Linux防火墙 iptables的用法

最新推荐文章于 2023-07-21 09:51:55 发布

香香默默

最新推荐文章于 2023-07-21 09:51:55 发布

阅读量218

点赞数

分类专栏： Linux基础文章标签： linux centos

本文链接：https://blog.csdn.net/xiangmomo1/article/details/105959429

版权

Linux基础专栏收录该内容

28 篇文章 0 订阅

订阅专栏

主要了解防火墙的基本了解和iptables的使用

一、使用

（常用的参数、命令要记住）

1.iptable参数：

-A:添加一条规则，默认加在最后。
-I :添加规则默认最前
-F：清除规则
-j:加动作
-p 协议
–dport 目的端口（拒绝别人链接我）
–sport 源端口（拒绝我链接别人）
-s 源地址，可以是IP地址，SS也可以是网段“192.168.109.10/24”“-s 为空，表示拒绝所有
-d ：目的地址
-i:网卡名（报文流入的接口）
-o ：网卡名（报文流出的接口）
-m 模块

Usage（用法）

iptables -[ACD] chain rule-specification [options]
iptables -I chain [rulenum] rule-specification [options] 追加
iptables -R chain rulenum rule-specification [options] 修改
iptables -D chain rulenum [options] 删除
iptables -[LS] [chain [rulenum]] [options]
iptables -[FZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options] 修改默认规则
iptables -h (print this help information)

两个修改规则的用法：

①：iptables -t 表名 -R 链名规则序号规则原本的匹配条件 -j 动作

[root@localhost ~]# iptables -t filter -R INPUT 1 -s 192.168.1.51 -j ACCEPT

②：iptables -t 表名 -P 链名动作

[root@localhost ~]# iptables -t filter -P FORWARD ACCEPT

2.iptables基本用法：

iptables -t 表 -A 链匹配的条件 -j 动作

[root@localhost ~]# iptables -t filter -nL   //列出规则
[root@localhost ~]# iptables -t filter -D INPUT -p tcp --dport 80 -s 192.168.42.61 -j ACCEPT

-i用法：
增加网卡:
在这里插入图片描述

-m:指明要调用的扩展模块机制
常用的扩展匹配条件：
-p tcp -m mutiport --sport用于匹配报文的源端口可以指定离散的多个端口，之间用逗号隔开
-p tcp -m mutiport --sport用于匹配报文的目标端口可以指定离散的多个端口，之间用逗号隔开

（1）容许其他服务访问本机的9000到10000端口。（ -p tcp -m tcp ：指定连续端口）

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m tcp --dport9000:10000 -j ACCEPT

（9）禁止访问本地21端口和80到500之间的端口。（-p tcp -m multiport ：指定多端口）

[root@localhost ~]# iptables -t filter -I INPUT -p tcp -m multiport --dport 21,80:500 -j REJECT

基本用法：
-t :指定要操作的表，默认filter表
-L:列出规则，在-L后加上链名时表示查看指定链中的规则
-n:显示出IP地址
-x:显示计算器的精确值
–line-number:显示规则序号
一般用法：

 [root@localhost ~]# iptables  --line-number -t filter -nvxL  OUTPUT

规则保存：

[root@localhost sysconfig]# service iptables save  保存规则到文件/etc/sysconfig/iptables
[root@localhost sysconfig]# iptables-save  > /root/iptables  #导出iptables模板
[root@localhost ~]# iptables-restore < iptables               #导入iptables模板

3.Iptables规则配置

（①注意：一般我们所见到的这些连接，没有特殊说明就是tcp协议，说的也就是80端口，一般80端口就是给web服务的；协议和端口一起指定）
Centos7 :（要安装iptables,因为centos7服务改成了firewall）
安装iptables-service : #yum install iptables-services
停止firewalld: #systemctl stop firewalld
禁止firewalld自动启动 #systemctl disable firewalld
启动iptables: #systemctl start iptables
将iptables设为开机启动 #systemctl enable iptables

4.iptables基本练习：

（1）将来自于192.168.42.61的所有请求drop

[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.61 -j DROP

（2）将来自于192.168.42.61的80请求drop

[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 80 -s 192.168.42.61 -j ACCEPT

防火墙的运行顺序是从上往下一次匹配

（3）添加多个地址

[root@localhost ~]# iptables -t filter -I INPUT -s 192.168.42.61,192.168.42.128 -j DROP

（4）删除规则

[root@localhost ~]# iptables -t filter -D INPUT 2

（5）容许192.168.42.0/24所有网段访问80端口，容许192.168.42.1访问sshd服务。其他任何请求都拒绝
“白名单” —调整默认规则，一般情况不要调整默认规则。

[root@localhost sysconfig]# iptables -t filter -I INPUT -p tcp --dport 22 -s 192.168.42.1 -j ACCEPT
[root@localhost sysconfig]# iptables -t filter -I INPUT -p tcp --dport 80 -s 192.168.42.0/24 -j ACCEPT >>>>
[root@localhost sysconfig]# iptables -t filter -A INPUT -j REJECT

（6）容许该机器访问192.168.42.0/24网段的机器上的httpd服务。

[root@localhost sysconfig]# iptables -t filter -I INPUT -p tcp --dport 22 -s 192.168.42.1 -j ACCEPT
[root@localhost sysconfig]# iptables -t filter -I INPUT -p tcp --dport 80 -s 192.168.42.0/24 -j ACCEPT
[root@localhost ~]# iptables -t filter -I INPUT 2 -p tcp --sport 80 -d 192.168.42.0/24 -j ACCEPT
[root@localhost sysconfig]# iptables -t filter -A INPUT -j REJECT
[root@localhost ~]# iptables -t filter -I INPUT 3 -p tcp --dport 80 -s 192.168.42.61 -i ens32 -j ACCEPT

（7）容许其他服务访问本机的9000到10000端口。