宣传部总结网站建设,建站公司分析,上海营销网站建设,wordpress 分类别名文章目录 一、iptables基础知识二、作者玩玩的配置文件三、iptables中常用的参数以及作用-j参数的动作类型 四、安装iptables五、iptables启动命令六、iptables命令结构命令例子默认执行方式执行iptables命令和写入配置文件两种方式的对比 相对常用的命令参考文档 一、iptables… 文章目录 一、iptables基础知识二、作者玩玩的配置文件三、iptables中常用的参数以及作用-j参数的动作类型 四、安装iptables五、iptables启动命令六、iptables命令结构命令例子默认执行方式执行iptables命令和写入配置文件两种方式的对比 相对常用的命令参考文档 一、iptables基础知识
学习使用iptables
二、作者玩玩的配置文件
文件地址为/etc/sysconfig文件名为iptables
cd /etc/sysconfigvim iptables# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.1 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.2.0/24 -p tcp --dport 22 -j ACCEPT
-A INPUT -s 185.23.234.219/24 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 6666 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 18848,16501:16800 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT三、iptables中常用的参数以及作用
-A 在规则链的末尾加入新规则-d 匹配目标地址–dport num 匹配目标端口号-D num 删除某一条规则-F 清空规则链-j 动作 匹配数据包后执行的动作-I num 在规则链的头部加入新规则-L 查看规则链-m 用于指定扩展模块-i 网卡名称 匹配从这块网卡流入的数据-o 网卡名称 匹配从这块网卡流出的数据-p 匹配协议如TCP、UDP、ICMP-P 设置默认策略-s 匹配来源地址IP/MASK加叹号“!”表示除这个IP外–sport num 匹配来源端口号
-j参数的动作类型
ACCEPT 允许DROP 丢弃无响应REJECT 拒绝回应请求者明确的拒绝MASQUERADE 伪装上网使用SNAT 共享地址上网DNAT 目标地址改写
四、安装iptables
yum install iptables-services五、iptables启动命令
查看防火墙状态
service iptables status启动防火墙
service iptables start关闭防火墙
service iptables stop开机启动防火墙
chkconfig iptables on开机禁用防火墙
chkconfig iptables off六、iptables命令结构
iptables [-t table] command CHAIN [match] [target/jump][-t table] 用来指定要操作的表。一般情况下不是必须要指定使用的表因为 iptables 不指定 table 就默认使用 filter 表来执行所有的命令。command 告诉程序该做什么比如插入一条规则还是追加一条规则或者是删除一条规则。CHAIN 说明了要操作哪一条链match 来根据包的特点来匹配数据包其中会细致地描述包的某个特点比如来源 IP 地址网络接口端口协议类型等以使这个包区别于其它所有的包。target/jump 说明了对 match 到的数据包做什么操作或者告诉数据包它应该去往何处。若数据包符合所有的 match内核就用 target 来处理它或者说把包发往 target。比如我们可以让内核把包发送到当前表中的其他链可能是自定义链或者只是丢弃这个包而没有什么处理或者向发送者返回某个特殊的应答信息。非常重要的一点是 target 指令必须在最后。
命令例子
iptables -t filter -A INPUT -s 192.168.2.0/24 -p tcp --dport 22 -j ACCEPTiptables对应iptables-A对应commandINPUT对应CHAIN-t filter 对应 [-t table]-s 192.168.2.0/24 -p tcp --dport 22 -j ACCEPT 对应的是[target/jump]
默认执行方式
不指定表名时默认指filter表不指定链名时默认指定表内的所有链除非设置链的默认策略否则必须指定匹配标记选项、链名、控制类型使用大写字母其余均为小写
执行iptables命令和写入配置文件两种方式的对比
执行命令立即生效写入配置文件需要将iptables重启才能生效直接使用iptables命令修改防火墙配置的时候防火墙规则只是保存在内存中重启后就会失效。如果要使内存的命令保存到配置文件中使用下面这条命令但是要注意这个命令会格式化你原来的配置文件导致你写的注释会丢失。原配置文件会备份命令为iptables-saveservice iptables save执行下面的命令iptables -t filter -A INPUT -s 192.168.2.0/24 -p tcp --dport 22 -j ACCEPT等同于写入配置文件filter表下的这段话-A INPUT -s 192.168.2.0/24 -p tcp --dport 22 -j ACCEPT差别写入配置文件不用写iptables、表名其他都一样
相对常用的命令
参考文档
iptables中常用的参数以及作用iptables 防火墙filter表
