Linux防火墙-白红宇

Linux防火墙

阅读量：5234 次

发布时间：2019-06-14

本文共 2640 字，大约阅读时间需要 8 分钟。

　　Linux系统中,防火墙(Firewall),网址转换(NAT),数据包(package)记录,流量统计,这些功能是由Netfilter子系统所提供的，而iptables是控制Netfilter的工具。iptables将许多复杂的规则组织成成容易控制的方式，以便管理员可以进行分组测试，或关闭、启动某组规则。

　　1、5个链

　　2、4个表

　　执行的先后顺序为：raw > mangle > nat > filter

　　filter（过滤）可以放在INPUT、OUTPUT、FORWORD上

　　nat（地址转换）可以放在PREROUTING、POSTROUTING、OUTPUT

　　mangle（修改报文中的数据）可以放在PREROUTING、INPUT、OUTPUT、FORWORD、POSTROUTING

　　raw（对报文不做任何修改）可以放在PREROUTING、OUTPUT

　　表是规则的集合组,每个表中的规则条目是按顺序匹配的,你可以在数据包经过的不同环节设置规则,表的处理优先级：raw > mangle > nat > filter

　　3、iptables命令

　　　　（1）选项

-t
     <表>
      ：指定要操纵的表； -A：向规则链中添加条目(插入尾部)； -D：从规则链中删除条目； -I：向规则链中插入条目（）； -R：替换规则链中的条目； -L：显示规则链中已有的条目； -X：删除一个自定义的空链；-F：清楚规则链中已有的条目； -Z：清空规则链中的数据包计算器和字节计数器； -N：创建新的用户自定义规则链； -P：定义规则链中的默认策略； -h：显示帮助信息； -d：指定目标地址 -p：指定要匹配的数据包协议类型； -s：指定要匹配的数据包源ip地址； -j
      <目标>
       ：指定要跳转的目标； -i
       <网络接口>
        ：指定数据包进入本机的网络接口； -o
        <网络接口>
         ：指定数据包要离开本机所使用的网络接口。

　　　　（2）命令输入顺序

　　　　iptables -t 表名（raw、rawmangle、nat、filter） <-A/I/D/R> 规则链名（PREROUTING、INPUT、OUTPUT、FORWORD、POSTROUTING） [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作（ACCEPT、DROP、REDIRECT、SNAT、DNAT、MASQUERADE）

　　　　（3）动作

ACCEPT：接收数据包。 DROP：丢弃数据包。 REDIRECT：重定向、映射、透明代理。 SNAT：源地址转换。 DNAT：目标地址转换。 MASQUERADE：IP伪装（NAT），用于ADSL。 LOG：日志记录。MARK:打标记

　　　　（4）范例

#让OUTPUT链默认规则为关闭[root@localhost ~]# iptables -P OUTPUT DROP#清除已有的规则[root@localhost ~]# iptables -F[root@localhost ~]# iptables -X[root@localhost ~]# iptables -Z#允许本地回环接口(即运行本机访问本机) [root@localhost ~]# iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许已建立的或相关连的通行 [root@localhost ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许所有本机向外的访问 [root@localhost ~]# iptables -A OUTPUT -j ACCEPT #允许访问22端口 [root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问80端口 [root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许ftp服务的21端口 [root@localhost ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT#允许FTP服务的20端口 [root@localhost ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT#禁止其他未允许的规则访问[root@localhost ~]# iptables -A INPUT -j reject #禁止其他未允许的规则访问 [root@localhost ~]# iptables -A FORWARD -j REJECT #屏蔽单个IP的命令 [root@localhost ~]# iptables -I INPUT -s 123.45.6.7 -j DROP#封整个段即从123.0.0.1到123.255.255.254的命令 [root@localhost ~]# iptables -I INPUT -s 123.0.0.0/8 -j DROP#封IP段即从123.45.0.1到123.45.255.254的命令  [root@localhost ~]# iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即从123.45.6.1到123.45.6.254的命令 [root@localhost ~]# iptables -I INPUT -s 123.45.6.0/24 -j DROP#查看规则标记[root@localhost ~]# iptables -L -n --line-number#删除某个规则[root@localhost ~]# iptables -D INPUT 1

转载于:https://www.cnblogs.com/gongdaohai/p/7089871.html

你可能感兴趣的文章

139团队（大型研发团队，大型敏捷开发团队，大型团队结构，敏捷绩效管理）...