Linux系統iptables與firewalld防火牆

-Advertisement-

iptables iptables服務用於處理或過濾流量的策略條目（規則），多條規則可以組成一個規則鏈，而規則鏈則依據數據包處理位置的不同進行分類。在進行路由選擇前處理數據包（PREROUTING）; 處理流入的數據包（INPUT）；處理流出的數據包（OUTPUT）；處理轉發的數據包（FORW ...

iptables

　　iptables服務用於處理或過濾流量的策略條目（規則），多條規則可以組成一個規則鏈，而規則鏈則依據數據包處理位置的不同進行分類。

　　　　　　在進行路由選擇前處理數據包（PREROUTING）;

　　　　　　處理流入的數據包（INPUT）；

　　　　　　處理流出的數據包（OUTPUT）；

　　　　　　處理轉發的數據包（FORWORD）；

　　　　　　在進行路由選擇後處理數據包（POSTROUTING）。

　　一般來說，從內網向外網發送的流量一般都是可控且良性的，因此使用最多的就是INPUT規則鏈，該規則鏈可以增大黑客人員從外網入侵內網的難度。

iptables中的基本參數

iptables中常用的參數以及作用

參數	作用
-P	設置預設策略
-F	清空規則鏈
-L	查看規則鏈
-A	在規則鏈的末尾加入新規則
-I num	在規則鏈的頭部加入新規則
-D num	刪除某一條規則
-s	匹配來源地址IP/MASK，加嘆號“！”表示這個IP除外
-d	匹配目標地址
-i 網卡名稱	匹配從這塊網卡流入的數據
-o 網卡名稱	匹配從這塊網卡流出的數據
-p	匹配協議，如TCP、UDP、ICMP
--dport num	匹配目標埠號
--sport num	匹配來源埠號

　　在iptables命令後添加-L參數查看已有的防火牆規則鏈

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
INPUT_direct all -- anywhere anywhere
INPUT_ZONES_SOURCE all -- anywhere anywhere
INPUT_ZONES all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

　　在iptables命令後添加-F參數清空已有的防火牆規則鏈

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

　　把INPUT規則鏈的預設策略設置為拒絕：

[root@localhost ~]# iptables -P INPUT DROP

　　將INPUT規則鏈設置為只允許指定網段的主機訪問本機的22埠，拒絕來自其他所有的主機流量：

[root@localhost ~]# iptables -I INPUT -s 10.6.12.0/24 -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 10.6.12.0/24 anywhere tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

　　防火牆策略規則是按照從上到下的順序匹配的，因此一定要把允許動作放在拒絕動作前面。否則所有的流量就將被拒絕掉

使用CRT

一個是來自192.168.72.0/24的主機訪問，會被拒絕

Connection timed out

來自10.6.72.0/24的主機訪問

Last login: Sat Aug 31 11:43:09 2019 from 10.6.12.47
[root@localhost ~]# 
[root@localhost ~]# 
[root@localhost ~]#

您的分享是我們最大的動力!

-Advertisement-

更多相關文章

C# 中關於重載與重寫的區別及用法

1、重載(overload): 在同一個作用域(一般指一個類)的兩個或多個方法函數名相同，參數列表不同的方法叫做重載，它們有三個特點(俗稱兩必須一可以): 方法名必須相同參數列表必須不相同返回值類型可以不相同例如： 2、重寫(override):子類中為滿足自己的需要來重覆定義某個方法的不同實 ...
2、MVC+IOC容器+ORM結合

1、常規寫法，難道我們每次都new一個服務，如下麵的UserService和CompanyService然後調用服務的Find方法去操作，為什麼我們不讓UserService和CompanyService服務註入進來呢？ 2、我們想要的實際效果是MVC請求進來的時候，實例化控制器的時候，就把User ...
ASP.NET Core實現對象自動映射-AgileMapper

我們為什麼要在對象之間做映射處於耦合性或者安全性考慮或者性能考慮我們不希望將Model模型傳遞給他們,我們會在項目中創建一些DTO(Data transfer object數據傳輸對象),進行數據的傳輸. 概述 AgileMapper是一個零配置、高度可配置的對象-對象映射器,具有可查看的執行計劃 ...
非同步與多線程的區別

當我們在遇到需要長時間執行的任務時候，比如讀取一個文件，遠程服務調用。這些功能都會阻塞主線程，造成主線程卡死，從而造成一種軟體崩潰的假象。這樣的情況下，我們都會想到使用非同步多線程的技術去解決這個問題。我在學習NodeJs的之前，一直以為非同步和多線程是同一個概念，當我接觸到Node的時候，感覺自己遭 ...
【Linux】定時任務-crontab

[toc] 1.1 定時任務crond介紹 Crond是linux系統中用來定期執行命令/腳本或指定程式任務的一種服務或軟體，一般情況下，安裝完centos 6/7等linux操作系統之後，預設便會啟動crond任務調度服務，crond服務也會定期（預設每分鐘檢查一次）檢查系統中是否有要執行的任務工 ...
Linux查找文件夾下包含某字元的所有文件

Linux grep 命令用於查找文件里符合條件的字元串。grep 指令用於查找內容包含指定的範本樣式的文件，如果發現某文件的內容符合所指定的範本樣式，預設 grep 指令會把含有範本樣式的那一列顯示出來。若不指定任何文件名稱，或是所給予的文件名為 -，則 grep 指令會從標準輸入設備讀取數據。 ...
【Linux】MySQL 運維常用腳本

[toc] 操作規範 1、數據操作，必須謹慎，線上尤甚！！！ 2、線上數據操作，必須備份！備份需完整、可用，備份使用自己最容易操作回滾的方式。 3、數據操作，能修改數據解決的決不刪除 4、不確定的操作不做，不確定的命令不敲 5、如果出現問題，例如數據丟失、數據文件損壞，必須首先完整備份當前環境，保證 ...
Linux Vim 實用命令

Vim 常用的命令游標定位; hjkl 上下左右移動 0 $ 跳到行首或行尾 gg shift+G 跳到整個文件的開頭行或者結尾行 1G ,2G,3G........NG ,跳到第1.2.3 N 行開頭 /String(n N 可以迴圈的) 快速定位到某一行, /^d 快速定位到以 d 開頭的行, ...