Linux系统中如何使用iptables工具管理防火墙-创新互联

Linux系统中如何使用iptables工具管理防火墙,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。

让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:国际域名空间、虚拟空间、营销软件、网站建设、兰陵网站维护、网站推广。

随着企业中使用Linux系统的增加,保证Linux系统安全成为运维人员的必备技能之一。

Linux系统本身有很强大的防护措施:防火墙。那么如何管理防火墙就成为重中之重。

随着CentOS 7、CentOS 8的出现,越来越多的人喜欢使用firewalld工具来管理防火墙。因为它不仅可以通过命令行设置,也可以通过图形化设置。关于使用firewalld工具管理Linux防火墙,可参考保证Linux系统安全之使用firewalld工具管理防火墙

下面我们主要介绍iptables工具管理防火墙。

iptables概述:

提到iptables,那么就不得不说一下四表五链、执行的动作。

四表分别是:

  • raw:高级功能,如:网址过滤;

  • mangle:数据包修改(QOS),用于实现服务质量;

  • net:地址转换,用于网关路由器;

  • filter:包过滤,用于防火墙规则;

五链分别是:

  • INPUT链:处理输入数据包;

  • OUTPUT链:处理输出数据包;

  • PORWARD链:处理转发数据包;

  • PREROUTING链:用于目标地址转换(DNAT);

  • POSTOUTING链:用于源地址转换(SNAT);

执行的动作分别是:

  • accept:接收数据包;

  • DROP:丢弃数据包;

  • REDIRECT:重定向、映射、透明代理;

  • SNAT:源地址转换;

  • DNAT:目标地址转换;

  • MASQUERADE:IP伪装(NAT),用于ADSL;

  • LOG:日志记录;

iptables命令常用的选项有:

  • -t<表>:指定要操纵的表;

  • -A:向规则链中添加条目;

  • -D:从规则链中删除条目;

  • -i:向规则链中插入条目;

  • -R:替换规则链中的条目;

  • -L:显示规则链中已有的条目;

  • -F:清楚规则链中已有的条目;

  • -Z:清空规则链中的数据包计算器和字节计数器;

  • -N:创建新的用户自定义规则链;

  • -P:定义规则链中的默认目标;

  • -h:显示帮助信息;

  • -p:指定要匹配的数据包协议类型;

  • -s:指定要匹配的数据包源ip地址;

  • -j<目标>:指定要跳转的目标;

  • -i<网络接口>:指定数据包进入本机的网络接口;

  • -o<网络接口>:指定数据包要离开本机所使用的网络接口;

iptables命令选项输入顺序:

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

iptables命令示例:

[root@localhost ~]#iptables -F               // 清空所有的防火墙规则
[root@localhost ~]#iptables -F INPUT    //清空指定链 INPUT 上面的所有规则
[root@localhost ~]#iptables -X               // 删除用户自定义的空链
[root@localhost ~]#iptables -Z               //清空计数
[root@localhost ~]#iptables -P INPUT DROP              //配置默认的不让进
[root@localhost ~]#iptables -P FORWARD DROP        //默认的不允许转发
[root@localhost ~]#iptables -P OUTPUT ACCEPT        //默认的可以出去
将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量:
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p tcp  --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables-save                //保存配置
如果我只允许192.168.1.100和192.168.1.110 的PING命令,应该怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP
如果我只允许192.168.1.0/24网段的,但拒绝192.168.1.100和192.168.1.110 的PING命令,应该怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j DROP 
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j DROP
向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则
[root@localhost ~]# iptables -I INPUT -p tcp --dport 12345  -j REJECT
[root@localhost ~]# iptables -I INPUT -p UDP --dport 12345  -j REJECT
向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则
[root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -A INPUT -p UDp --dport 1000:1024 -j REJECT

注意:iptables工具检查策略时按照:从上到下,找到即停,如果没有找到则执行默认的策略!所以在添加规则时,应注意策略的添加顺序!

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注创新互联行业资讯频道,感谢您对创新互联的支持。

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


标题名称:Linux系统中如何使用iptables工具管理防火墙-创新互联
分享链接:http://ybzwz.com/article/csieho.html