Linux基础知识-防火墙iptables~19-08.16

一、防火墙
1、防火墙的基础
  • 分类:
  • 从逻辑上分类
    网络防火墙、主机防火墙
  • 从物理上分类
    硬件防火墙,软件防火墙
  • 网络安全的知名企业:深信服,思科,天融信
  • 硬件防火墙:
  • 思科(AIR-CT5508-300-K9)
  • 华为(USG6670)
  • iptables并不是真正意义上的防火墙、我们可以理解为一个客户端工具
  • netfilter才是防火墙真正的安全框架,netfilter位于内核空间
  • iptables/netfilter(简称为iptables)组成Linux平台下的包过滤防火墙,它可以代替昂贵的商业防火墙解决方案,完成封装包过滤、封包重定向和网络地址转换等功能。
2、四表、五链
  • 四表:
  • filter (INPUT、FORWARD、OUTPUT)
    负责过滤功能
  • nat (PREROUTING、POSTROUTING、OUTPUT)
    网络地址转换功能
  • raw (PREOUTING、OUTPUT)
    关闭net表上启用的连接追踪机制
  • mangle (五条)
    拆解报文、做出修改,并重新封装的功能
  • 五链:
  • INPUT(mangle表、filter表(centos7有nat表,centos6里边没有))
  • OUTPUT(raw表、mangle表、nat表、filter表)
  • FORWARD(mangle表、filter表)
  • PREROUTING(raw表、mangle表、nat表)
  • POSTROUTING(mangle表、nat表)
  • 四表在同一个链中有顺序:
    raw>mangel>nat>filter
3、防火墙配置
3.1、iptables使用规则
  • iptables -L 查看所有规则
  • iptables -F 清空规则
  • iptables -D 清除某一条规则
  • iptables -t title -L 查看指定表的规则
  • [root@localhost ~]# iptables -nvL --line-number
  • -n 转化成数字
  • -v 显示详细信息
3.2、–line-number 显示链下规则的序号
3.3、target:
  • ACCEPT 容许、接受
  • DROP 丢弃
  • REJECT 拒绝
3.4、增
  • [root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j DROP
  • [root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -j REJECT
  • [root@localhost ~]# iptables -t filter -I OUTPUT -d 192.168.42.102 -j DROP
  • [root@localhost ~]# iptables -t filter -A INPUT -s 192.168.42.102 -j DROP
  • [root@localhost ~]# iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT #“具体添加到哪一行”
  • [root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.102 -p ICMP -j DROP #禁ping
  • [root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.145 -p tcp --dport 80 -j REJECT
  • [root@localhost ~]# iptables -t filter -I INPUT -p ICMP -s 192.168.42.145,192.168.42.102 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -I INPUT -p ICMP -s 192.168.42.0/24 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -I INPUT -p ICMP ! -s 192.168.42.145 -j ACCEPT #在192.168.42.0/24 屏蔽了 192.168.42.145
    !排除
  • [root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 22 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -I INPUT -p tcp --sport 22 -j ACCEPT
  • [root@localhost ~]# iptables -t filter -A INPUT -j REJECT #拒绝所有。
  • -s 源地址
    [root@localhost ~]# iptables -t filter -I INPUT 2 -s 192.168.42.102 -j ACCEPT 指定行数添加
  • -d 目的地址
    [root@localhost ~]# iptables -t filter -I OUTPUT -d 192.168.108.5 -j DROP
  • -I 添加到第一条
  • -p 指定协议
  • –dport 目标端口
  • –sport 源端口
  • -A 追加到最后一条
    [root@localhost ~]# iptables -t filter -A OUTPUT -d 192.168.108.5 -j DROP

封目的端口自己出不去,封源端口别人进不来

3.5、删
  • [root@localhost ~]# iptables -F
  • [root@localhost ~]# iptables -t filter -D INPUT 2
  • [root@localhost ~]# iptables -t filter -D INPUT -p tcp --sport 22 -j ACCEPT
3.6、改
  • [root@localhost ~]# iptables -t filter -R INPUT 2 -p tcp --dport 80 -s 192.168.42.102 -j ACCEPT
3.7、查
  • [root@localhost ~]# iptables -nvL --line-number
  • -n
  • -v
  • -L
3.8、保存规则:

修改后的所有规则都是临时的,当重启服务器或者重启机器规则就会消失,所以我们需要把规则保存到文件中

  • [root@localhost ~]# service iptables save
    保存防火墙规则到文件,/etc/sysconfig/iptables
  • [root@localhost ~]# iptables-save 输出规则到屏幕
  • 对比文件,生成校验码
  • md5sum filename
    [root@localhost ~]# md5sum /etc/sysconfig/iptables
    两个文件校验码相同则文件内容相同,否则不相同
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值