linux 防火墙配置规则

本文详细介绍了Linux系统的防火墙机制netfilter,包括iptables的使用方法,如Filter、NAT和Mangle三张表及各自链的作用。通过实例展示了如何添加、删除和修改规则,并讲解了包匹配规则和ACTION操作,提供了多个实际场景下的配置例子,帮助读者理解并掌握Linux防火墙的配置技巧。
摘要由CSDN通过智能技术生成

基础知识

Linux系统内核内建了netfilter防火墙机制。Netfilter(数据包过滤机制),所谓的数据包过滤,就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的,效率非常高。

我们可以通过iptables命令来设置netfilter的过滤机制。

iptables里有3张表:

Filter(过滤器),进入Linux本机的数据包有关,是默认的表。
NAT(地址转换),与Linux本机无关,主要与Linux主机后的局域网内计算机相关。
Mangle(破坏者),这个表格主要是与特殊的数据包的路由标志有关(通常不用涉及到这个表的修改,对这个表的修改破坏性很大,慎改之)。

每张表里都还有多条链:

Filter:INPUT, OUTPUT, FORWARD
NAT:PREROUTING, POSTROUTING, OUTPUT
Mangle:PREROUTING, OUTPUT, INPUT, FORWARD

iptables命令的使用

基本格式:iptables [-t table] -CMD chain CRETIRIA -j ACTION

-t table:3张表中的其中一种filter, nat, mangle,如果没有指定,默认是filter。
CMD:操作命令。查看、添加、替换、删除等。
chain:链。指定是对表中的哪条链进行操作,如filter表中的INPUT链。
CRETIRIA:匹配模式。对要过滤的数据包进行描述
ACTION:操作。接受、拒绝、丢弃等。

各个钩子点业务处理流程图

这里写图片描述

修改

添加

格式:iptables [-t table] -A chain CRETIRIA -j ACTION

将新规则加入到表table(默认filter)的chain链的最后位置

插入

格式:iptables [-t table] -I chain pos CRETIRIA -j ACTION

将新规则插入到table表(默认filter)chain链的pos位置。原来之后的规则都往后推一位。pos的有效范围为:1 ~ num+1

替换

格式:iptables [-t table] -R chain pos CRETIRIA -j ACTION

用新规则替换table表(默认filter)chain链的pos位置的规则。pos的有效范围为:1 ~ num

删除

格式:iptables [-t table] -D chain pos

删除ta

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值