配置与管理IPtable防火墙
默认的四个规则表:
rwa表:确定是否对该数据包进行状态跟踪
mangle表: 为数据包设置标记
nat表:修改数据中的源、目标IP地址或端口
filter表:确定是否对该数据包进行放行(过滤)
默认 的5种规则链:
INPUT:处理入站数据
OUTPUT:处理出站数据
FORWARD:处理转发数据包
POSTROUTING:在进行路由选择后处理数据包
PRE ROUTING:在进行路由选择后处理数据包
iptables命令的语法格式 :
iptable [it 表名] 管理选项 [链名] [条件匹配] [-j 目标动作]
注意:
不指定表名时,默认为filter表
不指定链名时,默认表示该表所有链
除非设置规则链的缺省策略,否则需要指定匹配条件
管理选项:
-A:在链尾追加一条新的规则
-I:在指定位置(或链首)插入一条新的规则
-P:设置指定链的默认策略
-L:列表查看各条规则信息
-D:删除指定位置或内容的规则
-F:清空规则链内的所有规则
-h查看iptables命令的使用帮助
实操:
查看链:
清空filter中所有链
拒绝一个192.168.0.100的主机访问我:
插入一条192.168.0.200的主机访问:
注意:如果它没有指定位置就会显示在第一条
删除input链中第一条规则:
修改策略为拒绝:
提示:如果在远程连接时修改后断开了连接只需要在主机上修改为ACCEPT即可。
条件匹配包括:
通用条件匹配:
隐含条件匹配:
显示条件匹配:
目标动作:
想要拒绝一个192.168.0.1的访问:
filter : 简单的过滤
-A : 添加一条规则
INPUT : 入站流量
-s :源IP地址
-p :协议名字,这里为tcp
–dport 80 :目标端口为80端口
拒绝某一网段ping通我:
这里省略了 “-t filter” 这个可写可省略
允许来自某个网络的客户端访问我的21号端口和80端口(这时候哦可以使用多端口匹配):