iptables防火墙

原创 于 2025-09-19 20:46:00 发布 · 789 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全

新星杯·14天创作挑战营·第15期 10w+人浏览 423人参与

防火墙的概念

防火墙是一种网络安全系统,用于监控和控制网络流量,基于预设规则允许或阻止数据包的传输。其核心功能包括:

  • 访问控制:限制未经授权的访问。
  • 流量过滤:根据源/目标IP、端口、协议等条件过滤数据包。
  • 安全防护:防御DoS攻击、端口扫描等威胁。

防火墙可分为硬件防火墙(独立设备)和软件防火墙(如iptables、Windows Defender防火墙)

防火墙

硬件

软件

三层路由,H3C、华为、Cisco(思科)

iptables,Windows Defenderufw等

防火墙:深信服(防火墙和VPN),绿盟

具体类型

  1. 包过滤防火墙
    工作在网络层(OSI第三层),检查IP地址、端口和协议类型,速度快但无法识别应用层内容。

    allow src_ip=192.168.1.0/24 dst_port=80 proto=TCP

  2. 应用层防火墙(代理防火墙)
    工作在应用层(OSI第七层),深度检测HTTP/FTP等协议内容,安全性高但性能开销大。

  3. 状态检测防火墙
    跟踪连接状态(如TCP握手),动态允许已建立的连接通过,适用于现代网络环境。

  4. 下一代防火墙(NGFW)
    集成入侵检测(IDS)、VPN支持、应用程序识别等功能,提供更全面的防护。

  5. 代理防火墙
    作为中间代理处理网络请求,完全隔离内外网直接通信。

  6. 云防火墙
    专为云环境设计的虚拟化防火墙服务,提供弹性防护能力。

  7. 个人防火墙
    安装在终端设备上的软件防火墙,主要保护单个主机安全。

iptables 

iptables 是 Linux 系统上用于配置网络包过滤规则的工具,基于 Netfilter 框架。它通过定义规则链(Chains)和规则(Rules)来控制数据包的流动。

主要链(Chains)

  • INPUT:处理进入本机的数据包。
  • OUTPUT:处理从本机发出的数据包。
  • FORWARD:处理经过本机转发的数据包。
  • PREROUTING(NAT):修改目标地址(DNAT)。
  • POSTROUTING(NAT):修改源地址(SNAT)。

常用表(Tables)

  • filter:默认表,用于包过滤。
  • nat:用于网络地址转换。
  • mangle:修改数据包头部信息。

iptables 基本语法

iptables -t <表名> <操作> <链名> <匹配条件> -j <动作>
  • -t:指定表(默认为 filter)。
  • -A:追加规则到链尾。
  • -I:插入规则到链头。
  • -D:删除规则。
  • -j:指定动作(ACCEPTDROPREJECTLOG)。

基本防火墙规则

允许 SSH 连接(端口 22)

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许本地回环流量

iptables -A INPUT -i lo -j ACCEPT  
iptables -A OUTPUT -o lo -j ACCEPT

拒绝所有其他入站流量

iptables -A INPUT -j DROP

NAT 与端口转发

启用 IP 转发(需修改 /etc/sysctl.conf

echo 1 > /proc/sys/net/ipv4/ip_forward

将外部 8080 端口转发到内部服务器的 80 端口

iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80  
iptables -t nat -A POSTROUTING -j MASQUERADE

限速与连接限制

限制单个 IP 的并发连接数(防止 DDOS)

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 -j REJECT

限制 HTTP 请求速率(每秒 10 个请求)

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/second -j ACCEPT  
iptables -A INPUT -p tcp --dport 80 -j DROP

日志记录

记录被拒绝的 SSH 尝试

iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH DROPPED: "  
iptables -A INPUT -p tcp --dport 22 -j DROP

日志会保存在 /var/log/messages/var/log/syslog

保存与恢复规则

保存规则到文件

iptables-save > /etc/iptables.rules

恢复规则

iptables-restore < /etc/iptables.rules

开机自动加载(Ubuntu/Debian)

apt install iptables-persistent  
netfilter-persistent save

高级匹配条件

匹配 MAC 地址

iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j DROP

匹配时间段(例如晚上 10 点到早上 6 点)

iptables -A INPUT -p tcp --dport 22 -m time --timestart 22:00 --timestop 06:00 -j DROP

