您好,登錄后才能下訂單哦!
1、iptables命令
iptables命令是Linux上常用的防火墻軟件,是netfilter項目的一部分??梢灾苯优渲?,也可以通過許多前端和圖形界面配置。
2、iptables的"四表五鏈:"
四表包括:
raw:高級功能,如:網(wǎng)址過濾。
mangle:數(shù)據(jù)包修改(QOS),用于實現(xiàn)服務(wù)質(zhì)量。
net:地址轉(zhuǎn)換,用于網(wǎng)關(guān)路由器。
filter:包過濾,用于防火墻規(guī)則。
五條規(guī)則鏈名包括:(netfilter內(nèi)核模塊上的五個函數(shù))
INPUT鏈:處理輸入數(shù)據(jù)包。
OUTPUT鏈:處理輸出數(shù)據(jù)包。
PORWARD鏈:處理轉(zhuǎn)發(fā)數(shù)據(jù)包。
PREROUTING鏈:用于目標地址轉(zhuǎn)換(DNAT)。
POSTOUTING鏈:用于源地址轉(zhuǎn)換(SNAT)。
3、數(shù)據(jù)包的過濾匹配流程如下圖;
4、對數(shù)據(jù)包處理動作包括:
ACCEPT:接收數(shù)據(jù)包。
DROP:丟棄數(shù)據(jù)包。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址轉(zhuǎn)換。
DNAT:目標地址轉(zhuǎn)換。
MASQUERADE:IP偽裝(NAT),用于ADSL。
LOG:日志記錄。
5、iptables語法
iptables(選項)(參數(shù))
1、查看默認規(guī)則:
iptables [-t table] [-L] [-nv]
2、查看防火墻規(guī)則:
iptables-save [-t table]
3、清除防火墻規(guī)則:
iptables [-t tables] [-FXZ]
4、定義默認規(guī)則:
iptables [-t table] -P [INPUT,OUTPUT,F(xiàn)ORWARD] [ACCEPT,DROP]
5、數(shù)據(jù)包的比對設(shè)置;
iptables [-AI 鏈名] [-io 網(wǎng)絡(luò)接口] [-p 協(xié)議] [-s 來源IP/網(wǎng)絡(luò)] [-d 目標IP/網(wǎng)絡(luò)] -j[ACCEPT|DROP|REJECT|LOG]
6、iptables的模塊(state,mac):
iptables -A INPUT [-m state] [--state 狀態(tài)] iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m mac --mac-source aa:bb:cc:dd:ee:ff -j ACCEPT
7、icmp數(shù)據(jù)包規(guī)劃比對:
iptables -A INPUT [-p icmp] [--icmp-type 類型] -j ACCEPT
ICMP常見類型:
0 Echo Reply——回顯應(yīng)答(Ping應(yīng)答)
8 Echo request——回顯請求(Ping請求)
選項:
-t<表>:指定要操縱的表;
-A:向規(guī)則鏈中添加條目;
-D:從規(guī)則鏈中刪除條目;
-i:向規(guī)則鏈中插入條目;
-R:替換規(guī)則鏈中的條目;
-L:顯示規(guī)則鏈中已有的條目;
-F:清楚規(guī)則鏈中已有的條目;
-Z:清空規(guī)則鏈中的數(shù)據(jù)包計算器和字節(jié)計數(shù)器;
-N:創(chuàng)建新的用戶自定義規(guī)則鏈;
-P:定義規(guī)則鏈中的默認目標;
-h:顯示幫助信息;
-p:指定要匹配的數(shù)據(jù)包協(xié)議類型;
-s:指定要匹配的數(shù)據(jù)包源ip地址;
-j<目標>:指定要跳轉(zhuǎn)的目標;
-i<網(wǎng)絡(luò)接口>:指定數(shù)據(jù)包進入本機的網(wǎng)絡(luò)接口;
-o<網(wǎng)絡(luò)接口>:指定數(shù)據(jù)包要離開本機所使用的網(wǎng)絡(luò)接口。
6、一般情況下創(chuàng)建防火墻規(guī)則的順序:
1、清空防火墻規(guī)則
2、設(shè)置防火墻的默認策略
3、信任本機:(由于lo對本機來說是相當重要的,因此lo必須設(shè)置為信任設(shè)備)
4、回應(yīng)數(shù)據(jù)包:(讓本機通過主動向外發(fā)出請求而響應(yīng)的數(shù)據(jù)包可以進入本機(ESTABLISHED、RELATED) )
5、添加具體的規(guī)則
7、iptables簡單查看示例:
# iptables -nL 查看防火墻設(shè)置 # iptables -t nat -nL 查看nat表 # iptables -t mangle -nL 查看mangle表 # iptables -t raw -nL 查看raw表 # iptables -t filter -P FORWARD DROP 設(shè)定FORWARD默認策略為丟棄,-t filter可省略; # iptables -P INPUT DROP 設(shè)置INPUT默認策略; # iptables -P OUTPUT DROP 設(shè)置OUTPUT默認策略; # iptables -nL INPUT 查看指定某個鏈上的規(guī)則; # iptables -nvL 查看詳細信息; # iptables -nvxL 查看詳細信息,且顯示單位為字節(jié); # iptables -nvxL --line-number 顯示規(guī)則編號; # iptables -nvvxL --line-number 顯示更詳細信息; # iptables -nvvvxL --line-number 顯示更多更詳細信息; # iptables -S 顯示添加的規(guī)則命令; # iptables -S INPUT 顯示在input鏈上添加的規(guī)則命令; # iptables -F 清空規(guī)則;
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。