Linux系統iptables與firewalld防火牆

来源:https://www.cnblogs.com/DevonL/archive/2019/09/01/11438414.html
-Advertisement-
Play Games

iptables iptables服務用於處理或過濾流量的策略條目(規則),多條規則可以組成一個規則鏈,而規則鏈則依據數據包處理位置的不同進行分類。 在進行路由選擇前處理數據包(PREROUTING); 處理流入的數據包(INPUT); 處理流出的數據包(OUTPUT); 處理轉發的數據包(FORW ...


iptables

  iptables服務用於處理或過濾流量的策略條目(規則),多條規則可以組成一個規則鏈,而規則鏈則依據數據包處理位置的不同進行分類。

      在進行路由選擇前處理數據包(PREROUTING);

      處理流入的數據包(INPUT);

      處理流出的數據包(OUTPUT);

      處理轉發的數據包(FORWORD);

      在進行路由選擇後處理數據包(POSTROUTING)。

  一般來說,從內網向外網發送的流量一般都是可控且良性的,因此使用最多的就是INPUT規則鏈,該規則鏈可以增大黑客人員從外網入侵內網的難度。

iptables中的基本參數

iptables中常用的參數以及作用

參數 作用
-P 設置預設策略
-F 清空規則鏈
-L 查看規則鏈
-A 在規則鏈的末尾加入新規則
-I num 在規則鏈的頭部加入新規則
-D num 刪除某一條規則
-s 匹配來源地址IP/MASK,加嘆號“!”表示這個IP除外
-d 匹配目標地址
-i 網卡名稱 匹配從這塊網卡流入的數據
-o 網卡名稱 匹配從這塊網卡流出的數據
-p 匹配協議,如TCP、UDP、ICMP
--dport num 匹配目標埠號
--sport num 匹配來源埠號

  在iptables命令後添加-L參數查看已有的防火牆規則鏈

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination

 target prot opt source destination
 ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
 ACCEPT all -- anywhere anywhere
 INPUT_direct all -- anywhere anywhere
 INPUT_ZONES_SOURCE all -- anywhere anywhere
 INPUT_ZONES all -- anywhere anywhere
 ACCEPT icmp -- anywhere anywhere
 REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

 

  在iptables命令後添加-F參數清空已有的防火牆規則鏈

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

  把INPUT規則鏈的預設策略設置為拒絕:

[root@localhost ~]# iptables -P INPUT DROP

   將INPUT規則鏈設置為只允許指定網段的主機訪問本機的22埠,拒絕來自其他所有的主機流量:

[root@localhost ~]# iptables -I INPUT -s 10.6.12.0/24 -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 10.6.12.0/24 anywhere tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

  防火牆策略規則是按照從上到下的順序匹配的,因此一定要把允許動作放在拒絕動作前面。否則所有的流量就將被拒絕掉

使用CRT

一個是來自192.168.72.0/24的主機訪問,會被拒絕

Connection timed out

來自10.6.72.0/24的主機訪問

Last login: Sat Aug 31 11:43:09 2019 from 10.6.12.47
[root@localhost ~]# 
[root@localhost ~]# 
[root@localhost ~]# 

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 1、重載(overload): 在同一個作用域(一般指一個類)的兩個或多個方法函數名相同,參數列表不同的方法叫做重載,它們有三個特點(俗稱兩必須一可以): 方法名必須相同 參數列表必須不相同 返回值類型可以不相同 例如: 2、重寫(override):子類中為滿足自己的需要來重覆定義某個方法的不同實 ...
  • 1、常規寫法,難道我們每次都new一個服務,如下麵的UserService和CompanyService然後調用服務的Find方法去操作,為什麼我們不讓UserService和CompanyService服務註入進來呢? 2、我們想要的實際效果是MVC請求進來的時候,實例化控制器的時候,就把User ...
  • 我們為什麼要在對象之間做映射 處於耦合性或者安全性考慮或者性能考慮我們不希望將Model模型傳遞給他們,我們會在項目中創建一些DTO(Data transfer object數據傳輸對象),進行數據的傳輸. 概述 AgileMapper是一個零配置、高度可配置的對象-對象映射器,具有可查看的執行計劃 ...
  • 當我們在遇到需要長時間執行的任務時候,比如讀取一個文件,遠程服務調用。這些功能都會阻塞主線程,造成主線程卡死,從而造成一種軟體崩潰的假象。這樣的情況下,我們都會想到使用非同步多線程的技術去解決這個問題。 我在學習NodeJs的之前,一直以為非同步和多線程是同一個概念,當我接觸到Node的時候,感覺自己遭 ...
  • [toc] 1.1 定時任務crond介紹 Crond是linux系統中用來定期執行命令/腳本或指定程式任務的一種服務或軟體,一般情況下,安裝完centos 6/7等linux操作系統之後,預設便會啟動crond任務調度服務,crond服務也會定期(預設每分鐘檢查一次)檢查系統中是否有要執行的任務工 ...
  • Linux grep 命令用於查找文件里符合條件的字元串。grep 指令用於查找內容包含指定的範本樣式的文件,如果發現某文件的內容符合所指定的範本樣式,預設 grep 指令會把含有範本樣式的那一列顯示出來。若不指定任何文件名稱,或是所給予的文件名為 -,則 grep 指令會從標準輸入設備讀取數據。 ...
  • [toc] 操作規範 1、數據操作,必須謹慎,線上尤甚!!! 2、線上數據操作,必須備份!備份需完整、可用,備份使用自己最容易操作回滾的方式。 3、數據操作,能修改數據解決的決不刪除 4、不確定的操作不做,不確定的命令不敲 5、如果出現問題,例如數據丟失、數據文件損壞,必須首先完整備份當前環境,保證 ...
  • Vim 常用的命令 游標定位; hjkl 上下左右移動 0 $ 跳到行首或行尾 gg shift+G 跳到整個文件的開頭行或者結尾行 1G ,2G,3G........NG ,跳到第1.2.3 N 行開頭 /String(n N 可以迴圈的) 快速定位到某一行, /^d 快速定位到以 d 開頭的行, ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...