|
马上注册,结交更多好友,享用更多功能^_^
您需要 登录 才可以下载或查看,没有账号?立即注册
x
作为隔离内外网络,过滤非法数据的有力屏障,防火墙通常按实现环境的不同分为硬件和软件防火墙这分,防火墙是专一的硬件设备,比较全面的功能,它的工作效率高,但是价格太贵,通常只用于非常重要的主干网络节点上,而软件防火墙的功能是由操作系统或软件程序实现,可以在linux和windows等平台构建软件防火墙。软件防火墙的价格相对便谊,配置也相对灵活,internet中大量的企业网络使用linux系统构建软件防火墙。
按照防火墙策略的不同,iptables 管理着4个不同的规则表
filter表,包含三个规则链 INPUT FORWARD OUTPUT
filter表主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包。
filter表对应的内核模块:iptable_filter.
nat表,包含三个规则链 PREROUTING POSTROUTING OUTPUT
nat表主要用于修改数据包的IP地址、端口号等信息。
nat表对应的内核模块:iptable_nat
mangle表,包含五个规则链 PREROUTING PSTROUTING INPUT PUTPUT FORWARD
mangle表主要用于修改数据包的TOS 、TTL 值以及为数据包设置MARK标记。以实现QOS,调整以及策略路由,由于需要相应的路由设备支持。
mangle表对应的内核模块:iptable_mangle
raw表,包含两条规则链 OUTPUT PREROUTING
raw表主要用于决定数据包是否被状态跟踪机制处理。在配数据包时,raw 表的规则要优先它的表。
raw表对应内核模块:iptable_raw.
当数据包抵达防火墙时,将依次应用于raw mangle nat filter 表中对应链内的规则
iptables的语法格式
iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]
iptables 命令的管理选项
-A 在指定链的末尾添加一条新规则
-D 删除指定链中的某一条规则
-I 在指定链中插入一条新规则
-R 修改替换指定链中的某一条规则
-L列出指定链中所有的规则进行查看
-F 清空指定链中的所有规则
-N新建一条用户自己定义的规则链
-X删除指定表中用户自定义的规则链
-P设置指定链的默认策略
-n使用数字形式显示输出的结果,如显示主机的IP地址而不是主机名
-V查看iptales命令工具的版本
-v查看规则列表时显示详细信息
-h查看命令帮助
//其中 添加 插入 删除 清空规则和查看规则是最最常用的选项//
例:
a在filter表的INPUT链的末尾添加一条防火墙规则
[root@byu~]#iptables -t filter -A INPUT -p tcp -j ACCEPT
b在filter表的INPUT链中插入一条防火墙规则
[root@byu~]#iptables -I INPUT -p udp -j ACCEPT
c在filter表的INPUT插入一条防火墙规则 作为第二条规则
[root@byu~]#iptables -I INPUT 2 -p icmp -j ACCEPT
d查看filter表INPUT链中的所有规则 同时显示各条规则的顺序号
[root@byu~]#iptables -L INPUT --line-numbers
e查看filter表各链中所有规则的详细信息,并以数字形式显示地址和端口信息。
[root@byu~]#iptables -vnL // 把"-L"放在最后//
f删除filter表INPUT链中的第3条规则
[root@byu~]#iptables -D INPUT 3
g清空filter表 nat表 mangle表中所有规则
[root@byu~]#iptables -F
[root@byu~]#iptables -t nat -F
[root@byu~]#iptables -t mangle -F
h把filter表中FORWARD规则链的默认策略设为DROP
[root@byu~]#iptables -t filter -p FORWARD DROP
j把filter表中OUTPUT规则链的默认策略设为ACCEPT
[root@byu~]#iptables -p OUTPUT ACCEPT
k查看iptables命令中关于icmp协议的帮助
[root@byu~]#iptables -p icmp -h
l在raw表中增加一条自定义规则链,其名为TCP_PACKET
[root@byu~]#iptables -t raw -N TCP_PACKET
[root@byu~]#iptables -t raw -L //查看raw表中所有规则链的相关信息//
s清空raw表中用户的自定义所有规则链
[root@byu~]#iptables -t raw -x
|
|