centos iptables drop iptables重启命令
今天给各位分享centos iptables drop的知识,其中也会对iptables重启命令进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
在linux 下如何设置iptables 防火墙
Iptable-A Input-p Tcp-d自己的IP地址 b--dPort端口-J Reject
RedHat机器
cat/etc/sysconfig/iptables
*filter
:INPUT ACCEPT [10276:1578052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [13784:16761487]
-A INPUT-s 10.0.0.0/255.0.0.0-i eth1-j DROP
-A INPUT-s 172.16.0.0/255.240.0.0-j DROP
-A INPUT-s 192.168.0.0/255.255.0.0-i eth1-j DROP#eth1 is interface to internet
# anti Sync Flood
-A FORWARD-p tcp-m tcp--tcp-flags SYN,RST,ACK SYN-m limit--limit 1/sec-j ACCEPT
# anti some port scan
-A FORWARD-p tcp-m tcp--tcp-flags FIN,SYN,RST,ACK RST-m limit--limit 1/sec-j ACCEPT
# anti ping of death
-A FORWARD-p icmp-m icmp--icmp-type 8-m limit--limit 1/sec-j ACCEPT
COMMIT
chkconfig iptables on
以后每次启动iptables就会自动读取配置文件(/etc/sysconfig/iptables)
自动启动
或者是/etc/rc.d/init.d/iptables start手工启动
/etc/rc.d/init.d/iptables stop手工停止
在LINUX下架设防火墙
linuxbird
随着Internet的普及,人们的日常工作与之的关系也越来紧密,因而越来越多的单位为员工开设了Internet的代理上网服务。但当一个企业的内部网络接上Internet之后,企业的内部资源就象待卖的羔羊一样,面临任人宰割的危险,因而系统的安全除了考虑计算机病毒、系统的健壮性等内部原因之外,更主要的是防止非法用户通过Internet的入侵。而目前防止的措施主要是靠防火墙的技术完成。
一、什么是防火墙
防火墙(firewall)是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道(Internet)之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。主要是控制对受保护的网络(即网点)的往返访问,逼使各连接点的通过能得到检查和评估。
从诞生到现在,防火墙已经历了四个发展阶段:基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。目前防火墙供应商提供的大部分都是具有安全操作系统的软硬件结合的防火墙,象NETEYE、NETSCREEN、TALENTIT等。在LINUX操作系统上的防火墙软件也很多,除了下面要专门介绍的IPCHAINS外,还有很多,如:Sinus Firewall、Jfwadmin等。
目前的防火墙从结构上讲,可分为两种:
1)代理主机结构
内部网络<----->代理网关(Proxy Gateway)<----->Internet
2)路由器加过滤器结构
内部网络<----->过滤器(Filter)<---->路由器(Router)<---->Internet
二、用IPCHAINS构建局域网防火墙的原理
其实从本质上讲,用IPCHAINS构建局域网防火墙也是一种C/S模式的交互式的应用。一般服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中,常常把这个特定的服务绑定到特定的TCP或UDP端口。之后,该后台程序就不断地监听(listen)该端口,一旦接收到符合条件的客户端请求,该服务进行TCP握手后就同客户端建立一个连接,响应客户请求。与此同时,再产生一个该绑定的拷贝,继续监听客户端的请求。
IPCHAINS就是这样的一个SERVER。对内部网通往Intenet的请求,或从外部通往内部网的请求,都进行监听、检查、评估、转发、拒绝等动作。
常用的服务、协议与默认端口。
服务类型协议端口
WWW TCP/UDP 80
TELNET
ICMP
SMTP
POP3
FTP
DNS
三、用IPCHAINS作防火墙的步骤
1.安装
IPCHAINS现在的版本已经发展到1.3.9。一般在安装LINUX时都会安装上,如果没有的话可以到www.linux.org下载。下面笔者一TLC4.0为例安装IPCHAINS。由于它需IP-MASQ的支持,所以确定已安装了IP-MASQ模块。
在TLC4.0中,把该光盘放入光驱中,
#turbopkg
并选择ipchains,然后按OK就自动自动安装了。
如果你是下载ipchains安装包的话:
1)如果是rpm包:
#rpm–ivh*.rpm
2)如果是.tar.gz包
#tar xvfz*.tar.gz(先把包解开)
再到解开目录
#./configure
#make
#make install
这样就安装成功了。
2.启用ipchains
手工修改/proc/sys/net/ipv4/ipforward文件,将其内容置为1。
在/etc/rc.d/目录下用touch命令建立rc.ipfwadm文件
在/etc/rc.d/目录下的rc.local文件中加上下面这段代码:
if [-f/etc/rc.d/rc.ipfwadm ]; then/etc/rc.d/rc.ipfwadm; fi;
以后所有的ipchains的配置命令都将在rc.ipfwadm文件里修改。
3.配置ipchains(基本应用)
ipchains对机器的管理是通过对机器的ip地址作为标志的,因而首先得确保你的局域网的机器的ip地址已经配分配好,并且你对之相当熟悉。
Ipchains的配置规则一般是围绕着input、output、ipforward这三个规则进行的,其中input是指对内连接请求的过滤规则,output是指对外连接请求的过滤规则,ipforward是指对内部与外部通讯包的转发。Ipchains的命令格式一般是:
ipchains [ADC] ipchains规则 [ipchains选项]。
有关命令的详细用法请参考有关HOWTO文档。
现在我们假设企业的内部网网段为192.168.1.0~192.168.1.255.其中防火墙的主机的IP地址为:192.168.1.1,假设目前防火墙是进行代理上网,拒绝所有的外部telnet。对内部用户访问外部站点进行限制、并授予一些机器特权可任意访问外部机器、拒绝内部某些机器访问Internet等。网段示意图为:
+--------------+
|内部网段| 192.168.1.1 ISDN、PSDN
|+------------|firewall|<===============>Internet
| 192.168.1.0|+--------+
+--------------+
配置ipchains防火墙规则一般有两种方式:
1)首先允许所有的包,然后在禁止有危险的包通过防火墙;
2)首先禁止所有的包,然后再根据所需要的服务允许特定的包通过防火墙。
相比较而言,第二种方式的做法更为安全。
下面是我的rc.ipfwadm的文件内容:
/sbin/depmod–a
/*自动加载所需模块,如果觉得这样有危险,需手动指定安装模块,可以如下面这一小段就是手动指定加载模块*/
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_ftp
/*加载ip伪装的ftp模块*/
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_irc
/*加载ip伪装的irc模块*/
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_raudio
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_user
#/sbin/modprobe/lib/modules/2.2.10/ipv4/ip_masq_autofw
/sbin/modprobe-a-t/lib/modules/2.2.10/ipv4/ip_masq*
/*自动加载ip伪装的相关模块*/
ipchains–F
/*刷新所有的ipchains规则*/
ipchains-P forward DENY
/*拒绝转发所有的ip包*/
/*下面允许特定的包通过*/
/*开设权限比较高的主机*/
ipchains-A forward-s 192.168.1.10/32-j MASQ
/*允许内部的192.168.1.10主机不受限制访问。比如总经理*/
ipchains-A forward-s 192.168.1.12/32-j MASQ
/*允许内部的192.168.1.12主机不受限制访问。比如系统管理员,在依次添加*/
ipchains-A forward-s 192.168.1.41/32-j MASQ
/*for example linuxbird的主机地址:192.168.1.41*/
/*某些机器,因需要不能对外连接*/
ipchains-A forward-s 192.168.1.3/32-j DENY
/*此机器为内部文档专用机,不能访问外部*/
/*设置内部普通用户能访问的站点*/
ipchains-A forward-d 202.101.98.55/32-j MASQ# FJ-DNS
ipchains-A forward-d 202.101.0.133/32-j MASQ# FJ-DNS
/*这是上网的DNS服务器,本人用的是福州电信局的DNS*/
/*以下是普通用户能访问的站点,根据需要可以对其增删改*/
ipchains-A forward-d 202.101.98.50/32-j MASQ
/* public.fz.fj.cn*/
ipchains-A forward-d 202.101.98.60/32-j MASQ
/* pub5.fz.fj.cn*/
ipchains-A forward-d 202.96.44.14/24-j MASQ
/*freemail.263.net*/
ipchains-A forward-d 202.99.11.120/32-j MASQ
/*www.linuxaid.com.cn*/
ipchains-A forward-d 205.227.44.44/24-j MASQ
/* www.oracle.com*/
ipchains-A forward-d 205.227.44.46/32-j MASQ
/* lliance.oracle.com*/
#ipchains-A forward-d 205.227.44.237/32-j MASQ
/* support.oracle.com*/
ipchains-A forward-d 209.246.5.38/24-j MASQ
/* technet.oracle.com*/
ipchains-A forward-d 137.69.200.8/32-j MASQ
/* www.legato.com*/
ipchains-A forward-d 202.96.125.102/32-j MASQ
/*www.188.net*/
ipchains-A forward-d 207.105.83.51/32-j MASQ
/* www.borland.com*/
ipchains-A forward-d 207.46.131.30/24-j MASQ
/* www.microsoft.com*/
ipchains-A forward-d 207.46.130.30/24-j MASQ
/* www.microsoft.com*/
ipchains-A forward-d 204.146.81.99/32-j MASQ
/* www.ibm.com*/
ipchains-A forward-d 202.102.24.74/24-j MASQ
