Linux下防火墙iptables设置

本文涉及的产品
云防火墙,500元 1000GB
简介:

基础知识

Linux系统内核内建了netfilter防火墙机制。Netfilter(数据包过滤机制),所谓的数据包过滤,就是分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析,以决该连接为放行或阻挡的机制。Netfilter提供了iptables这个程序来作为防火墙数据包过滤的命令。Netfilter是内建的,效率非常高。

我们可以通过iptables命令来设置netfilter的过滤机制。

iptables里有3张表:

> Filter(过滤器),进入Linux本机的数据包有关,是默认的表。
> NAT(地址转换),与Linux本机无关,主要与Linux主机后的局域网内计算机相关。
> Mangle(破坏者),这个表格主要是与特殊的数据包的路由标志有关(通常不用涉及到这个表的修改,对这个表的修改破坏性很大,慎改之)。


每张表里都还有多条链:

Filter:INPUT, OUTPUT, FORWARD
NAT:PREROUTING, POSTROUTING, OUTPUT
Mangle:PREROUTING, OUTPUT, INPUT, FORWARD


如下为iptables内建各表与链的相关性

当一个数据包转给Netfilter后,Netfilter会按上面的流程依次比对每一张表。如果数据包符合表中所述,则进行相应的处理。


iptables命令的使用

基本格式:iptables [-t table] -CMD chain CRETIRIA -j ACTION

-t table:3张表中的其中一种filter, nat, mangle,如果没有指定,默认是filter。
CMD:操作命令。查看、添加、替换、删除等。
chain:链。指定是对表中的哪条链进行操作,如filter表中的INPUT链。
CRETIRIA:匹配模式。对要过滤的数据包进行描述
ACTION:操作。接受、拒绝、丢弃等。


查看

格式:iptables [-t table] -L [-nv]


修改

添加

格式:iptables [-t table] -A chain CRETIRIA -j ACTION

将新规则加入到表table(默认filter)的chain链的最后位置


插入

格式:iptables [-t table] -I chain pos CRETIRIA -j ACTION

将新规则插入到table表(默认filter)chain链的pos位置。原来之后的规则都往后推一位。pos的有效范围为:1 ~ num+1


替换

格式:iptables [-t table] -R chain pos CRETIRIA -j ACTION

用新规则替换table表(默认filter)chain链的pos位置的规则。pos的有效范围为:1 ~ num


删除

格式:iptables [-t table] -D chain pos

删除table表(默认filter)chain链的pos位置的规则。pos的有效范围为:1 ~ num


包匹配(CRETIRIA)

上面没有介绍CRETIRIA的规则,在这小节里详细介绍。包匹配就是用于描述需要过滤的数据包包头特殊的字段。

指定网口:

  -i :数据包所进入的那个网络接口,例如 eth0、lo等,需与INPUT链配合
  -o: 数据包所传出的那么网络接口,需与OUTPUT链配合

指定协议:

  -p:tcp, udp, icmp或all

指定IP网络:

  -s:来源网络。可以是IP或网络
       IP: 192.168.0.100
       网络: 192.168.0.0/24 或 192.168.0.0/255.255.255.0 均可
       可以在前加 ! 表示取反

  -d:目标网格。同 -s

指定端口:

  --sport:指定来源端口。可以是单个端口,还可以是连续的端口,例如:1024:65535。

  --dport:指定目标端口。同--sport

  注意:要指定了tcp或udp协议才会有效。

指定MAC地址:

  -m mac --mac-source aa:bb:cc:dd:ee:ff

指定状态:

  -m state --state STATUS

   STATUS可以是:

   > INVALID,无效包
   > ESTABLISHED,已经连接成功的连接状态
   > NEW,想要新立连接的数据包
   > RELATED,这个数据包与主机发送出去的数据包有关,(最常用)

例如:只要已建立连接或与已发出请求相关的数据包就予以通过,不合法数据包就丢弃

  -m state --state RELATED,ESTABLISHED


ICMP数据比对

ping操作发送的是ICMP包,如果不想被ping到,就可以拒绝。

  --icmp-type TYPE

  TYPE如下:

    8    echo-request(请求)
    0    echo-reply(响应)

  注意:需要与 -p icmp 配合使用。


操作(ACTION)

  DROP,丢弃

  ACCEPT,接受

  REJECT,拒绝

  LOG,跟踪记录,将访问记录写入 /var/log/messages


保存配置

将新设置的规则保存到文件

格式:iptables-save [-t table]

将当前的配置保存到 /etc/sysconfig/iptables


其它

格式:iptables [-t table] [-FXZ]

  -F :请除所有的已制订的规则
  -X :除掉所有用户“自定义”的chain
  -Z :将所有的统计值清0

 

参考文章

应用实例:http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html

目录
相关文章
|
2天前
|
监控 安全 Linux
启用Linux防火墙日志记录和分析功能
为iptables启用日志记录对于监控进出流量至关重要
|
1月前
|
监控 Oracle 关系型数据库
Linux平台Oracle开机自启动设置
【11月更文挑战第8天】在 Linux 平台设置 Oracle 开机自启动有多种方法,本文以 CentOS 为例,介绍了两种常见方法:使用 `rc.local` 文件(较简单但不推荐用于生产环境)和使用 `systemd` 服务(推荐)。具体步骤包括编写启动脚本、赋予执行权限、配置 `rc.local` 或创建 `systemd` 服务单元文件,并设置开机自启动。通过 `systemd` 方式可以更好地与系统启动过程集成,更规范和可靠。
117 2
|
1月前
|
Oracle Ubuntu 关系型数据库
Linux平台Oracle开机自启动设置
【11月更文挑战第7天】本文介绍了 Linux 系统中服务管理机制,并详细说明了如何在使用 systemd 和 System V 的系统上设置 Oracle 数据库的开机自启动。包括创建服务单元文件、编辑启动脚本、设置开机自启动和启动服务的具体步骤。最后建议重启系统验证设置是否成功。
|
2月前
|
网络协议 Ubuntu 网络安全
|
1月前
|
关系型数据库 MySQL Linux
Linux系统如何设置自启动服务在MySQL数据库启动后执行?
【10月更文挑战第25天】Linux系统如何设置自启动服务在MySQL数据库启动后执行?
121 3
|
1月前
|
存储 运维 Linux
Linux防火墙firewall的使用
CentOS 7 中的 firewalld 是基于 Netfilter 的防火墙服务,支持动态配置,无需重启服务即可生效。它通过区域管理网络流量,每个区域可以设置不同的防火墙规则。默认区域为 public,可以通过命令行工具 firewall-cmd 进行管理和配置。firewalld 提供了丰富的预定义服务和区域,方便用户根据需求进行灵活配置。
46 0
|
2月前
|
开发框架 缓存 Ubuntu
dotnet开发框架+ubuntu防火墙命令+win11设置自动登录+阿里云短信发送限制
dotnet开发框架+ubuntu防火墙命令+win11设置自动登录+阿里云短信发送限制
46 3
|
2月前
|
运维 网络协议 安全
Linux安全运维--一篇文章全部搞懂iptables
Linux安全运维--一篇文章全部搞懂iptables
56 1
|
2月前
|
Ubuntu Linux
Linux实践|设置静态 IP 地址
Linux实践|设置静态 IP 地址
76 0
Linux实践|设置静态 IP 地址
|
2月前
|
Linux 应用服务中间件 nginx
Linux下权限设置之suid、sgid、sticky
Linux下权限设置之suid、sgid、sticky

热门文章

最新文章