iptables – Eternal Center

August 21, 2025August 21, 2025

[Content] Linux Internet (IP) protocols (The relationship between IP protocols and numbers)

View /etc/protocols file

# cat /etc/protocols

April 12, 2024April 12, 2024

[内容] iptables 防火墙数据接收情况和发出情况的查看

# iptables -nvL

Chain INPUT (policy ACCEPT 5 packets, 500 bytes)
......
Chain FORWARD (policy DROP 0 packets, 0 bytes)
......
Chain OUTPUT (policy DROP 1000 packets, 200K bytes)
......

（
补充：
1) 这里的 policy ACCEPT 5 packets, 500 bytes 是指接收了 5 个数据包和 500 bytes 流量，ACCEPT 是指接收的状态
2) 这里的 policy DROP 1000 packets, 200K bytes 是指发出了 1000 数据包和 200K bytes 流量。DROP 是拒绝的状态
）

July 28, 2022October 19, 2022

Linux 防范黑客入侵的思路

黑客发现阶段

黑客在入侵前往往会先对整个网络进行扫描，尝试发现我们的系统。在这个阶段我们可以尝试的防范措施有：

1) 关闭 ICMP 协议，让黑客无法通过 ping 发现我们的系统
2) 关闭所有不需要的端口
3) 通过防火墙只让允许访问的 IP 地址访问对应的端口
4) 让防火墙使用 drop 操作丢掉所有没有被允许的访问请求

黑客列举阶段和黑客立足阶段

黑客在发现了我们的系统之后。会根据我们系统和软件的版本，列举不同的破解方法并进行取舍，并最终会选择一种或多种方法进行尝试。在这两个阶段我们可以尝试的防范措施有：

1) 不使用盗版的系统和软件
2) 不使用有漏洞的系统和软件
3) 尽量将所有的系统和软件升级到最新的版本
4) 删除所有非必须的软件
5) 在用户尝试登录系统时，取消显示系统的版本
6) 删除或禁用所有不需要的用户
7) 让所有的用户都使用复杂的密码
8) 定期检查和修改所有用户的密码
9) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
10) 限制错误密码尝试的次数，以防止暴力破解
11) 定期检查系统防火墙策略
12) 定期检查系统开启的所有端口
13) 定期检查系统开启的所有进程
14) 定期查看 /var/log/message 中的尝试登录失败的日志记录

黑客保持持久性阶段

黑客在成功进入系统以后，会尝试为自己下次进入系统准备方法，以让入侵保持持久性。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志

黑客掩盖痕迹阶段

黑客让入侵保持持久性后，会尝试掩盖自己的痕迹。在这个阶段我们可以尝试的防范措施有：

1) 定期检查系统中的所有用户的名称和数量
2) 定期检查系统中所有拥有 root 权限的名称和数量
3) 定期检查和修改所有用户的密码
4) 定期检查和修改所有用户 ~/.ssh/ 目录中的密钥
5) 定期检查系统防火墙策略
6) 定期检查系统开启的所有端口
7) 定期检查系统开启的所有进程
8) 缩小重要文件的权限
9) 定期检查所有用户的登录日志，注意日志的时间是否连贯
10) 通过 auditd 服务监控所有重要配置文件，并定期检查监控日志，注意日志的时间是否连贯

June 9, 2022December 31, 2025

[排错] 解决 Linux 执行 iptables 命令时报错 “iptables: No chain/target/match by that name.”

报错命令

# iptables ......

分析

系统运行的 kernel 内核已经被删除，此 kernel 内核相关的文件集都已经被删除，包括 ko 文件。安装新版本的 kernel 内核，并重启选择新版本的 kernel 内核，就能修复相关 kernel 内核文件集。

解决方法

步骤一：更新 kernel 内核

如果是 Rocky Linux & RHEL：

# yum update kernel*

如果是 openSUSE & SLES：

# zypper update kernel*

步骤二：重启系统

# reboot

April 25, 2022November 24, 2022

[内容] iptables 防火墙规则持久化（让防火墙规则开机自启）

内容一：Rocky Linux & RHEL iptables 防火墙规则持久化

# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

内容二：Rocky Linux & RHEL 和 openSUSE & SUSE iptables 防火墙规则持久化

2.1 导出现在 iptables 防火墙的规则

# iptables-save > /root/iptables_save

（补充：这里以将 iptables 防火墙规则导出到 /root/iptables_save 文件为例）

2.2 创建用于加载 iptables 防火墙规则的 systemctl 管理文件

# vim /etc/systemd/system/iptables_save.service

创建以下内容：

[Unit]
Description=iptables_save
After=default.target

[Service]
Type=oneshot
ExecStart=/usr/sbin/iptables-restore < /root/iptables_save

[Install]
WantedBy=default.target

（补充：这里以创建 systemctl 管理文件 /etc/systemd/system/iptables_save.service 将 /root/iptables_save 文件里的内容导入到 iptables 防火墙为例）

2.3 加载刚刚创建的 systemctl 管理文件

# systemctl daemon-reload

2.4 给刚刚创建的 systemctl 管理文件添加执行权限

# chmod u+x /etc/systemd/system/iptables_save.service

（补充：这里以给 systemctl 管理文件 /etc/systemd/system/iptables_save.service 添加执行权限为例）

2.5 让防火墙规则开机自启

# systemctl enable iptables_save.service

（补充：这里以开机自启 iptables_save.service 服务为例）