首页 > 系统相关 >网络防火墙iptables

网络防火墙iptables

时间:2023-04-05 16:14:11浏览次数:45  
标签:iptables 规则 防火墙 网络 REJECT INPUT 数据包

防火墙简单介绍

概念:

是一种能够限制所转发的流量类型的路由器

类型:

1. 代理防火墙

本质上是运行一个或多个应用层网关的主机

1.1 HTTP代理防火墙

只能用于HTTP和HTTPS协议(Web)。
可以提供web缓存功能,加速防火墙内用户加载网页的速度
提供黑名单功能,阻止用户访问某些web网站

1.2 SOCKS防火墙

可以用于web之外的其他服务。
正在使用的SOCKS防火墙有4和5两个版本,第4版本支持基础的代理传输
第5版支持认证UDP传输IPv6寻址

2. 包过滤防火墙

能够根据一定条件过滤流过的数据包

防火墙管理工具

如iptables、firewalld,这里介绍iptables。
防火墙管理工具用来定义防火墙策略,并不是真正起到防火墙作用的工具,iptables下发的配置由内核层的netfilter网络过滤器来处理。

的规则

用于处理或过滤流量的策略条目称为规则。
PREROUNTING在进行路由选择前处理数据包
INPUT处理流入的数据包
OUTPUT处理流出的数据包
FORWARD处理转发的数据包
POSTROUTING在进行路由选择后处理数据包

策略

ACCEPT允许流量通过
REJECT拒绝流量通过
LOG记录日志信息
DROP丢弃

REJECT和DROP的区别:

REJECT会告知发送方信息已收到,但是被扔掉;DROP则是直接丢弃,不回复。
服务器的防火墙策略设置为REJECT后,客户端ping会出现目标端口不可达
服务器的防火墙策略设置为DROP后,客户端的ping会出现超时

iptables常用参数及命令

参数 说明
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如TCP、UDP、ICMP
--dport num 匹配目标端口号
--sport num 匹配来源端口号

查看已有的防火墙规则链

iptables -L

清除、添加规则:

清除已有的规则iptables -F
清除某条规则,清除流入的第一条规则iptables -D INPUT 1
在规则链的尾部添加规则iptables -A INPUT -s 192.168.0.0/24 -p tcp -j ACCEPT
在规则链的头部加入规则iptables -I INPUT -p tcp -j REJECT

拒绝某个ip访问本机某个端口

iptables -I INPUT -p tcp -s 192.168.0.33 --dport 33 -j REJECT匹配协议字段-p不能少
端口可以指定范围,如下所示,禁止访问33到100端口
iptables -I INPUT -p tcp -s 192.168.0.33 --dport 33:100 -j REJECT

永久保存对规则的修改

iptables-save
或者service iptables save

标签:iptables,规则,防火墙,网络,REJECT,INPUT,数据包
From: https://www.cnblogs.com/pine-apple/p/17289329.html

相关文章

  • 【计算机网络】运输层知识点
    运输层运输层向它上面的应用层提供通信服务。真正通信的主体是主机中的一个进程和另一个主机的一个进程交换数据。网络层为主机之间提供逻辑通信,而运输层为应用进程之间提供端到端的逻辑通信。运输层向高层用户屏蔽了下面网络核心的细节,使应用进程看见的就好像在两个运输层实体......
  • Docker 网络
    1.Docker网络1.1Docker网络模式使用Docker时,宿主机和容器内系统、容器和容器之间都需要网络连接,必须要考虑容器和宿主机、容器和容器之间的网络连接方式,因此了解docker的网络模式对正确使用docker非常重要。Docker启动后,它默认会创建三个网络,使用docker......
  • IOS网络状态变化监听
    IOS网络状态变化监听使用Alamofire库的NetworkReachabilityManager一共有三种状态///Itisunknownwhetherthenetworkisreachable.caseunknown///Thenetworkisnotreachable.casenotReachable///Thenetworkisreachableontheassociated`ConnectionType`......
  • OPNET网络仿真分析-1.1.2、OPNET简介
    OPENT网络仿真分析(作者:栾鹏、陈玓玏)OPNET网络仿真分析-目录OPNET网络仿真分析-电子版1.1.2、OPNET简介OPNET公司起源于MIT(麻省理工学院),成立于1986年。1987年OPNET公司发布了其第一个商业化的网络性能仿真软件,提供了具有重要意义的网络性能优化工具,使得具有预测性的网络性能管理和......
  • OPNET网络仿真分析-1.1.1、网络仿真简介
    OPENT网络仿真分析(作者:栾鹏、陈玓玏)1.1.1、网络仿真简介1、网络仿真的目的:在建设网络,开展网络业务之前需要对配置的网络设备、所采用的网络技术、承载的网络业务等方面的投资进行综合分析和评估,提出性能价格比最优的解决方案。构建新网络,升级改造现有网络,或者测试新协议,都需要对......
  • nextcloud 您的网络请求过多。如果出现错误,请稍后重试或与您的管理员联系。问题排查过
    问题描述一觉醒来,登录自己搭建的nextcloud服务器,结果发现用记忆在浏览器里面的密码登录不进去——输入用户名密码后,登录没有反应。多登录几次,页面提示:您的网络请求过多。如果出现错误,请稍后重试或与您的管理员联系。问题排查上网搜索,有不同的说法,我尝试了以下说法都不管用:1、c......
  • OPNET网络仿真分析-1.6、OPNET软件使用
    OPENT网络仿真分析(作者:栾鹏、陈玓玏)1.6、OPNET软件使用1.6.1、菜单栏介绍在子网模块界面,OPNET菜单栏工具栏如图所示。第一部分:文件操作点击File,弹出如图1-9所示。(1)点击New,弹出新建内容窗口,会有多种创建内容选择。点击Open和Save以及SaveAs同样会有不同的文件格式类型。OPNET文件......
  • OPNET网络仿真分析-1.2、OPNET安装教程
    OPENT网络仿真分析(作者:栾鹏、陈玓玏)1.2、OPNET安装教程本书使用的OPNET安装配置环境如表1-8所示。第一部分:安装vs2010,设置vs环境变量本书使用以win764位安装OPNET14.5仿真软件。【1】安装vs2010,只需要安装c++语言(安装过程略)。我的安装目录为G:\vs2010【2】开始设置VC编译器的环......
  • 性能场景之网络模拟
    模拟网络状况的有很多种,这里说的是Linux上的TC工具。什么是TCTC(trafficcontrol)是Linux中的流量控制工具。它是通过控制netem来实现的网络场景模拟。该工具是直接对物理网卡生效的,如果是逻辑网卡,则该控制无效。如果是用的虚拟机,可视虚拟网卡为物理网卡。什么是HTBHTB是HierarchyT......
  • 2023.4.5 网络最大流 Dinic算法
    网络最大流Dinic算法省选爆了qwq题目描述给出一个网络图,以及其源点和汇点,求出其网络最大流。网络流,就像水在一个水渠构成的网络中流一样,源点有无限的水,每条边有最大流量限制,求流到汇点的最大流量。更菜一点的EK算法自行了解,此处我们用dinic算法解决问题。这些网络流算法的......