您好,登錄后才能下訂單哦!
這篇“怎么使用Iptables初始化防火墻”文章的知識(shí)點(diǎn)大部分人都不太理解,所以小編給大家總結(jié)了以下內(nèi)容,內(nèi)容詳細(xì),步驟清晰,具有一定的借鑒價(jià)值,希望大家閱讀完這篇文章能有所收獲,下面我們一起來(lái)看看這篇“怎么使用Iptables初始化防火墻”文章吧。
netfilter/iptables(簡(jiǎn)稱(chēng)為iptables)組成Linux平臺(tái)下的包過(guò)濾防火墻,與大多數(shù)的Linux軟件一樣,這個(gè)包過(guò)濾防火墻是免費(fèi)的,它可以代替昂貴的商業(yè)防火墻解決方案,完成封包過(guò)濾、封包重定向和網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)等功能。
廢話(huà)不多說(shuō),先上一張表格:
選項(xiàng) | 含義 |
---|---|
-F | 清除鏈中所有的規(guī)則 |
-P | 為鏈添加一條默認(rèn)策略(目標(biāo)) |
-A | 為鏈增加一條規(guī)則說(shuō)明 |
-D | 從鏈中刪除一條規(guī)則 |
-L | 查看當(dāng)前表的鏈和規(guī)則 |
清空默認(rèn)表(filter表)中的數(shù)據(jù),只要簡(jiǎn)單的使用下面這條命令即可:
[root@localhost ~]# iptables -F
清除默認(rèn)表中INPUT鏈的規(guī)則,可使用下面的命令:
[root@localhost ~]# iptables -F INPUT
命令執(zhí)行完成后,使用iptables -L查看當(dāng)前防火墻設(shè)置。 給鏈設(shè)置默認(rèn)策略基本語(yǔ)法如下:
iptables -P archy target
其中archy是鏈的名稱(chēng),target(目標(biāo))用于定義策略。 filter表中共有9個(gè)不同的策略可供使用,但最常用的只有4個(gè),分別包括:ACCEPT表示允許包通過(guò);DROP丟棄一個(gè)包;REJECT會(huì)在丟棄的同時(shí)返回一條ICMP錯(cuò)誤消息;LOG則扮演了記事員的角色記錄包的信息。 通常對(duì)服務(wù)器而言,將所有鏈設(shè)置為DROP是一個(gè)不錯(cuò)的選擇,下面這條命令將所有的鏈的默認(rèn)策略設(shè)置為DROP:
[root@localhost ~]# iptables -P INPUT DROP
執(zhí)行完這條命令后,所有試圖同本機(jī)建立連接的努力都會(huì)失敗,因?yàn)樗袕摹巴獠俊钡竭_(dá)防火墻的包都會(huì)被丟棄,甚至連使用回環(huán)接口ping自己都不行。
使用iptables -A命令添加鏈規(guī)則,命令基本語(yǔ)法如下:
iptables -A archy -i interface -j target
其中,archy代表鏈的名稱(chēng),interface指定該規(guī)則用于哪個(gè)網(wǎng)絡(luò)接口,target用于定義策略。舉一個(gè)很簡(jiǎn)單的例子,下面這條命令就是添加一條INPUT鏈的規(guī)則,允許所有通過(guò)lo接口的鏈接請(qǐng)求:
[root@localhost ~]# iptables -A INPUT -i lo -p ALL -j ACCEPT
其余有關(guān)防火墻規(guī)則的設(shè)置相關(guān)選項(xiàng),如下表:
選項(xiàng) | 含義 |
---|---|
-p proto | 匹配網(wǎng)絡(luò)協(xié)議:tcp、udp、icmp |
–icmp-type type | 匹配ICMP類(lèi)型,和-p icmp配合使用。注意有兩根短劃線(xiàn) |
-s source-ip | 匹配來(lái)源主機(jī)(或網(wǎng)絡(luò))的IP地址 |
–sport port# | 匹配來(lái)源主機(jī)的端口,和-s source-ip配合使用。 |
-d dest-ip | 匹配目標(biāo)主機(jī)的IP地址 |
–dport port# | 匹配目標(biāo)主機(jī)(或網(wǎng)絡(luò))的端口,和-d dest-ip配合使用。 |
iptables提供了-D選項(xiàng)來(lái)刪除鏈規(guī)則,有兩種不同的語(yǔ)法用于刪除一條規(guī)則,這兒介紹最常用的方法:
首先使用帶–line-numbers選項(xiàng)的iptables -L命令查看鏈規(guī)則的編號(hào),命令如下:
[root@localhost ~]# iptables -L --line-numbers
當(dāng)你查到規(guī)則編號(hào)后使用下面命令就可以刪除連規(guī)則:
[root@localhost ~]# iptables -D 18
以上就是關(guān)于“怎么使用Iptables初始化防火墻”這篇文章的內(nèi)容,相信大家都有了一定的了解,希望小編分享的內(nèi)容對(duì)大家有幫助,若想了解更多相關(guān)的知識(shí)內(nèi)容,請(qǐng)關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。