iptables 其实不是真正意义上的防火墙,我们可以把它理解成一个客户点代理,用户通过iptables这个代理,将用户的安全设定执行到对应的“安全框架中”,这个安全框架才是真正的的防火墙,这个框架的名字叫netfilter。 netfilter才是防火墙真正的安全框架(framework),netfilter位于内核空间。 iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。 netfilter/iptables(下文中简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables 表 filter表:负责过滤功能,防火墙;内核模块:iptables_filter nat表:network address translation,网络地址转换功能;内核模块:iptable_nat mangle表:拆解报文,做出修改,并重新封装 的功能;iptable_mangle raw表:关闭nat表上启用的连接追踪机制;iptable_raw
centOS7默认防火墙不是iptables,而是firewalle。 通过如下命令检测是否安装iptables和安装iptables service iptables status 提示 service could not be found 为没有安装
1、禁用firewalle# 停止firewalle 服务 systemctl stop firewalle 禁用 firewallesystemctl mask firewalle 启动: systemctl start firewalld 查看状态: systemctl status firewalld 禁用,禁止开机启动: systemctl disable firewalld 2、安装iptables yum install -y iptables 升级yum update iptables 安装 iptables-services yum install iptables-services 3、在实际生产过程中,对iptables命令进行配置 #查看现有iptables 规则 iptables -L -n #先允许所有iptables -P INPUT ACCEPT #清空所有默认规则 iptables -F #清空所有自定义规则 iptables -X #允许来自lo 接口的数据包 某些调用localhost 的应用访问 iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许从其他地方pingiptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT #通过 ipsec vpn 时, MTU需要减少 iptables -A INPUT -p icmp --icmp-type fragmentation-needed -j ACCEPT #允许访问80 端口 443 22 21等 iptables -A INPUT -p tcp --dport 80 -j ACCEPT… #禁止本机主动发出外部链接 有效防止反弹 shell 攻击 iptables -A OUTPUT -j DROP #禁止非开放白名单流量进入 iptables -A INPUT -j DROP #保存命令service iptables save #配置完重启iptables服务 #注册 systemctl enable iptables.service #开启服务 systemctl start iptables.service #查看状态 systemctl status iptables.service #重启防火墙/etc/init.d/iptables restart systemctl restart iptables.service
yum -y install wget 2、下载安装DenyHosts wget ‘https://sourceforge.net/projects/denyhosts/files/denyhosts/2.6/DenyHosts-2.6.tar.gz/download’ -O DenyHosts-2.6.tar.gz 3、解压 tar zxvf DenyHosts-2.6.tar.gz 4、进入安装目录,通过python对服务进行安装 cd DenyHosts-2.6 python setup.py install 5、进入主目录进行配置 cd /usr/share/denyhosts 6、 daemon-control-dist ,denyhosts.cfg-dist 是系统提供的配置模板,将这两个文件复制为配置文件 cp daemon-control-dist daemon-control cp denyhosts.cfg-dist denyhosts.cfg 7、创建链接到初始化文件 ln daemon-control /etc/init.d 启动 /etc/init.d/daemon-control sta 8、配置文件中的几个核心项 /usr/share/denyhosts/denyhosts.cfg ssh root@IP地址 访问
