安全利盾—Linux防火墙iptables趣解
Posted Friends of the wind
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全利盾—Linux防火墙iptables趣解相关的知识,希望对你有一定的参考价值。
自我介绍
大家好:请不要叫我防火墙,请叫我的英文名字iptables!分解开: tables是表的意思;言下之意是关于ip表的那些事!
表的操作,比如:数据库的表,无非四种:增删改查,这是我的四大强项!
我是高富帅吗?
虽然经济上不是很富裕,但我的才华很富足,我有四表五链!
什么是表?
- 简言之就是,功能
- filter、nat、mangle、raw
过滤、转换、标记、状态跟踪
什么是链?
- 简言之就是,方向
- OUTPUT、INPUT 、FORWARD、PREROUTING、POSTROUTING
出、入、转、路由前、路由后
总结,通过四表五链我可以对以我为参照来自不同方向数据包进行不同功能的处理。
指令组成
iptables [-t 表名] [选项] [链名] [条件] [-j 操作]
省略表名,默认是filter表,也有默认规则。
操作:到达防火墙的数据包,进行四项处理,原则是匹配即停止(LOG例外),若在所有链中无任何匹配,按默认策略处理
- ACCEPT:允许
- DROP:丢弃,不给回应
- REJECT:拒绝,给回应信息
- LOG:记录日志,传给下一条规则
配置语法:注意,centos7版本不支持部分功能,若有此需求,请使用Firewalld防火墙,见fireawalld网络安全部署
| 类别 | 匹配选项 | 用法 |
|---|---|---|
| 通用 | 协议 | -p 协议名 |
| 通用 | 地址 | -s源地址、-d目标地址 |
| 通用 | 接口 | -i 接受数据网卡、-o发送数据网卡 |
| 隐含 | 端口 | - -sport 源端口、- -目标端口 |
| 隐含 | ICMP类型 | - -icmp-type ICMP类型 |
1、 查
查询nat表的规则
查询filter表规则,并添加行号输出
iptables -t filter -L --line-numbers
查询filter表规则,并添加行号且以数字显示地址栏输出
iptables -t filter -nL --line-numbers
2、 删
临时不保存配置:重启服务会恢复原来
1)清空指定表的所有规则
2)删除指定的规则,按照编号
永久保存配置:
3、 增
实例一:仅允许ssh远程登录连接,拒绝其他服务的请求,并且是以不给回应的方式。
1)默认允许ssh远程登录服务器。
登录成功
2)服务器本地设置规则, 拒绝此项行为
iptables -t filter -P INPUT DROP
3)远程主机验证,一直是连接中,没有报错提示信息;若是已登录的远程ssh界面,无法进行操作,被锁死
4)本地服务器添加规则,允许ssh连接的服务数据包通过
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
5)验证:此刻ssh可以连接服务器,其他服务则不行
查看规则链
实例二:允许用户访问网站服务
1)不添加规则,执行之前规则丢弃拒绝,一直显示正在连接
2)本地服务器添加规则,允许连接80端口的服务数据包通过
iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
3)验证:可以访问到网站页面
以上是关于安全利盾—Linux防火墙iptables趣解的主要内容,如果未能解决你的问题,请参考以下文章