精华内容
下载资源
问答
  • 1、修改/etc/vsftpd/vsftpd.conf的配置文件,在文件末端添加: 代码如下:pasv_max_port=6666pasv_min_port=5555/etc/init.d/vsftpd restart 2、添加一条防火墙规则 代码如下:/etc/init.d/iptables stopiptables -I ...
  • iptables配置实例

    2018-05-25 10:53:08
    (注意:IPtables策略最好写成脚本运行,修改时只需修改脚本文件即可)#!/bin/bashexport IPTABLES=/sbin/iptablesexport ETH0=enp3s0#清除所有规则$IPTABLES -F$IPTABLES -X#设定规则$IPTABLES -P INPUT DROP #不...

    (注意:IPtables策略最好写成脚本运行,修改时只需修改脚本文件即可)

    #!/bin/bash

    export IPTABLES=/sbin/iptables
    export ETH0=enp3s0

    #清除所有规则
    $IPTABLES -F
    $IPTABLES -X

    #设定规则
    $IPTABLES -P INPUT DROP   #不在此规则里的数据包丢弃
    $IPTABLES -P OUTPUT ACCEPT

    # 开启本地环路,使得ping 127.0.0.1这样的包以通过。php-fpm的[http://127.0.0.1:9000](http://127.0.0.1:9000/)可以使用
    iptables -A INPUT -i lo -j ACCEPT

    # 允许自己发送包的返回通信,不开启这个,机器上面使用ping www.google.com这样的无法拼通
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #添加规则
    $IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 53 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 80 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH0 -p udp -s 192.168.1.0/24 --dport 137 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH0 -p udp -s 192.168.1.0/24 --dport 138 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 139 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 445 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH0 -p icmp -s 192.168.1.0/24 -j ACCEPT

    $IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 10050 -j ACCEPT
    $IPTABLES -A INPUT -i $ETH0 -p tcp -s 192.168.1.0/24 --dport 10051 -j ACCEPT

    展开全文
  • iptables配置-场景2

    2018-12-19 21:16:20
    iptables 配置2 需求: 1, ftp 主动模式下iptables规则设置 ...主动模式需要修改配置文件 port_enable=yes connect_from_port_20=YES iptables 要开启21端口的访问权限 #! /bin/bash ipatbles -...

    iptables 配置2

    需求:
    1, ftp 主动模式下iptables的规则设置
    2, ftp被动模式下的iptables规则设置

    ftp的主动模式:
    主动模式是ftp服务端主动向客户端发送数据
    在这里插入图片描述

    主动模式需要修改配置文件
    port_enable=yes
    connect_from_port_20=YES

    iptables 要开启21端口的访问权限

    #! /bin/bash

    ipatbles -I INPUT -p tcp -dport 21 -j ACCEPT
    iptables -I INPUT -p tcp -dport 22 -j ACCEPT
    iptables -I INPUT -p icmp -j ACCEPT
    iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -j REJECT

    ftp被动模式:
    客户端向服务器发出请求,服务端才发送数据
    在这里插入图片描述

    ftp配置文件需要开启高端口范围
    配置文件
    pasv_min_port=50000
    pasv_max_port=60000

    #! /bin/bash
    iptables -I INPUT -p tcp --dport 21 -j ACCEPT
    iptables -I INPUT -p tcp --dports 50000:60000 -j ACCEPT

    通过内核连接追踪模块来使用ftp被动模式
    配置文件:/etc/sysconfig/iptables-config

    IPTABLES_MODULES=“nf_conntrack_ftp”

    展开全文
  • 使用iptables程序建立的规则只会保存在内存中,通常我们在修改iptables规则重启 iptables 后,之前修改规则又消失了。那么如何保存新建立的规则呢? 方法1、对于RHEL和ceontos系统可以使用service iptables ...
    保存规则 
    使用iptables程序建立的规则只会保存在内存中,通常我们在修改了iptables的规则重启 iptables 后,之前修改的规则又消失了。那么如何保存新建立的规则呢?
    方法1、对于RHEL和ceontos系统可以使用service iptables save将当前内存中的规则保存到/etc/sysconfig/iptables文件中
    [root@lampbo ~]# service iptables save
    方法2、修改/etc/sysconfig/iptables-config 将里面的IPTABLES_SAVE_ON_STOP="no", 这一句的"no"改为"yes"这样每次服务在停止之前会自动将现有的规则保存在 /etc/sysconfig/iptables 这个文件中去。

    规则示例 
    先回顾下iptables的格式:
    iptables [-t table] command [match] [-j target/jump]
    -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。
    各个规则表的功能如下:
    nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进行一对一、一对多、多对多等网址转换工作(SNAT,DNAT),由于转换的特性,需进行目的地网址转换的数据包,就不需要进行来源网址转换,反之亦然,因此为了提升改写封包的效率,在防火墙运作时,每个封包只会经过这个规则表一次。如果我们把数据包过滤的规则定义在这个数据表里,将会造成无法对同一包进行多次比对,因此这个规则表除了作网址转换外,请不要做其它用途。mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则链。
    除了进行网址转译工作会改写封包外,在某些特殊应用可能也必须去改写数据包(TTL、TOS)或者是设定 MARK(将数据包作记号,以进行后续的过滤),这时就必须将这些工作定义在 mangle 规则表中。
    mangle表主要用于对指定数据包进行更改,在内核版本2.4.18 后的linux版本中该表包含的链为:INPUT链(处理进入的数据包),RORWARD链(处理转发的数据包),OUTPUT链(处理本地生成的数据包)POSTROUTING链(修改即将出去的数据包),PREROUTING链(修改即将到来的数据包)LINUX教程  centos教程
    filter 这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规则链,这个规则表顾名思义是用来进行封包过滤的动作(例如:DROP、 LOG、 ACCEPT 或 REJECT),我们会将基本规则都建立在此规则表中。

    (一)、常用命令示例:
    1、命令 -A, --append
    范例:iptables -A INPUT -p tcp --dport 80 -j ACCEPT
    说明 :新增规则到INPUT规则链中,规则时接到所有目的端口为80的数据包的流入连接,该规则将会成为规则链中的最后一条规则。
    2、命令 -D, --delete
    范例:iptables -D INPUT -p tcp --dport 80 -j ACCEPT
    或    : iptables -D INPUT 1
    说明: 从INPUT规则链中删除上面建立的规则,可输入完整规则,或直接指定规则编号加以删除。
    3、命令 -R, --replace
    范例: iptables -R INPUT 1 -s 192.168.0.1 -j DROP
    说明 取代现行第一条规则,规则被取代后并不会改变顺序。
    4、命令 -I, --insert
    范例:iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT
    说明: 在第一条规则前插入一条规则,原本该位置上的规则将会往后移动一个顺位。
    5、命令 -L, --list
    范例: iptables -L INPUT
    说明:列出INPUT规则链中的所有规则。
    6、命令 -F, --flush
    范例: iptables -F INPUT
    说明: 删除INPUT规则链中的所有规则。
    7、命令 -Z, --zeroLINUX教程  centos教程
    范例:iptables -Z INPUT
    说明 将INPUT链中的数据包计数器归零。它是计算同一数据包出现次数,过滤阻断式攻击不可少的工具。
    8、命令 -N, --new-chain
    范例: iptables -N denied
    说明: 定义新的规则链。
    9、命令 -X, --delete-chain
    范例: iptables -X denied
    说明: 删除某个规则链。
    10、命令 -P, --policy
    范例 :iptables -P INPUT DROP
    说明 :定义默认的过滤策略。 数据包没有找到符合的策略,则根据此预设方式处理。
    11、命令 -E, --rename-chain
    范例: iptables -E denied disallowed
    说明: 修改某自订规则链的名称。

