当前位置:  首页  >  服务器技术  >  Linux/unix  >  Linux教程

linux下的软件防火墙iptables——规则的查看与清除、定义默认策略-linux运维

防火墙是用户限制某些ip或用户对其主机的访问。防火墙从种类上分为两大类,硬件防火墙以及软件防火墙。软件防火墙主要是对数据包进行过滤,硬件防火墙主要用来对恶意攻击的防护以及数据包的过滤,比如DDOS攻击。
防火墙是用户限制某些ip或用户对其主机的访问。防火墙从种类上分为两大类,硬件防火墙以及软件防火墙。软件防火墙主要是对数据包进行过滤,硬件防火墙主要用来对恶意攻击的防护以及数据包的过滤,比如DDOS攻击。这里,我们来讲解linux下的软件防火墙——iptables。

iptables与firewalld

在centOS6下,默认的软件防火墙是iptables,而到了centos7,则是firewalld。它们之间有什么联系了,其实firewalld就是在原iptables上新封装成的一个软件。

学习iptables时,建议先关闭firewalld,并开启iptables

yum install iptables-services systemctl stop firewalld systemctl start iptables

iptables的表和链

iptables的不同的表代表着不同的功能,默认有4个表

  • filter(过滤器) nat(地址转换) mangle raw

不同的表下面,有着自己的规则链:

  • filter(INPUT/OUTPUT/FORWARD)

  • nat(prerouting/output/postouting)

这些链代表的意义如下:

  • INPUT链——进来的数据包应用此规则链中的规则

  • OUTPUT链——外出的数据包应用此规则链中的规则

  • FORWARD链——转发数据包时应用此规则链中的规则

  • PREROUTING链——对数据包作路由选择前应用此链中的规则

  • POSTROUTING链——对数据包作路由选择后应用此链中的规则

iptables的规则查看与清除

规则查看

用法示例:iptables [-t tables] -L [-nv]

选项与参数:

  • -t后接表类型,省略该选项,则默认为filter表。

  • -L列出当前表的规则

  • -n 不进行域名与ip反查

  • -v 显示更多信息

# 查看filter表的规则 # iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 67 4444 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 2 286 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 38 packets, 4664 bytes) pkts bytes target prot opt in out source destination # 查看nat表的规则 iptables -t nat -L -nv

链下的规则选项的含义如下:

  • target:代表进行的操作,ACCEPT放行、drop丢弃、reject拒绝

  • prot:代表使用的数据包协议,有tcp、udp以及icmp

  • opt:说明信息

  • source:对某来源主机进行限制

  • destination:对某目标主机进行限制

上面显示的INPUT链的5条规则含义如下:

  1. 只要数据包的状态为RELATED,ESTABLISHED,都接受

  2. 只要是icmp包都接受

  3. 只要是本地回环网卡,所有数据都接受

  4. 只要是发送给22端口的主动式连接的TCP数据包都接受。

  5. 拒绝所有的数据包

清楚iptables的规则

默认安装centOS7后,系统就已经有许多iptables的规则,这里教大家如何去清除这些规则。

用法示例:iptables [-t tables] [-FXZ]

选项与参数:

  • -F 清理所有已定制的规则

  • -X 清理所有用户自定义的规则

  • -Z 将所有的统计计数置零

# iptables -F # iptables -X # iptables -Z

查看具体的规则

使用iptables-save可以查看具体的规则

用法:iptables-save [-t tables]

# iptables-save -t filter # Generated by iptables-save v1.4.21 on Sat Nov 14 21:51:56 2020 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [56:7196] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited # Completed on Sat Nov 14 21:51:56 2020

定义默认策略

当我们清楚完规则后,就只剩下默认的策略了。什么是默认的策略,就是当不满足我们任何一条规则时,就采用默认规则。默认的策略有ACCEPT(接受数据包)和DROP(丢弃数据包)

用法:iptables [-t tables] -P [INPUT|OUTPUT|FORWARD……] [ACCEPT|DROP]

现在,我们尝试将filter的INPUT链的默认修改为DROP、OUTPUT及FORWARD链修改为ACCETP

iptables -t filter -P INPUT DROP # 注意,该命令敲完后,你的终端就可能会断开连接了 iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT

内容推荐:免费高清PNG素材下载

吐了个 "CAO" !
扫码关注 PHP1 官方微信号
PHP1.CN | 中国最专业的PHP中文社区 | PNG素材下载 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有 京ICP备19059560号-4