当前位置: 开发笔记 > 运维 > 正文

linux下的软件防火墙iptables——规则的查看与清除、定义默认策略-linux运维

作者：我是一颗菠菜 | 来源：互联网 | 2020-11-24 14:23

防火墙是用户限制某些ip或用户对其主机的访问。防火墙从种类上分为两大类，硬件防火墙以及软件防火墙。软件防火墙主要是对数据包进行过滤，硬件防火墙主要用来对恶意攻击的防护以及数据包的过滤，比如DDOS攻击。

防火墙是用户限制某些ip或用户对其主机的访问。防火墙从种类上分为两大类，硬件防火墙以及软件防火墙。软件防火墙主要是对数据包进行过滤，硬件防火墙主要用来对恶意攻击的防护以及数据包的过滤，比如DDOS攻击。这里，我们来讲解linux下的软件防火墙——iptables。

iptables与firewalld

在centOS6下，默认的软件防火墙是iptables，而到了centos7，则是firewalld。它们之间有什么联系了，其实firewalld就是在原iptables上新封装成的一个软件。

学习iptables时，建议先关闭firewalld，并开启iptables

yum install iptables-services
systemctl stop firewalld
systemctl start iptables

iptables的表和链

iptables的不同的表代表着不同的功能，默认有4个表

filter（过滤器） nat（地址转换） mangle raw

不同的表下面，有着自己的规则链：

filter（INPUT/OUTPUT/FORWARD）
nat（prerouting/output/postouting）

这些链代表的意义如下：

INPUT链——进来的数据包应用此规则链中的规则
OUTPUT链——外出的数据包应用此规则链中的规则
FORWARD链——转发数据包时应用此规则链中的规则
PREROUTING链——对数据包作路由选择前应用此链中的规则
POSTROUTING链——对数据包作路由选择后应用此链中的规则

iptables的规则查看与清除

规则查看

用法示例：iptables [-t tables] -L [-nv]

选项与参数：

-t后接表类型，省略该选项，则默认为filter表。
-L列出当前表的规则
-n 不进行域名与ip反查
-v 显示更多信息

# 查看filter表的规则
# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   67  4444 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    2   286 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 38 packets, 4664 bytes)
 pkts bytes target     prot opt in     out     source               destination  
 
# 查看nat表的规则
iptables -t nat -L -nv

链下的规则选项的含义如下：

target：代表进行的操作，ACCEPT放行、drop丢弃、reject拒绝
prot：代表使用的数据包协议，有tcp、udp以及icmp
opt：说明信息
source：对某来源主机进行限制
destination：对某目标主机进行限制

上面显示的INPUT链的5条规则含义如下：

只要数据包的状态为RELATED,ESTABLISHED，都接受
只要是icmp包都接受
只要是本地回环网卡，所有数据都接受
只要是发送给22端口的主动式连接的TCP数据包都接受。
拒绝所有的数据包

清楚iptables的规则

默认安装centOS7后，系统就已经有许多iptables的规则，这里教大家如何去清除这些规则。

用法示例：iptables [-t tables] [-FXZ]

选项与参数：

-F 清理所有已定制的规则
-X 清理所有用户自定义的规则
-Z 将所有的统计计数置零

# iptables -F
# iptables -X
# iptables -Z

查看具体的规则

使用iptables-save可以查看具体的规则

用法：iptables-save [-t tables]

# iptables-save -t filter
# Generated by iptables-save v1.4.21 on Sat Nov 14 21:51:56 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [56:7196]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
 
# Completed on Sat Nov 14 21:51:56 2020

定义默认策略

当我们清楚完规则后，就只剩下默认的策略了。什么是默认的策略，就是当不满足我们任何一条规则时，就采用默认规则。默认的策略有ACCEPT(接受数据包）和DROP（丢弃数据包）

用法：iptables [-t tables] -P [INPUT|OUTPUT|FORWARD……] [ACCEPT|DROP]

现在，我们尝试将filter的INPUT链的默认修改为DROP、OUTPUT及FORWARD链修改为ACCETP

iptables -t filter -P INPUT DROP
# 注意，该命令敲完后，你的终端就可能会断开连接了
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

推荐阅读

centos
Nginx使用AWStats日志分析的步骤及注意事项

本文介绍了在Centos7操作系统上使用Nginx和AWStats进行日志分析的步骤和注意事项。通过AWStats可以统计网站的访问量、IP地址、操作系统、浏览器等信息，并提供精确到每月、每日、每小时的数据。在部署AWStats之前需要确认服务器上已经安装了Perl环境，并进行DNS解析。 ... [详细]

蜡笔小新 2023-12-14 19:42:01
centos
如何在服务器主机上实现文件共享的方法和工具

本文介绍了在服务器主机上实现文件共享的方法和工具，包括Linux主机和Windows主机的文件传输方式，Web运维和FTP/SFTP客户端运维两种方式，以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外，还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK，以及主机迁移服务会收集的源端服务器信息。 ... [详细]

蜡笔小新 2023-12-13 13:23:48
centos
成功安装Sabayon Linux在thinkpad X60上的经验分享

本文分享了作者在国庆期间在thinkpad X60上成功安装Sabayon Linux的经验。通过修改CHOST和执行emerge命令，作者顺利完成了安装过程。Sabayon Linux是一个基于Gentoo Linux的发行版，可以将电脑快速转变为一个功能强大的系统。除了作为一个live DVD使用外，Sabayon Linux还可以被安装在硬盘上，方便用户使用。 ... [详细]

