ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 系统相关> 文章详细

Linux---iptables防火墙(一)

2021-05-18 12:36:09  阅读:213  来源: 互联网

标签:iptables filter 防火墙 ACCEPT --- nat Linux INPUT


iptables防火墙

  1. 从逻辑上讲。防火墙可分为主机防火墙和网络防火墙。(网络防火墙与主机防火墙并不冲突,可以理解为,网络防火墙主外,主机防火墙主内)
  • 主机防火墙:针对单个主机进行防护。
  • 网络防火墙:往往处于网络入口或边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网。
  1. 从物理上讲,防火墙可分为硬件防火墙和软件防火墙。
  • 硬件防火墙:在硬件级别实现防火墙功能,另一部分功能基于软件实现,性能高,成本高。
  • 软件防火墙:应用软件处理逻辑,运行于通用硬件平台之上的防火墙,性能低,成本低。

概述

  1. iptables并不是Linux系统的真正防火墙,在Linux系统上,内核空间有一套完整的安全框架系统。
  • 安全框架系统:netfilter。
  1. iptables只是一个防火墙代理工具,人-->iptables-->netfilter 实现安全防护。

开启iptables服务

  • service iptables start
  • chkconfig --level 2345 iptables on

iptables的四个表&查看

  • raw表
  • mangle表
  • nat表
  • filter表
  1. 查看raw表
  • 命令:iptables -t raw -L #raw表作用是流量追踪
  1. 查看mangle表
  • iptables -t mangle -L #应用识别,流量记录,打标签
  1. 查看nat表
  • iptable -t nat -L #nat表是做地址转换
  1. 查看filter表
  • iptables -t filter -L #filter过滤流量表,iptables的灵魂
  • Chain INPUT (policy ACCEPT) #限制别人访问我
  • Chain FORWARD (policy ACCEPT) #限制转发数据,一般linux当作路由器时,才起作用!
  • Chain OUTPUT (policy ACCEPT) #限制我访问别人。
  • 注意:
  • iptables -L #默认查看filter表;
  • iptables -nvL #n数字化,v详细信息,L查看动作。

iptables的完整命令:

  • iptables -t 表名 -动作 链名 #-t可以省略,默认就是filter表。
  • 如:iptables -nvL #查看filter表

清空iptables的规则

  • iptables -F #清空filter表的所有链规则。
  • iptables -F FORWRD #清空filter表的Forward链规则
  • iptables -t mangle -F INPUT #清空mangle表的INPUT链规则

删除某一条规则

  • iptables -D INPUT 2 #删除filter表中,INPUT链的第二条
  • iptables -t nat -D POSTROUTING 3 #删除nat表POSTROUTING链的第三条;

练习

案例一

  1. 清空filter表规则,添加一条规则,拒绝所有人访问本机
  • iptables -F #-F清空所有规则
  • iptables -A INPUT -p all -j REJECT #-A添加规则;-p all:-p指的是协议,all表示所有协议;-j 控制类型:REJECT 拒绝,但会友好回应icmp报错报文,icmp类型3。DROP 丢弃,ACCEPT 允许放行;

案例二

  1. 在案例一的基础上允许别人ping我。
  • iptables -I INPUT -p icmp -j ACCEPT
  • 添加规则: -A:追加到最后,-I:插入到第一条

案例三

  1. 在案例1、2的基础上对外开放80及22
  • iptables -I INPUT -p tcp --dport 80 -j ACCEPT
  • iptables -I INPUT -p tcp --dport 22 -j ACCEPT
  • -p tcp/udp/icmp/all

标签:iptables,filter,防火墙,ACCEPT,---,nat,Linux,INPUT
来源: https://www.cnblogs.com/system-32/p/14780379.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有