文章目录
基本链
链是数据包传播的途径,每条链对应多条规则。数据包进入服务器需要经过多道关卡,以下是三条应用在“主机防火墙”中的链。
- INPUT:入口流量
- OUTPUT:出口流量
- FORWARD:转发流量
配置动作
配置防火墙规则时,对于指定的数据包,我们通常可以对它执行相关的动作,以下是常用动作。
- ACCEPT:接收数据包
- REJECT:拒绝数据包,并向数据发送方返回一个响应信息,告知数据被拒
- DROP:直接丢弃数据包
- LOG:创建日志,记录数据包
常用命令
以下命令均需要在root下执行:sudo su切换为root用户
查看防火墙的规则
iptables -L [option] // 不加option可以直接查看以下三种规则
option:
INPUT // 查看准入规则
OUTPUT // 查看准出规则
FORWARD // 查看转发规则
增加规则
iptables -A INPUT -s 192.168.225.0/24 -p icmp -j DROP
iptables -A OUTPUT -d 192.168.225.2 -j ACCEPT
-A后面加基本链的三种规则之一,-s表示源地址,-d表示目的地址,-p加协议,-j加执行动作:接收拒绝丢弃
阻止特定的数据包需要用-m与--dport(目标端口)或--sport(源端口)一起使用
iptables -A FORWARD -m tcp -p tcp --dport 23 -j DROP
删除规则
删除某条特定规则:
iptables -D INPUT 1 // 表示删除INPUT的第一条规则
iptables -F // 清空所有的规则