/* www.lodesoft.com*/
ipchains-A forward-d 210.77.34.109/32-j MASQ
/* www.csdn.net*/
ipchains-A forward-d 192.138.151.66/32-j MASQ
/* www.sybase.com*/
ipchains-A forward-d 202.102.26.1/32-j MASQ
/* www.nari-china.com*/
ipchains-A forward-d 202.102.26.51/32-j MASQ
/*www.aeps-info.com*/
ipchains-A forward-d 202.106.185.2/32-j MASQ
/* www.sohu.com*/
……
linux/unix -shell值iptables基础知识
原文参考:
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单。
首先介绍iptables的结构:iptables-> Tables-> Chains-> Rules.简单地讲,tables由chains组成,而chains又由rules组成。如下图所示。 [图片上传失败...(image-ba5408-1536195185275)]
图: IPTables Table, Chain, and Rule Structure
一、iptables的表与链
iptables具有Filter, NAT, Mangle, Raw四种内建表:
1. Filter表
Filter表示iptables的默认表,因此如果你没有自定义表,那么就默认使用filter表,它具有以下三种内建链:
2. NAT表
NAT表有三种内建链:
3. Mangle表
Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链:
4. Raw表
Raw表用于处理异常,它具有2个内建链:
5.小结
下图展示了iptables的三个内建表:
[图片上传失败...(image-753d8c-1536195185272)]
图: IPTables内建表
二、IPTABLES规则(Rules)
牢记以下三点式理解iptables规则的关键:
目标值(Target Values)
下面是你可以在target里指定的特殊值:
如果你执行iptables–list你将看到防火墙上的可用规则。下例说明当前系统没有定义防火墙,你可以看到,它显示了默认的filter表,以及表内默认的input链, forward链, output链。
Chain INPUT(policy ACCEPT)
target prot opt source destination
Chain FORWARD(policy ACCEPT)
target prot opt source destination
Chain OUTPUT(policy ACCEPT)
target prot opt source destination
查看mangle表:
查看NAT表:
查看RAW表:
!注意:如果不指定-t选项,就只会显示默认的 filter表。因此,以下两种命令形式是一个意思:
(or)
以下例子表明在filter表的input链, forward链, output链中存在规则:
Chain INPUT(policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all— 0.0.0.0/0 0.0.0.0/0
Chain FORWARD(policy ACCEPT)
num target prot opt source destination
1 RH-Firewall-1-INPUT all– 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT(policy ACCEPT)
num target prot opt source destination
Chain RH-Firewall-1-INPUT(2 references)
num target prot opt source destination
1 ACCEPT all– 0.0.0.0/0 0.0.0.0/0
2 ACCEPT icmp– 0.0.0.0/0 0.0.0.0/0 icmp type 255
3 ACCEPT esp– 0.0.0.0/0 0.0.0.0/0
4 ACCEPT ah– 0.0.0.0/0 0.0.0.0/0
5 ACCEPT udp– 0.0.0.0/0 224.0.0.251 udp dpt:5353
6 ACCEPT udp– 0.0.0.0/0 0.0.0.0/0 udp dpt:631
7 ACCEPT tcp– 0.0.0.0/0 0.0.0.0/0 tcp dpt:631
8 ACCEPT all– 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
9 ACCEPT tcp– 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
10 REJECT all– 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
以上输出包含下列字段:
三、清空所有iptables规则
在配置iptables之前,你通常需要用iptables–list命令或者iptables-save命令查看有无现存规则,因为有时需要删除现有的iptables规则:
iptables–flush
或者
iptables-F
这两条命令是等效的。但是并非执行后就万事大吉了。你仍然需要检查规则是不是真的清空了,因为有的linux发行版上这个命令不会清除NAT表中的规则,此时只能手动清除:
iptables-t NAT-F
四、永久生效
当你删除、添加规则后,这些更改并不能永久生效,这些规则很有可能在系统重启后恢复原样。为了让配置永久生效,根据平台的不同,具体操作也不同。下面进行简单介绍:
1.Ubuntu
首先,保存现有的规则:
iptables-save>/etc/iptables.rules
