iptables基本管理

最新推荐文章于 2024-09-02 16:28:22 发布

wanboo0205

最新推荐文章于 2024-09-02 16:28:22 发布

阅读量165

点赞数

分类专栏： Linux运维 SECURITY 文章标签： iptables linux

本文链接：https://blog.csdn.net/weixin_41176080/article/details/104219167

版权

Linux运维同时被 2 个专栏收录

179 篇文章 5 订阅

订阅专栏

SECURITY

23 篇文章 0 订阅

订阅专栏

1案例1：iptables基本管理

1.1问题

本案例要求练习iptables命令的使用，按照要求完成以下任务：

关闭firewalld，开启iptables服务
查看防火墙规则
追加、插入防火墙规则
删除、清空防火墙规则

1.2步骤

实现此案例需要按照如下步骤进行。

步骤一：关闭firewalld，启动iptables服务

1）关闭firewalld服务器

[root@proxy ~]# systemctl stop firewalld.service 
[root@proxy ~]# systemctl disable firewalld.service

2）安装iptables-service并启动服务

[root@proxy ~]# yum -y install iptables-services
[root@proxy ~]# systemctl start iptables.service

步骤二：熟悉iptables框架

1）iptables的4个表（区分大小写）：
iptables默认有4个表，nat表（地址转换）、filter表（数据过滤表）、raw表（状态跟踪表）、mangle表（包标记表）。
2）iptables的5个链（区分大小写）：
INPUT链（入站规则）
OUTPUT链（出站规则）
FORWARD链（转发规则）
PREROUTING链（路由前规则）
POSTROUTING（路由后规则）

步骤三：iptables命令的基本用法

1）iptables语法格式

[root@proxy ~]# iptables  [-t 表名]  选项  [链名]  [条件]  [-j 目标操作]
[root@proxy ~]# iptables  -t  filter  -I  INPUT -p  icmp  -j  REJECT
[root@proxy ~]# iptables -t filter -I  INPUT   -p  icmp  -j  ACCEPT
[root@proxy ~]# iptables  -I  INPUT  -p  icmp  -j  REJECT
//注意事项与规律：
//可以不指定表，默认为filter表
//可以不指定链，默认为对应表的所有链
//如果没有找到匹配条件，则执行防火墙默认规则
//选项/链名/目标操作用大写字母，其余都小写
########################################################################
//目标操作：
// ACCEPT：允许通过/放行
// DROP：直接丢弃，不给出任何回应
// REJECT：拒绝通过，必要时会给出提示
// LOG：记录日志，然后传给下一条规则

iptables命令的常用选项如表所示。

2）iptables命令的使用案例
创建规则的案例：

[root@proxy ~]# iptables  -t  filter  -A  INPUT  -p tcp  -j  ACCEPT
//追加规则至filter表中的INPUT链的末尾，允许任何人使用TCP协议访问本机
[root@proxy ~]# iptables  -I  INPUT  -p  udp  -j  ACCEPT
//插入规则至filter表中的INPUT链的开头，允许任何人使用UDP协议访问本机
[root@proxy ~]# iptables  -I  INPUT 2  -p  icmp  -j  ACCEPT
//插入规则至filter表中的INPUT链的第2行，允许任何人使用ICMP协议访问本机

查看iptables防火墙规则

[root@proxy ~]# iptables  -nL  INPUT                    //仅查看INPUT链的规则
target     prot opt source               destination
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0
[root@proxy ~]# iptables  -L  INPUT  --line-numbers        //查看规则，显示行号
num  target     prot opt source         destination
1    ACCEPT     udp   --  anywhere     anywhere
2    ACCEPT     icmp --   anywhere     anywhere
3    ACCEPT     tcp  --   anywhere     anywhere

删除规则，清空所有规则

[root@proxy ~]# iptables  -D  INPUT  3
//删除filter表中INPUT链的第3条规则
[root@proxy ~]# iptables  -nL  INPUT                //查看规则，确认是否删除
[root@proxy ~]# iptables  -F
//清空filter表中所有链的防火墙规则
[root@proxy ~]# iptables  -t  nat  -F
//清空nat表中所有链的防火墙规则
[root@proxy ~]# iptables  -t  mangle  -F
//清空mangle表中所有链的防火墙规则
[root@proxy ~]# iptables  -t  raw  -F
//清空raw表中所有链的防火墙规则

设置防火墙默认规则

[root@proxy ~]# iptables  -t  filter  -P  INPUT  DROP
[root@proxy ~]# iptables  -nL
Chain INPUT (policy DROP)
… …

wanboo0205

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录