首页 > 系统相关 >iptables防火墙

iptables防火墙

时间:2023-02-21 14:35:30浏览次数:34  
标签:iptables 防火墙 链中 规则 INPUT 数据包

目录


防火墙是什么

简单来说,防火墙就是:对数据包进行接收,转发,拒绝,丢弃,标记,统计,修改等一系列,防止数据泄露和外界侵入,有过滤数据的功能,能够对访问自己或经过自己的数据报文,按照一定的规则,进行处理的设备。


安装iptables

yum install iptables  iptables-devel iptables-services iptables-utils -y

使用 init 脚本 配合 service 命令 :

cp  /usr/libexec/iptables/iptables.init     /etc/rc.d/init.d/iptables

用service iptables start / stop / save 来进行管理

防火墙规则的保存文件:/etc/sysconfig/iptables

#从当前临时配置的规则,统统写入/etc/sysconfig/iptables 永久保存。
service iptables save

五表五链

iptables的结构是由表(tables)组成,而表(tables)是由链组成,链又是由具体的规则组成。因此我们在编写iptables的规则时,要先指定表,再指定链。表(tables)的作用是区分不同功能的规则,并且存储这些规则。

man iptables

五表(功能)

security          #用于强制访问MAC的规则
raw               #实现不追踪某些数据包
mangle            #用于给数据包做标记,然后根据标记去操作那些包
nat               #用于网络地址转换
filter            #用于包过滤

五链(检查点)

PREROUTING        #处理流入的数据包
INPUT             #处理流出的数据包
OUTPUT            #防火墙本机产生的数据包的策略
FORWARD           #处理转发的数据包,针对非本机,目的不是本机的策略
POSTROUTING       #用于在进行路由选择后处理数据包

在这里插入图片描述

规则表的先后顺序: security→raw→mangle→nat→filter

在这里插入图片描述


iptables参数

-t <表>:指定要操纵的表;
-A:向规则链中添加条目;
-D:从规则链中删除条目;
-I:向规则链中插入条目;
-R:替换规则链中的条目;
-L:显示规则链中已有的条目; 
-F:清除规则链中已有的条目;
-Z:清空规则链中的数据包计算器和字节计数器;
-N:创建新的用户自定义规则链;
-P:定义规则链中的默认目标;
-h:显示帮助信息;
-p:指定要匹配的数据包协议类型;
-s:指定要匹配的数据包源ip地址;
--dport  匹配目标端口号
--sport   匹配来源端口号
-j <动作>:指定要跳转的目标;
-i <网络接口>:指定数据包进入本机的网络接口;
-o <网络接口>:指定数据包要离开本机所使用的网络接口。

-j参数接的动作主要包括:

ACCEPT:接收数据包。
DROP:丢弃数据包,不回应。
REJECT : 拒绝。回复拒绝信息。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址转换。
DNAT:目标地址转换。
MASQUERADE:IP伪装(NAT),用于ADSL。
LOG:日志记录。

规则运用

防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉,从而导致任何主机都无法访问我们的服务。

禁止其他主机访问本机80端口

iptables -A INPUT -s 192.168.152.101 -d 192.168.152.101 -p tcp  --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

禁止192.168.152.101这个ip访问本机

iptables -t filter -A INPUT -s 192.168.152.101 -j DROP

将所有iptables以序号标记显示

将所有iptables以序号标记显示
iptables -L -n --line-numbers
#删除INPUT里序号为8的规则
iptables -D INPUT 8

禁止他人PING,只允许自己ping

#查看icmp这个协议的一些参数
iptables -p icmp -h

iptables -A INPUT -s 192.168.152.101 -d 192.168.152.101 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

标签:iptables,防火墙,链中,规则,INPUT,数据包
From: https://www.cnblogs.com/lqq-blog/p/17140918.html

相关文章

  • 短记:为何最近OpenWRT防火墙设置找不到自定义规则了
    原因非常简单:最近的OpenWRT分支版本将原本基于iptables的firewall3换成了基于nftables的firewall4。防火墙设置的luciapp还不支持firewall4的nftables规则编辑,便干脆无法......
  • iptables简单配置
    1.什么是iptables?iptables是Linux防火墙工作在用户空间的管理工具,是netfilter/iptablesIP信息包过滤系统是一部分,用来设置、维护和检查Linux内核的IP数据包过......
  • Linux之iptables防火墙
    一、安全技术1.安全技术分类入侵检测系统(IntrusionDetectionSystems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供......
  • centos7防火墙 使用命令
     一、防火墙的开启、关闭、禁用命令(1)设置开机启用防火墙:systemctlenablefirewalld.service(2)设置开机禁用防火墙:systemctldisablefirewalld.service(3)启动防火墙:syst......
  • 由于公司里的服务器做了防火墙限制,无法下载软件
    由于公司里的服务器做了防火墙限制,无法下载软件服务端1、我们在自己的虚拟机上进行下载[[email protected]]#head/etc/yum.conf[main]cachedir=/chen#设置保......
  • 基础-Linux的netfilter和iptables
    iptables是什么?你为啥要学?Linux的网络控制模块在内核中,叫做netfilter。而iptables是位于用户空间的一个命令行工具,它作用在OIS7层网络模型中的第四层,用来和内核的netfilte......
  • iptables
    iptablesLinux上常用的防火墙软件。iptables命令 是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。开启Linux内......
  • iptables记录日志获取drop信息【原创】
    需求:想获取iptablesdrop85端口的具体信息iptables的配置如下:-AINPUT-ptcp-mtcp--dport85-mlimit--limit4/min-jLOG--log-prefix"Iptables-85:"#......
  • 西部数码服务器iptables防火墙配置缺失导致无法访问
    问题:域名解析到服务器却依然没法访问系统是装的CentOS7.9纯净版,添加了服务器白名单,程序也在服务器正常运行,但是域名接口访问不到。通过联系工作人员才得知,服务器默认运行......
  • linux 防火墙
    前言centos7已经开始使用firewall作为防火墙,而不是iptablessystemctl是CentOS7的服务管理工具中主要的工具,它融合之前service和chkconfig的功能于一体查看防火墙的状......