投稿
  1. 簡單一點首頁
  2. 編程

CentOS7 iptables配置詳解

小藍 編程

一、iptables簡介

iptables是一個基於Linux內核的防火牆工具,通過過濾和修改網路數據包來達到網路安全控制的目的。

CentOS7默認使用firewalld作為防火牆管理工具,但iptables仍是一種被廣泛使用的替代方案。本文將介紹在CentOS7中如何使用iptables進行防火牆的配置。

二、iptables基礎命令

iptables的基礎命令包括:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT  #添加一個允許SSH連接的規則
iptables -A INPUT -j DROP  #添加一個拒絕所有其他TCP流量的規則
iptables-save > /etc/sysconfig/iptables  #將iptables配置保存到文件中

其中,-A表示添加規則,-p表示協議,–dport表示目標埠,-j表示操作(ACCEPT表示允許,DROP表示拒絕)。

最後一條命令將iptables配置保存到文件中,這樣在重啟系統後,iptables配置也能生效。

三、iptables配置文件

iptables配置文件位於/etc/sysconfig/iptables,它由一些條目組成,每個條目定義了一條iptables規則。

下面是一個簡單的iptables配置文件:

# Generated by iptables-save v1.4.21 on Sat Feb  8 22:01:11 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

其中,filter是iptables的表類型,定義了表中的規則鏈(INPUT、FORWARD和OUTPUT)。每個規則鏈由一組規則組成,如-A INPUT表示在INPUT規則鏈中添加一條規則。規則的-m選項表示使用特定的擴展模塊,如m state用於狀態匹配。

四、iptables實際應用

(一)開啟SSH連接

為了遠程訪問伺服器,需要開啟SSH連接。在iptables中添加一條允許SSH連接的規則,如下所示:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

這條規則將允許TCP流量通過22埠,表示允許SSH連接。

(二)限制HTTP訪問

為了限制HTTP訪問,需要拒絕所有不必要的HTTP流量和禁止入站HTTP訪問。

iptables -A INPUT -p tcp --dport 80 -j DROP  #拒絕所有HTTP流量
iptables -A OUTPUT -p tcp --dport 80 -j DROP  #拒絕所有HTTP流量
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT  #僅允許入站HTTP訪問

這些規則將拒絕所有80埠的流量(即HTTP流量),並允許入站HTTP訪問。

(三)禁止ping

在某些情況下,可能需要禁止ping(ICMP)流量,以提高伺服器的安全性。

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP

這些規則將拒絕所有入站ping請求和所有出站ping回復。

(四)設置防火牆策略

設置防火牆策略是很常見的一種iptables應用。下面是一個簡單的iptables配置,它允許SSH和HTTP訪問,拒絕所有其他連接:

# 允許SSH連接
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 允許HTTP訪問
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# 拒絕所有其他連接
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

其中,-P選項表示設置規則鏈的默認策略,DROP表示拒絕。

五、總結

iptables是一種強大的防火牆工具,在CentOS7中被廣泛使用。本文介紹了iptables基礎命令、配置文件、以及網路安全實踐中常見的應用場景。希望這篇文章能對讀者理解iptables配置和使用提供一些幫助。

原創文章,作者:小藍,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/311086.html

(0)
打賞 微信掃一掃 微信掃一掃 支付寶掃一掃 支付寶掃一掃
小藍的頭像小藍
0 0
上一篇 2025-01-05 13:23
下一篇 2025-01-05 13:23

相關推薦

  • Linux sync詳解

    一、sync概述 sync是Linux中一個非常重要的命令,它可以將文件系統緩存中的內容,強制寫入磁碟中。在執行sync之前,所有的文件系統更新將不會立即寫入磁碟,而是先緩存在內存…

    BPORF的頭像 BPORF
    編程 2025-04-25

  • 神經網路代碼詳解

    神經網路作為一種人工智慧技術,被廣泛應用於語音識別、圖像識別、自然語言處理等領域。而神經網路的模型編寫,離不開代碼。本文將從多個方面詳細闡述神經網路模型編寫的代碼技術。 一、神經網…

    XNBEQ的頭像 XNBEQ
    編程 2025-04-25

  • 詳解eclipse設置

    一、安裝與基礎設置 1、下載eclipse並進行安裝。 2、打開eclipse,選擇對應的工作空間路徑。 File -> Switch Workspace -> [選擇…

    QWCOK的頭像 QWCOK
    編程 2025-04-25

  • nginx與apache應用開發詳解

    一、概述 nginx和apache都是常見的web伺服器。nginx是一個高性能的反向代理web伺服器,將負載均衡和緩存集成在了一起,可以動靜分離。apache是一個可擴展的web…

    TFXRP的頭像 TFXRP
    編程 2025-04-25

  • MPU6050工作原理詳解

    一、什麼是MPU6050 MPU6050是一種六軸慣性感測器,能夠同時測量加速度和角速度。它由三個感測器組成:一個三軸加速度計和一個三軸陀螺儀。這個組合提供了非常精細的姿態解算,其…

    AINVH的頭像 AINVH
    編程 2025-04-25

  • Python安裝OS庫詳解

    一、OS簡介 OS庫是Python標準庫的一部分,它提供了跨平台的操作系統功能,使得Python可以進行文件操作、進程管理、環境變數讀取等系統級操作。 OS庫中包含了大量的文件和目…

    QOCNF的頭像 QOCNF
    編程 2025-04-25

  • Python輸入輸出詳解

    一、文件讀寫 Python中文件的讀寫操作是必不可少的基本技能之一。讀寫文件分別使用open()函數中的’r’和’w’參數,讀取文件…

    LEJKS的頭像 LEJKS
    編程 2025-04-25

  • Java BigDecimal 精度詳解

    一、基礎概念 Java BigDecimal 是一個用於高精度計算的類。普通的 double 或 float 類型只能精確表示有限的數字,而對於需要高精度計算的場景,BigDeci…

    EPJFU的頭像 EPJFU
    編程 2025-04-25

  • git config user.name的詳解

    一、為什麼要使用git config user.name? git是一個非常流行的分散式版本控制系統,很多程序員都會用到它。在使用git commit提交代碼時,需要記錄commi…

    SGKGI的頭像 SGKGI
    編程 2025-04-25

  • Linux修改文件名命令詳解

    在Linux系統中,修改文件名是一個很常見的操作。Linux提供了多種方式來修改文件名,這篇文章將介紹Linux修改文件名的詳細操作。 一、mv命令 mv命令是Linux下的常用命…

    HCOQE的頭像 HCOQE
    編程 2025-04-25

發表回復

登錄後才能評論