您好,登錄后才能下訂單哦!
主配置文件:vim /etc/sysconfig/iptables
想要自定義防火墻,需要把這里的規(guī)則清空并且權(quán)限設(shè)置成DROP
防火墻名字:netfilter,工具:iptables
防火墻有三個(gè)表filter,nat,mangle
每個(gè)表下面還有鏈:
filter表主要用于過濾包,系統(tǒng)預(yù)設(shè)的表。內(nèi)建三個(gè)鏈INPUT、OUTPUT、FORWARD,INPUT作用于進(jìn)入本機(jī)的包,OUTPUT作用于本機(jī)送出的包,FORWARD作用于跟本機(jī)無關(guān)的包。
nat表主要用處是網(wǎng)絡(luò)地址轉(zhuǎn)換,PREROUTING練的作用是在包剛剛到達(dá)防火墻是改變它的目的地址,POSTOUTING鏈在包就要離開防火墻之前改變其源地址
mangle表主要用于給數(shù)據(jù)包打標(biāo)記,然后根據(jù)標(biāo)記去操作哪些包。
-A/D:增加刪除一條規(guī)則
-I:插入一條規(guī)則,其實(shí)跟-A的效果一樣
-P:指定協(xié)議,可以是tcp,udp,icmp
--dport:跟-p一起使用,指定目標(biāo)端口 //對(duì)于防火墻來說
--sport:跟-P一起使用,指定源端口
-s:指定源IP(可以是一個(gè)IP段) //對(duì)于防火墻來說
-d:指定目標(biāo)IP(可以是一個(gè)IP段)
-j:后面跟動(dòng)作,其中ACCEPT表示允許包,DORP表示丟掉包,REJECT表示拒絕包
規(guī)則按順序生效,當(dāng)兩個(gè)規(guī)則相同時(shí),第一個(gè)規(guī)則先生效,后面的規(guī)則直接忽視掉
防火墻源IP表示,一臺(tái)主機(jī)要想遠(yuǎn)程服務(wù)器,那么這臺(tái)主機(jī)就是源IP,它要發(fā)送數(shù)據(jù)包到服務(wù)器才想遠(yuǎn)程服務(wù)器,要是服務(wù)器不想被遠(yuǎn)程,可以直接把數(shù)據(jù)包DROP掉
iptables要理解防火墻的結(jié)構(gòu),它在本地網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,這可以清楚的理解源IP和目標(biāo)IP,也要搞清楚每個(gè)鏈,如INPUT的目標(biāo)IP是本機(jī)IP源IP是外部IP
iptables -t filter -I INPUT -p tcp --dport80 -s 192.168.134.1 -j REJECT
iptables –F //清空防火墻規(guī)則
iptables –Z //把包以及流量清零
iptables-save > /etc/sysconfig/1.ipt //備份防火墻規(guī)則
iptables-restore /etc/sysconfig/1.ipt //恢復(fù)防火墻規(guī)則
iptables -P INPUT DROP //更改預(yù)設(shè)策略,對(duì)于每個(gè)鏈,安全性高
//實(shí)例:
針對(duì)filter表,預(yù)設(shè)策略INPUT鏈DROP,其他兩個(gè)鏈ACCEPT,然后針對(duì)192.168.134.0/24開通22端口,對(duì)所有網(wǎng)段開放80端口,對(duì)所有網(wǎng)段開放21端口。腳本如下:
vim 1.ipt.sh
#!/bin/bash
ipt="/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -s 192.168.134.0/24 -p tcp--dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。