ctrl+c容易,创作不易
可以点个赞再走
防火墙安装
Iptables构建防护墙
含义:Iptables其实不是真正的防火墙,他作为一个客户端代理,用户通过这个代理将用户的安全设定执行到对应的“安全框架”中,框架(netiptables)这个才是真正的防火墙。
五张表:
filter:应用最广泛的表,作用时进行过滤,也是由filter表来决定一个数据包是否继续发往目的地或者拒绝,有三个常用链(INPUT,FORWARD,OUTPUT)。
nat:用于网络地址转换,可以改变数据包的源地址或者目的地址。
mangle:用于修改IP的头部信息,如修改TTL\TOS\MARK等等。
raw:为iptables提供了一种不经过状态追踪的机制,在大流量对外业务的服务器如淘宝,支付宝等,可以避免状态追踪带来的性能问题。
security:提供在数据包中加入SELinux特性的功能。在实际应用中,security一般不常用。
安装iptables
首先需要检查是否关闭centOS7默认防火墙firewalle,检查是否安装iptables,通过如下命令:
service iptables status
如果没有安装iptables那么先通过下列命令禁用filrewalle
systemctl stop firwalld ---停止
systemctl mask firewalld ---禁用
下面开始安装iptables
yum -y install iptables ---安装
yum update iptables ---升级
yum install iptables-services ---安装服务
检查是否安装完成
为了能更好的看懂命令下面对常见参数命令进行归纳总结
参数 说明
-A 添加一条规则
INPUT 链名,大写,常用
PREPOUTING 链名,大写
OUTPUT 链名,大写
-s 指定源地址,可以为IP地址,也可以为网段
-d 目标地址
-p 指定协议
--dport 指定主机端口(开放或者拒绝)
--sport 指定主机端口(如:禁止链接对方端口)
-i 指定网卡名,表示报文流入的接口
-o 指定网卡名,表示报文流出的接口
-j 指定所需要的操作
ACCEPT 允许
REJECT 拒绝,拒绝提供服务
DROP 拒绝,丢弃数据包不回应
--src-range 源地址范围,(如:拒绝某IP段访问)
--dsc-range 目标地址的范围
--mac-source 源主机的mac地址
-t 指定表名,默认为filter
-v 查看详细信息
-nvL --line-numbers 查看fliter表中的规则顺序
-nvL -t mangle 查看mangle表中防火墙的规则
-F 情况filter表中的规则
-I 指定链中插入规则
-R 替换规则
-m 指定模块
-D 删除一条规则