iptables基本命令到深入

Posted 2020-12-01 xpptt

1、关闭firewalld，安装iptables-server并启动服务

　　systemctl stop firewalld

　　systemctl disable firewalld

　　yun -y install iptables-server

　　yum -y install iptables-server

2、熟悉iptable框架

　　1）iptables的4个表（区分大小写）：

　　　　iptables默认有4个表，nat表（地址转换表）、filter表（数据过滤表）、raw表（状态跟踪表）、mangle表（包标记表）。

　　2）iptables的5个链（区分大小写）：

　　　　INPUT链（入站规则）

　　　　OUTPUT链（出站规则）

　　　　FORWARD链（转发规则）

　　　　PREROUTING链（路有前规则）

　　　　POSTROUTING链（路由后规则）

3、iptables命令的基本使用方法
　　1）iptables语法的基本格式　

　　　　iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]

　　　　iptables -t filter -I INPUT -p icmp -j REJECT

　　　　iptables -t filter -I INPUT -p icmp -j ACCEPT

　　　　iptables -I INPUT -p icmp -j REJECT

 

##注意事项//注意事项与规律：

//可以不指定表，默认为filter表

//可以不指定链，默认为对应表的所有链

//除非设置默认策略，否则必须指定匹配条件

//选项/链名/目标操作用大写字母，其余都小写

#######################################//目标操作：

// ACCEPT：允许通过/放行

// DROP：直接丢弃，不给出任何回应

// REJECT：拒绝通过，必要时会给出提示

// LOG：记录日志，然后传给下一条规则

 

iptables命令的常用选项如图所示

 

创建iptables规则：

iptables -t filter -A input -p tcp -j accept　　#追击规则到filter表中的input链末尾，允许任何人使用tcp协议访问本机
iptables -I input -p udp -j accept　　　　　#插入规则到filter表中的input链的开头，允许任何人使用UDP协议访问本机
iptables -I input  2 -p icmp -j Accept　　　　#插入规则到filter表中国的input链的第2行，允许任何人使用icmp协议访问本机

查看iptables防火墙规则：

iptables -nL input　　　　#仅查看input链的规则
iptables -nL input --line-numbers　　#查看规则显示行号

删除规则，清空所有规则

iptables -D input 3　　　　#删除filter表中input链的第3 条规则
iptables -nL input 　　　　#查看规则是否已经删除
iptables -F　　　　　　　 #清空filter表中所有链的防火墙规则
iptables -t nat -F　　　　  #清空nat表中的所有链的防火墙规则

iptables -t mangle -F　　   #清空mangle表中的所有链的防火墙规则

 

设置防火墙默认规则

iptables -t filter -P INPUT DROP　　#当所有规则不匹配的时候走这一条规则
iptables -nL

 

 

filter过滤和转发控制

1、iptables防火墙可以根据很多很灵活的规则进行