云主机云服务器

 美国服务器linux防火墙添加端口过滤

 一.iptables的安装：yum -y install iptables

 iptables开机自启动：chkconfig iptables on

 iptables启动:/etc/init.d/iptables start

 iptables关闭:/etc/init.d/iptables stop

 iptables的状况查看：chkconfgi --list | grep iptables

 iptables的配置文件：/etc/sysconfig/iptables

 二.防火墙基础：

 1.防火墙策略一般分为两种，一种叫“通”策略，一种叫“堵”策略，通策略，默认门是关着的，必须要定义谁能进。堵策略则是，大门是洞开的，但是你必须有身份认证，否则不能进。所以我们要定义，让进来的进来，让出去的出去，所以通，是要全通，而堵，则是要选择。

 2.iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。

 3.表（tables）提供特定的功能，iptables内置了4个表，即filter表、nat表、mangle表和raw表，每个表的功能如下：

 1.)filter：定义允许或者不允许的

 2.)nat ：定义地址转换的

 3.)mangle：修改报文原数据

 4.）raw：数据跟踪处理上

 我们修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开，在里面做标记/修改内容的。而防火墙标记，其实就是靠mangle来实现的。

 4.链（chains）是数据包传播的路径，每一条链其实就是众多规则中的一个检查清单，每一条链中可以有一条或数条规则。当一个数据包到达一个链时，iptables就会从链中第一条规则开始检查，看该数据包是否满足规则所定义的条件。如果满足，系统就会根据该条规则所定义的方法处理该数据包；否则iptables将继续检查下一条规则，如果该数据包不符合链中任一条规则，iptables就会根据该链预先定义的默认策略来处理数据包。

 5.小扩展:

 对于filter表来讲一般只能做在3个链(chain)上：INPUT ，FORWARD ，OUTPUT

 对于nat表来讲一般也只能做在3个链(chain)上：PREROUTING ，OUTPUT ，POSTROUTING

 对于mangle表则是5个链(chain)都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

 6.当一个数据包进入时：

 ① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。

 ② 如果数据包就是进入本机的，它就会沿着向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。

 ③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。

 三.iptables命令格式

 iptables的命令格式较为复杂，一般的格式如下：

 iptables [-t table] 命令 [chain] [rules] [-j target]

 table——指定表明

 命令——对链的操作命令

 chain——链名

 rules——规则

 target——动作如何进行

 1．表选项

 表选项用于指定命令应用于哪个iptables内置表，iptables内置包括filter表、nat表、mangle表和raw表。

 2．命令选项iptables命令格式(command)

 命令 说明

 -P或–policy <链名> 定义默认策略

 -L或–list <链名> 查看iptables规则列表

 -A或—append <链名> 在规则列表的最后增加1条规则

 -I或–insert <链名> 在指定的位置插入1条规则

 -D或–delete <链名> 从规则列表中删除1条规则

 -R或–replace <链名> 替换规则列表中的某条规则

 -F或–flush <链名> 删除表中所有规则

 -Z或–zero <链名> 将表中数据包计数器和流量计数器归零

 3．匹配选项(paraameters参数选项)

 匹配 说明

 -i或–in-interface <网络接口名> 指定数据包从哪个网络接口进入，如ppp0、eth0和eth1等

 -o或–out-interface <网络接口名> 指定数据包从哪块网络接口输出，如ppp0、eth0和eth1等

 -p或—proto协议类型 < 协议类型> 指定数据包匹配的协议，如TCP、UDP和ICMP等

 -s或–source <源地址或子网> 指定数据包匹配的源地址

 –sport <源端口号> 指定数据包匹配的源端口号，可以使用“起始端口号:结束端口号”的格式指定一个范围的端口

 -d或–destination <目标地址或子网> 指定数据包匹配的目标地址

 –dport目标端口号 指定数据包匹配的目标端口号，可以使用“起始端口号:结束端口号”的格式指定一个范围的端口

 4．动作选项

 动作 说明

 ACCEPT 接受数据包

 DROP 丢弃数据包

 REDIRECT 与DROP基本一样，区别在于它除了阻塞包之外， 还向发送者返回错误信息。

 SNAT 源地址转换，即改变数据包的源地址

 DNAT 目标地址转换，即改变数据包的目的地址

 MASQUERADE IP伪装，即是常说的NAT技术，MASQUERADE只能用于ADSL等拨号上网的IP伪装，也就是主机的IP是由ISP分配动态的；如果主机的IP地址是静态固定的，就要使用SNAT

 LOG 日志功能，将符合规则的数据包的相关信息记录在日志中，以便管理员的分析和排错

 Iptables命令格式

 Iptables过滤条件

 四.iptables的语法

 iptables定义规则的方式比较复杂:

 格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION

 -t table ：3个filter nat mangle

 COMMAND：定义如何对规则进行管理

 chain：指定你接下来的规则到底是在哪个链上操作的，当定义策略的时候，是可以省略的

 CRETIRIA:指定匹配标准

 -j ACTION :指定如何进行处理

 五.实战演练——指定对端口的开放

 1. Iptables查看现在都有那些规则，或者直接访问:vi /etc/sysconfig/iptables

 通过上图，我们发现linux主机对所有的链INPUT/FORWARD/OUTPUT是允许访问的。

 2.关闭所有的INPUT/FORWARD/OUTPUT只对某些端口开放.

 iptables -P INPUT DROP

 iptables -P FORWARD DROP

 iptables -P OUTPUT DROP

 3.关闭之后发现我的SecureCRT不能登陆到字符界面了，那么现在来开通22端口。

 Iptables -A INPUT -p TCP --dport 22 -j ACCEPT

 Iptables -A OUTPUT -p TCP --Sport 22 -j ACCEPT

 4打开80端口，否则其他人无法访问网站

 Iptables -A INPUT -p TCP --dport 80 -j ACCEPT

 Iptables -A OUTPUT -p TCP --Sport 80 -j ACCEPT

 5.我想ping 一下蓝队网络的域名发现不同，这是因为DNS对应的端口是53以及使用的协议是UDP的。

 iptables -A OUTPUT -p UDP --sport 53 -j ACCEPT 开放出源端口53

 iptables -A INPUT -p UDP --dport 53 -j ACCEPT 开放进目标端口53

 iptables -A INPUT -p UDP --sport 53 -j ACCEPT

 6.设置好后记得保存一下。

 service iptables save

 购买使用一诺网络美国云服务器，可以极大降低初创企业、中小企业以及个人开发者等用户群体的整体IT使用成本，无需亲自搭建基础设施、简化了运维和管理的日常工作量，使用户能够更专注于自身的业务发展和创新。美国云服务器低至49元/月，购买链接：https://www.enuoidc.com/vpszq.html?typeid=3