系统安全之iptables防火墙-阿里云开发者社区

开发者社区> 安全> 正文

系统安全之iptables防火墙

简介:

一、简介

  工作在主机或网络边缘的,对进出的报文事先定义的规则进行检查,由软硬件两者协同工作,这就是防火墙。   


二、iptables常用选项

iptables命令:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
iptables — administration tool for IPv4 packet filtering and NAT
SYNOPSIS
   iptables [-t table] {-A|-C|-D} chain rule-specification
   iptables [-t table] -I chain [rulenum] rule-specification
   iptables [-t table] -R chain rulenum rule-specification
   iptables [-t table] -D chain rulenum
   iptables [-t table] -S [chain [rulenum]]
   iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
   iptables [-t table] -N chain
   iptables [-t table] -X [chain]
   iptables [-t table] -P chain target
   iptables [-t table] -E old-chain-name new-chain-name
   rule-specification = [matches...] [target]
   match = -m matchname [per-match-options]
   target = -j targetname [per-target-options]


1)查看iptables,以数字形式显示,并且详细显示个参数 

iptables -L -n -v 或iptables -L -n -vv/iptables -L -n -vvv  


2)清除所有的规则,flush [chain],delete all the rule one by one  

iptables -F  


3)删除自定义的规则

iptables -F 


4)创建自定义的一个新链

iptables -N


5)链的记录清零   

iptables -Z   

 

6)常用的四表五链   

四表:


filter:过滤表    nat:网络地址转换    mangle:对报文进行重新的拆装    raw:关闭nat表上启用的连接追踪功能  


五链:


PREROUTING    INPUT    FORWARD    OUTPUT    POSTROUTING  

数据流向:

流入本机:PREROUTING-->INPUT

本机流出:OUTPUT-->POSTROUTING

转发:PREROUTING-->FORWARD-->POSTROUTING




三、实际操作

1)清除默认的链及其规则

iptables -F  iptables -X  iptables -Z 


2)配置允许ssh登录端口进入 

iptables -A INPUT -d 10.10.0.1 -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT  

iptables -A OUTPUT -s 10.1.0.1 -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT 


3)设置允许本机lo通信规则

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT 


4、设置默认的防火墙禁止和允许规则

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP 


5、开启信任的网段

iptables -A INPUT -s 10.1.0.0/16 -p all -j ACCEPT 


6、允许业务服务对外提供访问

iptables -A INPUT -p tcp --dport 80 -j ACCEPT  

iptables -A INPUT -d 10.1.249.4 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 5 -m state NEW,ESTABLISHED -j ACCEPT 

iptables -A OUTPUT -s 10.1.249.4 -p icmp --icmp-type 0 -m state --state ESTABLISHED -j ACCEPT  



本文转自chengong1013 51CTO博客,原文链接:http://blog.51cto.com/purify/1853419,如需转载请自行联系原作者

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章