然后新建一个bash脚本,并保存到/etc/network/if-pre-up.d/目录下:
iptables-restore</etc/iptables.rules
这样,每次系统重启后iptables规则都会被自动加载。
!注意:不要尝试在.bashrc或者.profile中执行以上命令,因为用户通常不是root,而且这只能在登录时加载iptables规则。
2.CentOS, RedHat
service iptables save
service iptables stop
service iptables start
查看当前规则:
cat/etc/sysconfig/iptables
五、追加iptables规则
可以使用iptables-A命令追加新规则,其中-A表示 Append。因此,新的规则将追加到链尾。
一般而言,最后一条规则用于丢弃(DROP)所有数据包。如果你已经有这样的规则了,并且使用-A参数添加新规则,那么就是无用功。
1.语法
iptables-A chain firewall-rule
2.描述规则的基本参数
以下这些规则参数用于描述数据包的协议、源地址、目的地址、允许经过的网络接口,以及如何处理这些数据包。这些描述是对规则的基本描述。
-p协议(protocol)
-s源地址(source)
-d目的地址(destination)
-j执行目标(jump to target)
-i输入接口(input interface)
-o输出(out interface)
3.描述规则的扩展参数
对规则有了一个基本描述之后,有时候我们还希望指定端口、TCP标志、ICMP类型等内容。
–sport源端口(source port)针对-p tcp或者-p udp
–-dport目的端口(destination port)针对-p tcp或者-p udp
-–tcp-flags TCP标志针对-p tcp
-–icmp-type ICMP类型针对-p icmp
4.追加规则的完整实例:仅允许SSH服务
本例实现的规则将仅允许SSH数据包通过本地计算机,其他一切连接(包括ping)都将被拒绝。
iptables-F
iptables-A INPUT-i eth0-p tcp–dport 22-j ACCEPT
iptables-A INPUT-j DROP
六、更改默认策略
上例的例子仅对接收的数据包过滤,而对于要发送出去的数据包却没有任何限制。本节主要介绍如何更改链策略,以改变链的行为。
1.默认链策略
/!\警告:请勿在远程连接的服务器、虚拟机上测试!
当我们使用-L选项验证当前规则是发现,所有的链旁边都有 policy ACCEPT标注,这表明当前链的默认策略为ACCEPT:
Chain INPUT(policy ACCEPT)
target prot opt source destination
ACCEPT tcp– anywhere anywhere tcp dpt:ssh
DROP all– anywhere anywhere
Chain FORWARD(policy ACCEPT)
target prot opt source destination
Chain OUTPUT(policy ACCEPT)
target prot opt source destination
这种情况下,如果没有明确添加DROP规则,那么默认情况下将采用ACCEPT策略进行过滤。除非:
a)为以上三个链单独添加DROP规则:
iptables-A INPUT-j DROP
iptables-A OUTPUT-j DROP
iptables-A FORWARD-j DROP
b)更改默认策略:
iptables-P INPUT DROP
iptables-P OUTPUT DROP
iptables-P FORWARD DROP
糟糕!!如果你严格按照上一节的例子配置了iptables,并且现在使用的是SSH进行连接的,那么会话恐怕已经被迫终止了!
为什么呢?因为我们已经把OUTPUT链策略更改为DROP了。此时虽然服务器能接收数据,但是无法发送数据:
Chain INPUT(policy DROP)
target prot opt source destination
ACCEPT tcp– anywhere anywhere tcp dpt:ssh
DROP all– anywhere anywhere
Chain FORWARD(policy DROP)
target prot opt source destination
Chain OUTPUT(policy DROP)
target prot opt source destination
七、配置应用程序规则
尽管5.4节已经介绍了如何初步限制除SSH以外的其他连接,但是那是在链默认策略为ACCEPT的情况下实现的,并且没有对输出数据包进行限制。本节在上一节基础上,以SSH和HTTP所使用的端口为例,教大家如何在默认链策略为DROP的情况下,进行防火墙设置。在这里,我们将引进一种新的参数-m state,并检查数据包的状态字段。
1.SSH
iptables-A INPUT-i eth0-p tcp–dport 22-m state–state NEW,ESTABLISHED-j ACCEPT
iptables-A OUTPUT-o eth0-p tcp–sport 22-m state–state ESTABLISHED-j ACCEPT
如果服务器也需要使用SSH连接其他远程主机,则还需要增加以下配置:
iptables-A OUTPUT-o eth0-p tcp–dport 22-m state–state NEW,ESTABLISHED-j ACCEPT
iptables-A INPUT-i eth0-p tcp–sport 22-m state–state ESTABLISHED-j ACCEPT
2.HTTP
HTTP的配置与SSH类似:
iptables-A INPUT-i eth0-p tcp–dport 80-m state–state NEW,ESTABLISHED-j ACCEPT
iptables-A OUTPUT-o eth0-p tcp–sport 80-m state–state ESTABLISHED-j ACCEPT
3.完整的配置
iptables-F