    (二)常用封包比对参数:
    1、参数 -p, --protocol
    范例:iptables -A INPUT -p tcpLINUX教程  centos教程
    说明:比对通讯协议类型是否相符,可以使用 ! 运算子进行反向比对,例如:-p ! tcp ,意思是指除 tcp 以外的其它类型,包含udp、icmp ...等。如果要比对所有类型,则可以使用 all 关键词,例如:-p all。
    2、参数 -s, --src, --source
    范例: iptables -A INPUT -s 192.168.1.100
    说明:用来比对数据包的来源IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,例如:-s 192.168.0.0/24,比对 IP 时可以使用!运算子进行反向比对,例如:-s ! 192.168.0.0/24。
    3、参数 -d, --dst, --destination
    范例: iptables -A INPUT -d 192.168.1.100
    说明:用来比对封包的目的地 IP,设定方式同上。
    4、参数 -i, --in-interface
    范例 iptables -A INPUT -i  lo
    说明:用来比对数据包是从哪个网卡进入,可以使用通配字符 + 来做大范围比对,如:-i eth+ 表示所有的 ethernet 网卡,也可以使用 ! 运算子进行反向比对,如:-i ! eth0。这里lo指本地换回接口。
    5、参数 -o, --out-interface
    范例:iptables -A FORWARD -o eth0
    说明:用来比对数据包要从哪个网卡流出,设定方式同上。
    6、参数 --sport, --source-port
    范例:iptables -A INPUT -p tcp --sport 22
    说明:用来比对数据的包的来源端口号,可以比对单一端口,或是一个范围,例如:--sport 22:80,表示从 22 到 80 端口之间都算是符合件,如果要比对不连续的多个端口,则必须使用 --multiport 参数,详见后文。比对端口号时,可以使用 ! 运算子进行反向比对。
    7、参数 --dport, --destination-port
    范例 iptables -A INPUT -p tcp --dport 22
    说明 用来比对封包的目的地端口号,设定方式同上。
    8、参数 --tcp-flags
    范例:iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
    说明:比对 TCP 封包的状态标志号,参数分为两个部分,第一个部分列举出想比对的标志号,第二部分则列举前述标志号中哪些有被设,未被列举的标志号必须是空的。TCP 状态标志号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)PSH(强迫推送) 等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对标志号时,可以使用 ! 运算子行反向比对。
    9、参数 --syn
    范例:iptables -p tcp --syn
    说明:用来比对是否为要求联机之TCP 封包,与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !运算子,可用来比对非要求联机封包。
    10、参数 -m multiport --source-port
    范例: iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 -j ACCEPT
    说明 用来比对不连续的多个来源端口号,一次最多可以比对 15 个端口,可以使用 ! 运算子进行反向比对。
    11、参数 -m multiport --destination-port
    范例 :iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110 -j ACCEPT
    说明:用来比对不连续的多个目的地端口号,设定方式同上。
    12、参数 -m multiport --port
    范例:iptables -A INPUT -p tcp -m multiport --port 22,53,80,110 -j ACCEPT
    说明:这个参数比较特殊,用来比对来源端口号和目的端口号相同的数据包,设定方式同上。注意:在本范例中,如果来源端口号为 80,目的地端口号为 110,这种数据包并不算符合条件。
    13、参数 --icmp-type
    范例:iptables -A INPUT -p icmp --icmp-type 8 -j DROP
    说明:用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。请打 iptables -p icmp --help 来查看有哪些代码可用。这里是指禁止ping如,但是可以从该主机ping出。
    14、参数 -m limit --limit
    范例:iptables -A INPUT -m limit --limit 3/hour
    说明:用来比对某段时间内数据包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次3个数据包。 除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行数据包数量的比对外,设定这个参数也会在条件达成时,暂停数据包的比对动作,以避免因洪水攻击法,导致服务被阻断。
    15、参数 --limit-burst
    范例:iptables -A INPUT -m limit --limit-burst 5
    说明:用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过 5 个(这是默认值),超过此上限的封将被直接丢弃。使用效果同上。
    16、参数 -m mac --mac-source
    范例:iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01 -j ACCEPT
    说明:用来比对数据包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting 规则链上,这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables 在进行封包比对时,并不知道封包会送到个网络接口去。linux基础
    17、参数 --mark
    范例:iptables -t mangle -A INPUT -m mark --mark 1
    说明:用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最不可以超过 4294967296。linux基础
    18、参数 -m owner --uid-owner
    范例:iptables -A OUTPUT -m owner --uid-owner 500
    说明:用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。
    19、参数 -m owner --gid-owner
    范例:iptables -A OUTPUT -m owner --gid-owner 0
    说明:用来比对来自本机的数据包,是否为某特定使用者群组所产生的,使用时机同上。
    20、参数 -m owner --pid-owner
    范例:iptables -A OUTPUT -m owner --pid-owner 78
    说明:用来比对来自本机的数据包,是否为某特定行程所产生的,使用时机同上。
    21、参数 -m owner --sid-owner
    范例: iptables -A OUTPUT -m owner --sid-owner 100
    说明: 用来比对来自本机的数据包,是否为某特定联机(Session ID)的响应封包,使用时机同上。
    22、参数 -m state --state
    范例: iptables -A INPUT -m state --state
    展开全文
  • iptables中SNAT规则设置

