1.iptables
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,具体如下:
在进行路由选择前处理数据包(PREROUTING);
处理流入的数据包(INPUT);
处理流出的数据包(OUTPUT);
处理转发的数据包(FORWARD);
在进行路由选择后处理数据包(POSTROUTING)。
iptables服务的术语中分别是ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、DROP(拒绝流量通过)。 在红帽认证考试中必须用REJECT进行拒绝,好让用于判分的脚本得到反应,以获得分值。而在工作中更多建议用DROP进行拒绝,这可以隐藏服务器的运行状态。这样做有很多好处。
iptables中常用的参数以及作用
参数 | 作用 |
-P | 设置默认策略 |
-F | 清空规则链 |
-L | 查看规则链 |
-A | 在规则链的末尾加入新规则 |
-I num | 在规则链的头部加入新规则 |
-D num | 删除某一条规则 |
-s | 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 |
-d | 匹配目标地址 |
-i 网卡名称 | 匹配从这块网卡流入的数据 |
-o 网卡名称 | 匹配从这块网卡流出的数据 |
-p | 匹配协议,如TCP、UDP、ICMP |
--dport num | 匹配目标端口号 |
--sport num | 匹配来源端口号 |
2.配置网络
a.vim /etc/sysconfig/network-scripts/ifcfg-ens160
nmcli connection reload ens160
nmcli connection up ens160
b.nmtui
nmcli connection up ens160
c.nm-connection-editor
3.配置iptables
1.在iptables命令后添加-L参数查看已有的防火墙规则链。
2.在iptables命令后添加-F参数清空已有的防火墙规则链。
3.把INPUT规则链的默认策略设置为拒绝。
[root@linuxprobe ~]# iptables -P INPUT DROP
4.向INPUT链中添加允许ICMP流量进入的策略规则