 可以...

    linux笔记.rar

    - iptables:Linux内核的包过滤规则,用于设置防火墙策略。 - ufw(Uncomplicated Firewall):基于iptables的用户友好型防火墙工具。 - SELinux:强制访问控制,提供额外的安全层。 9. **脚本编程** - Bash ...

    linux新手学习笔记

    13. **远程访问与协作**:学习使用SSH进行远程登录,配置Samba服务实现Linux与Windows之间的文件共享。 14. **系统备份与恢复**:理解备份策略,学习如何使用tar命令创建和提取备份,以及如何进行系统恢复。 15. *...

    Linux学习未做笔记部分

    在运维安全方面,重点应放在防火墙配置(如iptables和ufw)、用户权限管理、日志审计、安全更新和漏洞管理上。了解SELinux、AppArmor等强制访问控制机制也是提高系统安全性的必要步骤。面试技巧则涵盖自我介绍、项目...

    Linux网络服务与管理知识图解笔记

    此外,安全管理也是重点,包括防火墙规则(如iptables和firewalld)、SELinux(安全增强型Linux)策略配置、以及日志监控和审计。了解并熟练应用这些工具可以有效防止系统被攻击。 最后,自动化和脚本编写能力也是...

    linux_linux个人学习笔记_

    以下是对“Linux Linux个人学习笔记”内容的详细解释: 一、Linux指令集 在Linux中,命令行是进行日常操作的主要工具。学习Linux首先要掌握基本的命令,如ls(列出目录内容)、cd(切换目录)、pwd(显示当前工作...

    linux学习笔记.7z

    防火墙如`ufw`或`iptables`,以及权限设定和访问控制列表(ACLs)是保障系统安全的基础。同时,日志分析(如`less`或`grep`配合`/var/log`下的日志文件)是诊断问题和监控系统状态的关键。 最后,了解Linux发行版...

    linux笔记_运维

    `touch -t 04241505 123.txt`可以改变文件的访问和修改时间,`stat FILE`则用于查看文件属性和时间戳。 3. `date`:显示系统时间,`date -s "2018-4-24 15:25:00"`用来设置系统时间,`clock`命令用于设置硬件时间。...

    虚拟机部署zabbix详细笔记

    - 关闭SELINUX,以避免安全策略限制导致的问题。 - **软件源代码包存放与编译安装位置:** - 源代码包存放在 `/usr/local/src`。 - 编译安装的位置在 `/usr/local/软件名字`。 - **软件包下载:** - 下载Nginx...

    day3 zabbix监控详细笔记文档总结

    请注意,这只是一个基本的指南,实际部署时还需要根据网络环境和安全策略进行相应的调整。例如,生产环境中通常会关闭不必要的端口,重新启用SELinux和iptables,并对数据库连接进行加密等。同时,Zabbix的监控范围...

    第一周第四天的学习笔记

    - 支持基于 iptables 的网络策略。 7. **Container-runtime**: - 负责容器的创建和管理。 - 可以使用多种容器运行时,如 Docker、containerd 等。 通过以上解析,我们可以深入了解 Kubernetes 的核心概念和...

Magicbox
Global site tag (gtag.js) - Google Analytics