    千次阅读 2019-01-11 10:06:33
    iptables NAT规则设置 SNAT场景模拟 客户端和web服务端是无法单独通行的,...在nat server 中,先更改配置文件,/etc/sysctl.conf 中改为 net.ipv4.ip_forward = 1 修改完成后,命令行sysctl -p 让其全部执行生效 ...

    iptables NAT规则设置

    在这里插入图片描述

    SNAT场景模拟
    在这里插入图片描述
    客户端和web服务端是无法单独通行的,nat server 有两块网卡,通过在nat server中设置iptables 规则,使得能进行http请求

    在nat server 中,先更改配置文件,/etc/sysctl.conf 中改为
    net.ipv4.ip_forward = 1
    修改完成后,命令行sysctl -p 让其全部执行生效

    添加iptables转发规则:

    iptables -t nat -A POSTROUTING -s 10.10.177.0/24 -j SNAT --to 10.10.188.232

    在client机器里面加入一条路由,确保所有的数据包都从10.10.177.232中出去
    可以再网卡配置文件里面设置,也可以使用route命令进行设置

    route add 0.0.0.0 gw 10.10.177.232

    在这里插入图片描述

    nat server设置iptables规则

    iptables -t nat -A PREROUTING -d 10.10.188.232 -p tcp --dport 80 -j DNAT --to 10.10.177.233:80

    展开全文
  • iptables防火墙配置

    2013-12-29 12:43:38
    centOS 6.3 ,防火墙配置文件在/etc/sysconfig/iptables ,但这个文件默认没开启防火墙时,是没有的。需新建一个规则,然后save,就有了此文件: #> iptables -A INPUT -p tcp --dport 22 -j ACCEPT #&...
  • 添加防火墙(Firewall/Iptables)规则

    千次阅读 2018-03-21 08:57:16
    1. iptables -- 命令方式添加添加 iptables -I INPUT -p tcp --dport 8080 -j ACCEPT保存 /etc/init.d/iptables save重启 service iptables restart检查 /etc/init.d/iptables status -- 修改配置文件添加 /etc/...
  • iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables ...
  • 直接使用iptables命令修改防火墙配置的时候,防火墙规则只是保存在内存中,重启后就会失效。 1、一种最简单的方式是在修改防火墙陪之后,再使用service iptables save命令将防火墙配置保存起来; 使用该命令会将...
  • 起初找到这个配置文件,位于sys/module/xt_recent/parameters目录下,由于是内核级模块,在root下也没有权限直接修改,因此需要用以下办法。 首先先清理iptables的现有规则(记得备份现有规则)。 iptables -F ...
  • 于是去ftp主机上检查问题,ftp的配置文件没有改动,端口监听也正常。telnet也可以通。但是用网页,或者winscp 访问是无法连接。后来谷歌后,发现ftp的iptables 规则比其它应用不太像,有点特别。需要特别的修改下...
  • iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables ...
  • 于是去ftp主机上检查问题,ftp的配置文件没有改动,端口监听也正常。telnet也可以通。但是用网页,或者winscp 访问就是无法连接。后来谷歌后,发现ftp的iptables 规则比其它应用不太像,有点特别。需要特别的修改下...
  • linux 修改防火墙配置

    2017-07-11 10:52:37
    防火墙配置文件路径: /etc/sysconfig/iptables 开放端口需要在此配置文件增加一条规则-A INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT3306 是要开放的端口号,然后重新启动linux的防火墙服务...
  • iptables了解

