iptables防火墙配置 1
作为隔离内外网络,过滤非法数据的有力屏障,防火墙通常按实现环境的不同分为硬件和软件防火墙这分,防火墙是专一的硬件设备,比较全面的功能,它的工作效率高,但是价格太贵,通常只用于非常重要的主干网络节点上,而软件防火墙的功能是由操作系统或软件程序实现,可以在linux和windows等平台构建软件防火墙。软件防火墙的价格相对便谊,配置也相对灵活,internet中大量的企业网络使用linux系统构建软件防火墙。按照防火墙策略的不同,iptables 管理着4个不同的规则表
filter表,包含三个规则链 INPUT FORWARDOUTPUT
filter表主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包。
filter表对应的内核模块:iptable_filter.
nat表,包含三个规则链 PREROUTINGPOSTROUTINGOUTPUT
nat表主要用于修改数据包的IP地址、端口号等信息。
nat表对应的内核模块:iptable_nat
mangle表,包含五个规则链PREROUTINGPSTROUTINGINPUTPUTPUT FORWARD
mangle表主要用于修改数据包的TOS、TTL 值以及为数据包设置MARK标记。以实现QOS,调整以及策略路由,由于需要相应的路由设备支持。
mangle表对应的内核模块:iptable_mangle
raw表,包含两条规则链 OUTPUTPREROUTING
raw表主要用于决定数据包是否被状态跟踪机制处理。在配数据包时,raw 表的规则要优先它的表。
raw表对应内核模块:iptable_raw.
当数据包抵达防火墙时,将依次应用于raw mangle nat filter 表中对应链内的规则
iptables的语法格式
iptables [-t表名]命令选项 [链名][条件匹配] [-j目标动作或跳转]
iptables 命令的管理选项
-A在指定链的末尾添加一条新规则
-D删除指定链中的某一条规则
-I 在指定链中插入一条新规则
-R 修改替换指定链中的某一条规则
-L列出指定链中所有的规则进行查看
-F 清空指定链中的所有规则
-N新建一条用户自己定义的规则链
-X删除指定表中用户自定义的规则链
-P设置指定链的默认策略
-n使用数字形式显示输出的结果,如显示主机的IP地址而不是主机名
-V查看iptales命令工具的版本
-v查看规则列表时显示详细信息
-h查看命令帮助
//其中添加插入删除 清空规则和查看规则是最最常用的选项//
例:
a在filter表的INPUT链的末尾添加一条防火墙规则
#iptables -t filter -A INPUT -p tcp -j ACCEPT
b在filter表的INPUT链中插入一条防火墙规则
#iptables -I INPUT -p udp-jACCEPT
c在filter表的INPUT插入一条防火墙规则 作为第二条规则
#iptables-I INPUT 2 -p icmp -jACCEPT
d查看filter表INPUT链中的所有规则 同时显示各条规则的顺序号
#iptables -L INPUT --line-numbers
e查看filter表各链中所有规则的详细信息,并以数字形式显示地址和端口信息。
#iptables -vnL // 把"-L"放在最后//
f删除filter表INPUT链中的第3条规则
#iptables -D INPUT 3
g清空filter表nat表mangle表中所有规则
#iptables -F
#iptables -tnat-F
#iptables -tmangle -F
h把filter表中FORWARD规则链的默认策略设为DROP
#iptables -t filter -p FORWARD DROP
j把filter表中OUTPUT规则链的默认策略设为ACCEPT
#iptables -p OUTPUT ACCEPT
k查看iptables命令中关于icmp协议的帮助
#iptables -p icmp -h
l在raw表中增加一条自定义规则链,其名为TCP_PACKET
#iptables -t raw -NTCP_PACKET
#iptables -t raw -L //查看raw表中所有规则链的相关信息//
s清空raw表中用户的自定义所有规则链
#iptables -traw-x
页:
[1]