iptables-P INPUT DROP
iptables-P FORWARD DROP
iptables-P OUTPUT DROP
iptables-A INPUT-i eth0-p tcp–dport 22-m state–state NEW,ESTABLISHED-j ACCEPT
iptables-A OUTPUT-o eth0-p tcp–sport 22-m state–state ESTABLISHED-j ACCEPT
iptables-A OUTPUT-o eth0-p tcp–dport 22-m state–state NEW,ESTABLISHED-j ACCEPT
iptables-A INPUT-i eth0-p tcp–sport 22-m state–state ESTABLISHED-j ACCEPT
iptables-A INPUT-i eth0-p tcp–dport 80-m state–state NEW,ESTABLISHED-j ACCEPT
iptables-A OUTPUT-o eth0-p tcp–sport 80-m state–state ESTABLISHED-j ACCEPT
References
[1] Linux Firewall Tutorial: IPTables Tables, Chains, Rules Fundamentals
[2] IPTables Flush: Delete/ Remove All Rules On RedHat and CentOS Linux
[3] Linux IPTables: How to Add Firewall Rules(With Allow SSH Example)
[4] Linux IPTables: Incoming and Outgoing Rule Examples(SSH and HTTP)
[5] 25 Most Frequently Used Linux IPTables Rules Examples
[6] man 8 iptables
centos7 iptables
在 CentOS7系统中,firewalld和 iptables是两种常见的网络防火墙解决方案。虽然两者都提供了类似的功能,但在使用场景和配置方式上存在显著差异。
iptables默认规则相对开放,而 firewalld默认规则相对封闭。因此,推荐使用 iptables进行更细致的网络控制。
iptables的规则在/etc/sysconfig/iptables中存储,而 firewalld的配置则储存在/usr/lib/firewalld/和/etc/firewalld/中的 XML文件中。iptables在更改规则时,会清除所有旧规则并读取新规则,而 firewalld则不会创建新规则,仅运行不同规则,使其在运行时改变设置而不丢失当前配置。
在使用 firewalld时,可以通过以下命令查看和管理防火墙规则:
bash
firewall-cmd--list-all
firewall-cmd--list-services
firewall-cmd--list-port
firewall-cmd--reload
firewall-cmd--add-port=8080/tcp--permanent
firewall-cmd--add-service=http--permanent
firewall-cmd--remove-port=8080/tcp--permanent
firewall-cmd--remove-service=http--permanent
firewall-cmd--add-forward-port=port=80:proto=tcp:toport=8080--permanent
firewall-cmd--zone=public--add-forward-port=port=80:proto=tcp:toport=8080:toaddr=192.168.217.128--permanent
为了使用 iptables,需先关闭 firewalld并安装 iptables:
bash
systemctl stop firewalld.service
systemctl disable firewalld.service
yum-y install iptables-services
systemctl restart iptables.service
在 iptables中配置规则的常用命令有:
bash
iptables-L-n
iptables-F
iptables-X
可以使用以下方式在 iptables中修改防火墙规则:
修改/etc/sysconfig/iptables文件(重启 iptables使更改生效)。
直接使用命令(需要使用 `save`命令使配置生效)。
例如,直接添加一条开放 8080端口的规则:
bash
iptables-I INPUT-p tcp-m state--state NEW-m tcp--dport 8080-j ACCEPT
service iptables save
遇到的问题是,使用 `iptables-A`添加规则时,虽然规则被写入配置文件,但无法访问。后来发现使用 `iptables-I`添加配置可以解决问题。原因是 `-A`添加在规则列表末尾,而 `-I`添加在第一条,因此优先级不同。
在 iptables中,可以使用以下规则进行更细粒度的控制:
同时开放多个端口:`iptables-I INPUT-p tcp-m multiport--dport 22,80-j ACCEPT`。
开放连续端口范围:`iptables-I INPUT-p tcp--dport 5000:6000-j ACCEPT`。
允许特定网段访问:`iptables-I INPUT-p all-s 0.0.0.0/0-j ACCEPT`。
允许特定 IP的特定端口访问:`iptables-I INPUT-p tcp-s 0.0.0.0-dport 8080-j ACCEPT`。
禁止特定主机访问:`iptables-I INPUT-p tcp-s 0.0.0.0-j DROP`。
移除规则:`iptables-D INPUT 7`。
在 iptables配置中,放行使用 `ACCEPT`,禁止使用 `DROP`。