    2019-07-07 11:46:47
    iptables 原理:对数据包的控制(称为用户空间,使得插入修改出去信息包过滤表中... 服务配置文件: 表 :优先级--raw-->mangle-->nat-->filter filter:包过滤(默认) input链 forward链 output链 ra...
  • <div><p>你好 目前PS4broadcast确实不错,直播效果也很好,...同时iptables也没有任何规则。 请问正常需要如何配置?</p><p>该提问来源于开源项目:Tilerphy/ps4broadcast</p></div>
  • ubuntu iptables模拟防火墙

    千次阅读 2010-12-23 16:07:00
    昨天已经将unbuntu配置为透明...2.将我上面提供的iptables配置文件保存为/var/lib/iptables/saved.std(或类似的)。3.通过输入iptables-restore 然后,如果你稍后觉得想修改某个系统,而不是其他,例如,你可以将sa
  •  修改SSH配置文件:/etc/ssh/sshd_config #找到Port 22,这里是标识默认使用22端口,修改为想要的端口。 Port 22 Port 1234 2、查看iptables 规则 iptables -nvL //查看已经有的规则 more /etc/...
  • 解决iptables重启失效问题

    万次阅读 2017-11-28 15:25:31
    直接使用iptables命令修改防火墙配置的时候,防火墙规则只是保存在内存中,重启后就会失效。一种最简单的方式是在修改防火墙陪之后,再使用service iptables save命令将防火墙配置保存起来;使用该命令会将所有的...
  • iptables与firewall-cmd

    2019-05-26 22:17:32
    (1),修改配置文件: vim /etc/sysconfig/network-scripts/ifcfg-eno16777736 二,,防火墙修改规则 1, Iptables; 1.1,规则链: 路由选择前处理数据包【FREROUTING】 路由选择后处理数据包【POSTROUTING】 处理...
  • CentOS配置防火墙

    2015-06-08 23:48:18
    昨天帮朋友配置CentOS服务器,一开始为了方便测试直接把防火墙关了,之后便需要配置好...修改 iptables-config首先修改iptables-config文件的一个配置项$ vi /etc/sysconfig/iptables-config把文件最后一行IPTABLE
  • 第一部分:常用显示模块介绍 注意:本文所有实例都是在默认规则为DROP下。 # 开放ssh服务端口 iptables -A INPUT -p tcp --dport ...修改SSH配置文件:/etc/ssh/sshd_config #找到Port 22,这里是标识默认使用2...
  • 今天修改 iptables 设定,从严设计,结果启用新规则后发现 ssh 局域网登陆变慢;外网登陆到没问题。 修改 /etc/ssh/sshd_conf 文件, #UseDNS yes 修改为 UseDNS no 保存后重起sshd, service sshd restart ...
  • 防火墙规则

    2019-09-21 13:11:41
    修改ssh端口 vim /etc/ssh/sshd_config 22221 ...配置文件 然后设置防火墙 iptables -A INPUT -p tcp --dport 22221 -j ACCEPT iptables-save systemctl restart iptables #yum i...
  • 【功能】: nagios 实现通过MD5实时监控 iptables 状态,实时监控Iptables,防止人为关闭后,忘了开启,... 实现流程是:首先获取被监控服务器的iptables状态MD5值,保存到nagios服务端配置文件中,服务端通过远程...
  • 首先修改iptables-config文件的一个配置项 $ vi /etc/sysconfig/iptables-config 把文件最后一行IPTABLES_MODULES=”ip_conntrack_ftp” 改为#IPTABLES_MODULES=”ip_conntrack_ftp” ,即注释掉那一行配置项 添加
  • 修改SSH端口为21

    2019-10-04 23:16:06
    在交流群里面有一位兄弟问到能否将ssh端口号修改为21端口,后来经过测试可以设置,具体步骤如下: 一、修改ssh配置文件的默认...二、修改iptables防火墙的规则 #vim /etc/sysconfig/iptables -A INPUT -m s...
  • Linux服务器安装mysql服务之后,此时外部是不能通过3306端口访问的,其原因之一就是...切换到存放配置的目录,编辑防火墙配置文件 cd /etc/sysconfig sudo vim iptables 找到下面这两句话 -A INPUT -m state --st...

空空如也

空空如也

1 2 3 4 5 6
收藏数 114
精华内容 45
关键字:

修改iptables配置文件规则