一步一步的学会使用liunx iptables防火墙的用法

Liunx操作系统 10/24 阅读 10793 views次 人气 0
摘要:

Liunx iptables防火墙的作用,创建过滤(filter)与NAT规则,Linux发行版都支持iptables。学会iptables配置能够有效地管理Linux防火墙,会使你的机器变得更加安全。

iptables的结构:iptables -> 表(Tables) -> 链(Chains) -> 规则(Rules)


四种表:Filter、NAT、Mangle、Raw内建表。

1、Filter表,默认表,有3种内建链,INPUT链、OUTPUT链、FORWARD链。

INPUT链,处理来自外部的数据。

OUTPUT链,处理向外发送的数据。

FORWARD链,将数据转发到本机的其他网卡设备上。

2、NAT表,有3种内建链,PREROUTING链、POSTROUTING链、OUTPUT链。

PREROUTING链,处理刚到达本机并在路由转发前的数据包,它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。

POSTROUTING链,处理即将离开本机的数据包,它会转换数据包中的源IP地址(source ip address),通常用于SNAT(source NAT)。

OUTPUT链,处理本机产生的数据包。

3、Mangle表,用于指定如何处理数据包,能改变TCP头中的QoS位。

5种内建链:PREROUTING、OUTPUT、FORWARD、INPUT、POSTROUTING

4、Raw表,处理异常

2种内建链:PREROUTING、OUTPUT


查看状态:service iptables status


列出4种内建表的规则:

Filter表:

iptables --list

iptables -t filter --list

NAT表:

iptables -t nat --list 

Mangle表:

iptables -t mangle --list

Raw表:

iptables -t raw --list


内建表的规则,输出列字段:

1、target,

2、prot,协议:tcp, udp, icmp等。

3、source,数据包的源IP地址。

4、dest,数据包的目标IP地址。

5、dport:目的端口 

6、sport:来源端口


iptables -L

参数:-L是list的缩写,列出规则。

查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。


允许访问SSH的22端口配置:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT


查看iptables列表:

iptables -L

iptables -L -n

参数:-L是list的缩写,列出规则。

清除Filter表中所有链的所有规则:

iptables -F 


配置拒绝访问8080端口:

iptables -A INPUT -p tcp --dport 9080 -j DROP
iptables -A OUTPUT -p tcp --sport 9080 -j DROP

-A chain – 指定要追加规则的链 

-p 协议(protocol) 

-s 源地址(source) 

-d 目的地址(destination) 

-j 执行目标(jump to target),代表"jump to target"


iptables的动作:ACCEPT、DROP、REJECT

动作:ACCEPT

一旦包满足了指定的匹配条件,就会被ACCEPT,并且不会再去匹配当前链中的其他规则或同一个表内的其他规则,但它还要通过其他表中的链。

动作:DROP

如果包符合条件,这个target就会把它丢掉,也就是说包的生命到此结束,不会再向前走一步,效果就是包被阻塞了。在某些情况下,这个target会引起意外的结果,因为它不会向发送者返回任何信息,也不会向路由器返回信息,这就可能会使连接的另一方的sockets因苦等回音而亡。

动作:REJECT

REJECT和DROP基本一样,区别在于它除了阻塞包之外,还向发送者返回错误信息。现在,此target还只能用在INPUT、FORWARD、OUTPUT和它们的子链里,而且包含REJECT的链也只能被它们调用,否则不能发挥作用。它只有一个选项,是用来控制返回的错误信息的种类的。


实践参考资料:

http://www.what21.com/sys/view/liunx_centos_1476930018956.html

http://www.what21.com/sys/view/84_1_1476862831621.html

http://www.what21.com/sys/view/84_1_1476868727181.html

http://www.what21.com/sys/view/84_1_1476966839503.html


评论

该文章不支持评论!

分享到: