1、什么是防火墙?
从广义来说,只要能够分析与过滤进出我们管理之网域的封包数据,就可以称为防火墙2、iptables的表格table与链chain
linux预设的三个表格:filter管理本机进出的,nat管理后端主机(防火墙内部的其他计算机),mangle管理特殊旗标使用filter:
INPUT->:与进入Linux本机的封包有关
OUTPUT->:本机所要送出的封包有关
FORWARD->:与linux本机比较没有关系,他可以转递包到后端的计算机中,与nat table相关性较高
3、列出filter table三条链的规则
iptables -L -n参数解析:
-L:列出目前的table规则 -n:不进行IP与HOSTNAME的反查,显示讯息的速度会快很多 -t:哪个表格,如
列出nat table三条链的规则 iptables -t nat -L -n
4、结果集列代表的意思
target:代表进行的动作,accept是放行,而reject则是拒绝,drop为丢弃prot:代表使用的封包协议,主要有tpc,udp,icmp三种封包格式
opt:额外的选项说明
source:代表些规则是针对哪个来源ip进行限制
destination:代表此规则是针对哪个目标ip进行限制
5、清除本机防火墙filter的所有规则
iptables -F :清除所有的已订定的规则iptables -X :杀掉所有使用者‘自定义’的chain
iptables -Z:将所有的chain的计数与流量统计都归零
6、iptables设定基础语法
iptables [-AI 链名] [-io 网络接口] [-p 协议] [--sport 限制来源的端口号码] [--dport 限制目标的端口号码] [-s 来源IP/网域] [-d 目标IP/网域] -j [ACCEPT|DROP|REJECT|LOG]选项与参数 -P[定义Policy] -m [一些iptables的外挂模块] [--state 一些封包的状态]其中,
-p 协定:设定此规则适用于哪种封包格式,主要的封包格式有:tcp,udp,icmp及all
-P(大写):定义政策(Policy),有三种DROP,ACCEPT,REJECT
-AI链名:针对某的链进行规则的“插入”或“累加”
-A:新增加一条规则,该规则增加在原本规则的最后面
-I:插入一条规则。如果没有指定此规则的顺序,默认是插入变成第一条规则
-io网络接口:设定封包进出的接口规范
-i:封包所进入的那个网络接口,例如:eth0,lo等接口,需与INPUT链配合
-o:封包所传出的那个网络接口,需与OUTPUT链配合
-s来源IP/网域:设定此规则之封包的来源项目,可指定单纯的IP或包括网域,例如:
IP:192.168.0.100
网域:192.168.0.0/24,192.168.0.0/255.255.255.0 均可
若规范为 不许 时,则加上!即可,例如:
-s ! 192.168.100.0/24 表示不允许192.168.100.0/24之封包来源;
-d目标IP/网域:同-s,只不过这里指的是目标的ip或网域
-j:后面接动作,主要的动作有接受ACCEPT、丢弃DROP、拒绝REJECT及记录LOG
--sport 端口范围:限制来源的端口号码,端口号码可以是连续的,例如1024:65535
--dport 端口范围:限制目标的端口号码
-m:一些iptables的外挂模块,主要常见的有:
state:状态模块
mac:网络卡硬件地址
--state:一些封包的状态,主要有:
INVALID 无效的封包,例如数据破损的封包状态
ESTABLISHED 已经联机成功的联机状态
NEW:想要新建立联机的封包状态;
RELATED:这个最常用!表示这个封包是与我们主机发送出去的封包有关
7、实战参考
http://liubin.blog.51cto.com/282313/750318http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html
《鸟哥linux私房菜服务器架设篇第三版》