iptables-防火墻

關(guān)于防火墻的題:https://mp.weixin.qq.com/s/ePsDxlv7EGZr5KqOfarzOg

1. iptables 執(zhí)行過程


1. 防火墻是層層過濾的,實際是按照配置規(guī)則的順序從上到下,從前到后進行過濾的。
2. 匹配 表示 阻止還是通過,數(shù)據(jù)包就不再向下匹配新的規(guī)則 。
3. 如果規(guī)則中沒有明確表明是阻止還是通過的,也就是沒有匹配規(guī)則,向下進行匹配,直到匹配默認(rèn)規(guī)則得到明
確的阻止還是通過。
4. 防火墻的默認(rèn)規(guī)則是所有規(guī)則執(zhí)行完才執(zhí)行的。
image.png

2. 表與鏈

4表5鏈

4表:主要介紹filter表,nat表

  1. filter表 (默認(rèn),防火墻功能 允許 拒絕)
  2. nat表 (內(nèi)網(wǎng)服務(wù)器上外網(wǎng)-共享上網(wǎng))(端口映射)
  3. mangle表
  4. raw表

filter表包含的鏈

image.png

nat表包含的鏈

image.png

4表五鏈流程

image.png

iptables 命令管理及相關(guān)文件

[root@m01 ~]# yum install -y iptables-services
[root@m01 ~]# rpm -ql iptables
/usr/sbin/iptables #iptables管理命令
[root@m01 ~]# rpm -ql iptables-services
/etc/sysconfig/ip6tables
/etc/sysconfig/iptables #防火墻的配置文件
/usr/lib/systemd/system/ip6tables.service
/usr/lib/systemd/system/iptables.service #防火墻服務(wù)配置文件(命令)

#防火墻相關(guān)模塊 加載到內(nèi)核中
#加載防火墻的內(nèi)核模塊
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

iptables命令參數(shù)

image.png

image.png

image.png

image.png

1.禁止訪問22端口

  iptables -t filter -A INTUP -p tcp --dport 22 -j DROP
image.png

2. 刪除 規(guī)則 -D

   iptables -nL --line-numbers  #查看行號
   iptables -D INPUT 1 #刪除input鏈中的第一行
image.png

3. 禁止網(wǎng)段連入(禁止10.0.0.0網(wǎng)段訪問 8080端口)

 iptables -I INPUT -s 10.0.0.0/24 -p tcp --dport 8080 -j DROP

只允許指定網(wǎng)段連入(允許10.0.0.0網(wǎng)段)

 iptables -I input ! -s 10.0.0.0/24 -j DROP

指定多個端口

   只允許 80,443 端口的訪問
   iptables -I INPUT -p tcp -m multiport ! 80,443 -j DROP
   禁止 1024-65535 端口訪問
   iptables -I INPUT -p tcp --dport 1024:65535 -j DROP

4. 限制并發(fā)及速率

  iptables -I INPUT -p icmp --icmp-type 8 -j ACCEPT
  iptables -I INPUT -p icmp --icmp-type 8 -m limit --limit 6/min --limit-burst 5 -j ACCEPT

-m limit --limit n/{second/minute/hour}
指定時間內(nèi)的請求速率”n”為速率,后面為時間分別為:秒 分 時
--limit-burst [n]
在同一時間內(nèi)允許通過的請求”n”為數(shù)字,不指定默認(rèn)為5

5. iptables save 保存

iptables-save > /etc/sysconfig/iptables
保存在/etc/sysconfig/iptables中效果和service iptables save命令一樣。
如果保存在其他路徑,重啟后可以使用 iptables-restore命令恢復(fù)防火墻規(guī)則。
iptables-restore < path(path為保存的路徑)

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容