【●】iptables防火墙
1.概述
●一道保护性的安全屏障
—— 保护和隔离
2.linux包过滤防火墙
●RHEL7默认使用firewalld作为防火墙
●但firewalld底层还是调用包过滤防火墙iptables
firewalld---iptables-----netfilter
软件 应用软件------- >内核
firewalld-cmd --set-default-zone=trusted
把规则
● iptables防火墙具有4表5链,4表分别是filter表、nat表、raw表、mangle表,5链分别是INPUT链、OUTPUT链、FORWARD链、PREROUTING链、POSTROUTING链。
案例一、iptables基本管理
步骤一:关闭firewalld,启动iptables服务
1)关闭firewalld服务器
[root@proxy ~]# systemctl stop firewalld.service
[root@proxy ~]# systemctl disable firewalld.service
步骤二:熟悉iptables框架
1)iptables的4个表(区分大小写):
iptables默认有4个表,nat表(地址转换表)、filter表(数据过滤表)、raw表(状态跟踪表)、mangle表(包标记表)。
2)iptables的5个链(区分大小写):
INPUT链(入站规则)
OUTPUT链(出站规则)
FORWARD链(转发规则)
PREROUTING链(路由前规则)
POSTROUTING链(路由后规则)
步骤三:iptables命令的基本使用方法
1)iptabels语法格式
[root@proxy ~]# iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]
[root@proxy ~]# iptables -t filter -I INPUT -p icmp -j REJECT #icmp为ping的协议
[root@proxy ~]# iptables -F #清空所有规则
[root@proxy ~]# iptables -t filter -I INPUT -p icmp -j ACCEPT
[root@proxy ~]# iptables -I INPUT -p icmp -j REJECT
●注意事项与规律:
#可以不指定表,默认为filter表
#可以不指定链,默认为对应表的所有链
#按顺序匹配,匹配即停止,如果没有找到匹配条件,则执行防火墙默认规则
#选项/链名/目标操作用大写字母,其余都小写
###################################################################
●目标操作:
# ACCEPT:允许通过/放行
# DROP:直接丢弃,不给出任何回应
# REJECT:拒绝通过,必要时会给出提示
# LOG:记录日志,然后传给下一条规则
● ptables命令的常用选项
类别 选项 描述
-A 追加一条防火墙规则至链的末尾位置
添加规则 -I 插入一条防火墙规则至链的开头
-L 查看iptables所有规则
查看规则 -n 以数字形式显示地址、端口等信息
--line-numbers 查看规则时,显示规则的行号
-D 删除链内指定序号(或内容)的一条规则
删除规则 -F