调试技巧

查看所有规则

iptables -L -v -n

清空所有规则

iptables -F  
iptables -t nat -F  
iptables -t mangle -F

删除自定义链

iptables -X

通过以上示例和语法,可以灵活配置 iptables 实现防火墙、NAT、流量控制等功能。

Linux—iptables防火墙
A6985HG的博客
07-30 2341
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
iptables 防火墙
2501_91344566的博客
04-17 1269
在 Linux 系统中,iptables 作为一款强大的防火墙工具,因其高度的灵活性和强大的功能,被广泛用于保护服务器免受未经授权的访问和恶意攻击。iptables 不仅能够在网络层对 TCP/IP 数据包进行精细的过滤和限制,还能够通过其复杂的规则系统实现多种网络策略。
linux iptables 防火墙管理
lihui12356的博客
09-11 1266
硬件防火墙 ---------功能强大、性能好、但是成本高软件防火墙 ---------系统防火墙 iptables、firewalld、ufw(ubantu)iptables防火墙 是Linux系统防火墙的一种 Centos7以前版本系统的默认防火墙
iptables防火墙规则
XMYX-0
12-29 2005
iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。用于过滤数据包,决定是否允许或拒绝数据包通过。用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。用于修改数据包的特定字段,如 TTL(生存时间)。用于配置连接跟踪表规则。
iptables 防火墙配置指南
Maomao_op_nger的博客
07-28 850
iptables配置
系统安全iptables防火墙
EsDeath_99的博客
06-17 1218
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
iptables防火墙总结
热门推荐
weixin_45190065的博客
08-31 1万+
最全iptables防火墙总结
Linux - iptables防火墙
2401_85983616的博客
09-12 1544
iptables防火墙是Linux系统防火墙的一种,实际上由两个组件netfilter和iptables组成。netfilters与iptables的关系:netfilter:属于“内核态”的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下。
iptables防火墙详解
2401_87322981的博客
12-07 1214
检查iptables状态在开始配置iptables之前,首先要确保iptables服务是否已启动并检查当前的规则。查看iptables服务状态此命令会显示iptables服务是否正在运行。查看当前iptables规则此命令列出当前生效的iptables规则。若未安装iptables或无配置规则,可能不会显示任何内容。安装iptables如果服务器上未安装iptables,可以使用以下步骤进行安装。下载iptables安装包:通过wget命令下载所需的安装包。安装iptables
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
使用 Python 进行检测编程
jkh920184196的博客
09-17 683
此外,Magna-Power 对可编程仪器标准命令 (SCPI) 的广泛支持意味着该公司的产品可以通过简单、直观的命令在 Python 中轻松控制。Magna-Power 的产品支持多种不同的通信接口,包括:RS-232、TCP/IP 以太网、USB、RS-485 和 IEEE-488 GPIB。在最后一个深入的示例中,xGen MagnaDC 电源被编程为使用从逗号分隔值 (.csv) 文件读取的设定点和时间对电池进行放电,使用产品的高精度测量命令测量直流输入,然后提供测量数据与时间的关系图。
LVS详解:构建高性能Linux负载均衡集群
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
09-19 756
LVS详解:构建高性能Linux负载均衡集群
网络环路:成因、影响与防环机制深度解析
最新发布
huanhuanzhou blog
09-19 632
网络环路作为一种常见的网络故障现象,轻则导致网络性能下降,重则造成带宽耗尽、数据丢失甚至整个网络瘫痪。建议建立"配置变更-模拟测试-生产部署"的标准化流程,并在关键链路部署环路保护功能(如华为设备的Loopback Detection),可显著降低环路发生概率。典型场景是三台交换机组成三角拓扑互联时,未启用生成树协议(STP)的情况下,广播帧会在环路中无限泛洪。未来随着SDN、AI运维等新技术普及,网络环路的预防将从事后处置向事前预测演进,最终实现网络架构的智能自愈与高可用保障。
spring通过Spring Integration实现tcp通信
weixin_49990593的博客
09-16 868
Spring Integration TCP 模块主要提供了以下组件:连接工厂 (): 负责创建和管理 TCP 连接。分为客户端 () 和服务端 () 两种类型通道适配器 (): 用于单向通信。入站适配器 (): 接收 TCP 数据并通过通道发送到应用。出站适配器 (): 将消息载荷通过 TCP 连接发送出去。消息网关 (Gateway): 用于请求-响应模式的双向通信。入站网关 (): 处理来自客户端的请求并返回响应。出站网关 (): 向服务器发送请求并等待响应。
物联网智能网关配置教程:实现注塑机数据经基恩士PLC上传至云平台
2501_90840544的博客
09-16 1035
随着制造业向智能化、信息化方向快速发展,注塑车间作为塑料制品制造的核心环节,面临着设备协议多样、数据孤岛严重、系统集成困难等问题。通过该网关,企业不仅实现了注塑机与PLC之间的高效通信,也为后续智能制造、数据分析与系统优化打下了坚实基础。· 添加基恩士 KV-8000 PLC 作为从站设备,输入其 IP 地址与端口号(默认502);· 添加注塑机作为 OPC UA 服务器,输入其 IP 地址与端口号(默认4840);· 在“数据映射表”中,将 OPC UA 数据与 Modbus 寄存器进行关联;
《Java网络编程》第一章:基本网络概念
Muyu1uz的博客
09-18 737
有些计算机(特别是服务器)有固定的地址,其他计算机(局域网和无线连接上的客户端)可能每次启动时会收到不同的地址,通常由DHCP服务器提供。基于NAT的网络中,大多数节点只有不可路由的本地地址,将本地网络连接到ISP的路由器会把这些本地地址转换为更小的一组可路由的地址。向用户传送数据,它下面三层的操作共同确定了一个数据如何从一个计算机传送到另一个计算机上,确定了数据传输后的操作。位于Internet和本地网络之间的一些硬件和软件会检查所有进出的数据,以确保其合法性,这就称为防火墙。,对应用层协议非常了解。
[iOS] 网络 - AFNetWorking
2501_91494333的博客
09-18 611
AFNetworking 是一套适用于 iOS,macOS,watchOS 的一个网络库。AFNetworking2.0 之后的版本构建在基于 NSURLSession 的 FoundationURL 加载系统之上。AFNetworking 拓展了 Cocoa 内置的强大的高级网络抽象。
Trunk的配置
fuhao0748的博客
09-18 1170
下,使用interface<接口>命令进入接口,使用port link-type trunk命令将接口设置为中继模式(用于传输多个VLAN的流量),然后使用port trunk allow-pass vlan 10 20命令配置trunk链路只允许vlan 10、20的数据通过,然后使用port trunk pvid vlan 1命令配置接口的缺省vlan(当接口转发不带标签的帧时,配置此命令会携带对应的缺省vlan标签)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值