蜡笔小新 2023-12-13 11:35:40
centos
如何在CentOS 7.x上进行端口映射配置

本文介绍了在CentOS 7.x上进行端口映射配置的方法，通过修改内核和配置防火墙实现端口映射。作者分享了自己使用华为服务器进行端口映射的经验，发现网速比直连还快且稳定。详细的配置过程包括开启系统路由模式功能、设置IP地址伪装、设置端口映射等。同时，还介绍了如何监听本地端口的tcp请求，以及删除规则和开放的端口的方法。 ... [详细]

蜡笔小新 2023-12-13 10:22:21
centos
在CentOS/RHEL 7/6，Fedora 27/26/25上安装JAVA 9的步骤和方法

本文介绍了在CentOS/RHEL 7/6，Fedora 27/26/25上安装JAVA 9的详细步骤和方法。首先需要下载最新的Java SE Development Kit 9发行版，然后按照给出的Shell命令行方式进行安装。详细的步骤和方法请参考正文内容。 ... [详细]

蜡笔小新 2023-12-13 09:26:47
centos
CentOS 7部署KVM虚拟化环境之一架构介绍

本文介绍了CentOS 7部署KVM虚拟化环境的架构，详细解释了虚拟化技术的概念和原理，包括全虚拟化和半虚拟化。同时介绍了虚拟机的概念和虚拟化软件的作用。 ... [详细]

蜡笔小新 2023-12-12 21:38:57
centos
CentOS安装Python2.7.2的步骤和注意事项

本文介绍了在CentOS上安装Python2.7.2的详细步骤，包括下载、解压、编译和安装等操作。同时提供了一些注意事项，以及测试安装是否成功的方法。 ... [详细]

蜡笔小新 2023-12-12 13:54:31
centos
CEPH LIO iSCSI Gateway及其使用参考文档

本文介绍了CEPH LIO iSCSI Gateway以及使用该网关的参考文档，包括Ceph Block Device、CEPH ISCSI GATEWAY、USING AN ISCSI GATEWAY等。同时提供了多个参考链接，详细介绍了CEPH LIO iSCSI Gateway的配置和使用方法。 ... [详细]

蜡笔小新 2023-12-12 10:10:14
centos
Linux文件ACL权限的设置方法和使用说明

本文介绍了在Linux系统中设置文件ACL权限的方法和使用说明，包括在centos7.3和centos6.9中开启ACL权限的两种方法：在挂载时指定打开ACL权限和修改默认的属性信息。同时提供了对ACL权限的详细解释和应用场景。 ... [详细]

蜡笔小新 2023-12-12 01:11:07
centos
CentOS 6.4更新源地址的方法

本文介绍了在CentOS 6.4系统中更新源地址的方法，包括备份现有源文件、下载163源、修改文件名、更新列表和系统，并提供了相应的命令。 ... [详细]

蜡笔小新 2023-12-11 16:09:40
centos
Vagrant虚拟化工具的安装和使用教程

本文介绍了Vagrant虚拟化工具的安装和使用教程。首先介绍了安装virtualBox和Vagrant的步骤。然后详细说明了Vagrant的安装和使用方法，包括如何检查安装是否成功。最后介绍了下载虚拟机镜像的步骤，以及Vagrant镜像网站的相关信息。 ... [详细]

蜡笔小新 2023-12-11 14:24:00
centos
Linux下安装依赖包版本高解决方法

本文介绍了在Linux系统下，当已安装的依赖包版本高于需要安装的依赖包版本时，解决方法包括欺骗安装程序和修改相关配置文件等操作。针对不同情况，提供了不同的解决方案。 ... [详细]

蜡笔小新 2023-12-11 09:21:04
centos
centos安装Mysql的方法及步骤详解

本文介绍了centos安装Mysql的两种方式：rpm方式和绿色方式安装，详细介绍了安装所需的软件包以及安装过程中的注意事项，包括检查是否安装成功的方法。通过本文，读者可以了解到在centos系统上如何正确安装Mysql。 ... [详细]

蜡笔小新 2023-12-11 07:30:47
centos
Centos下安装memcached+memcached教程

本文介绍了在Centos下安装memcached和使用memcached的教程，详细解释了memcached的工作原理，包括缓存数据和对象、减少数据库读取次数、提高网站速度等。同时，还对memcached的快速和高效率进行了解释，与传统的文件型数据库相比，memcached作为一个内存型数据库，具有更高的读取速度。 ... [详细]

蜡笔小新 2023-12-10 17:10:24
centos
Centos7搭建ELK（Elasticsearch、Logstash、Kibana）教程及注意事项

本文介绍了在Centos7上搭建ELK（Elasticsearch、Logstash、Kibana）的详细步骤，包括下载安装包、安装Elasticsearch、创建用户、修改配置文件等。同时提供了使用华为镜像站下载安装包的方法，并强调了保证版本一致的重要性。 ... [详细]

蜡笔小新 2023-12-10 16:27:21

我是一颗菠菜

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章