netfilter |
| |
3表 | Filter表:(默认表)防火墙相关 | |
iptables | PREROUTING:数据包进入路由表之前 | |
INPUT:通过路由表后目的地为本机(过滤进入本机的数据包,攻击) | ||
FORWARDING:通过路由表后,目的地不为本地(经过而不入主机NAT相关) | ||
OUTPUT:由本机产生,向外转发(处理本机发出的数据包,泄密) | ||
POSTROUTING:发送到网卡接口之前 | ||
规则 | iptables [-t 表名] -命令 -匹配 -j 动作/目标 | |
iptables具备的3表5链 | ||
编号 | 命令 | |
1 |
| |
查看filter表 | ||
2 | iptables -t nat -L | |
查看nat表 | ||
3 | iptables -t mangle -L | |
查看mangle表 | ||
4 | iptables -F | |
清除所选链中的所有规则 | ||
4 | iptables -A INPUT | |
为INPUT链追加 | ||
5 | iptables -t filter -P INPUT -j DROP 丢弃 | |
设置filter表INPUT链的默认Policy为丢弃 | ||
6 | iptables -N filter_web | |
自定义链被调用才发挥作用 | ||
7 |
| |
| ||
8 | iptables -t nat -A | |
nat表末尾追加规则 | ||
9 | iptables -A INPUT -s 10.0.10.0/24 -d 10.0.10.0/24 -j ACCEPT | |
允许10.0.10.0/24网段的ip地址访问 | ||
10 | iptables-P INPUT DORP | |
对于严谨的规则,一般默认规则都是拒绝未知,允许已知 | ||
11 | /etc/init.d/iptables save | |
保存规则到默认配置 | ||
4 | iptables -A INPUT | |
为INPUT链追加 | ||
4 | iptables -A INPUT | |
为INPUT链追加 | ||
4 | iptables -A INPUT | |
为INPUT链追加 | ||
4 | iptables -A INPUT | |
为INPUT链追加 | ||
4 | iptables -A INPUT -d 10.0.10.62 -ptcp --dport 80 -j ACCEPT | |
放行对本机web的访问 | ||
4 | iptables -A OUTPUT -s 10.0.10.62 -p tcp --sport 80 -j ACCEPT | |
放行出去的报文,源端口未80 | ||
iptables -A OUTPUT -s 10.0.10.62 -d 10.0.10.0/24 -p icmp --icmp-type8 -j ACCEPT | ||
允许本机ping通 10.0.10.0/24网段 |