• 技术文章 >运维 >linux运维

    linux下的软件防火墙iptables——规则的查看与清除、定义默认策略

    齐天大圣齐天大圣2020-11-18 15:33:46原创49
    防火墙是用户限制某些ip或用户对其主机的访问。防火墙从种类上分为两大类,硬件防火墙以及软件防火墙。软件防火墙主要是对数据包进行过滤,硬件防火墙主要用来对恶意攻击的防护以及数据包的过滤,比如DDOS攻击。这里,我们来讲解linux下的软件防火墙——iptables。

    iptables与firewalld

    在centOS6下,默认的软件防火墙是iptables,而到了centos7,则是firewalld。它们之间有什么联系了,其实firewalld就是在原iptables上新封装成的一个软件。

    学习iptables时,建议先关闭firewalld,并开启iptables

    yum install iptables-services
    systemctl stop firewalld
    systemctl start iptables

    iptables的表和链

    iptables的不同的表代表着不同的功能,默认有4个表

    不同的表下面,有着自己的规则链:

    这些链代表的意义如下:

    iptables的规则查看与清除

    规则查看

    用法示例:iptables [-t tables] -L [-nv]

    选项与参数:

    # 查看filter表的规则
    # iptables -nvL
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
       67  4444 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
        2   286 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    Chain OUTPUT (policy ACCEPT 38 packets, 4664 bytes)
     pkts bytes target     prot opt in     out     source               destination  
     
    # 查看nat表的规则
    iptables -t nat -L -nv

    链下的规则选项的含义如下:

    上面显示的INPUT链的5条规则含义如下:

    1. 只要数据包的状态为RELATED,ESTABLISHED,都接受

    2. 只要是icmp包都接受

    3. 只要是本地回环网卡,所有数据都接受

    4. 只要是发送给22端口的主动式连接的TCP数据包都接受。

    5. 拒绝所有的数据包

    清楚iptables的规则

    默认安装centOS7后,系统就已经有许多iptables的规则,这里教大家如何去清除这些规则。

    用法示例:iptables [-t tables] [-FXZ]

    选项与参数:

    # iptables -F
    # iptables -X
    # iptables -Z

    查看具体的规则

    使用iptables-save可以查看具体的规则

    用法:iptables-save [-t tables]

    # iptables-save -t filter
    # Generated by iptables-save v1.4.21 on Sat Nov 14 21:51:56 2020
    *filter
    :INPUT ACCEPT [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [56:7196]
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -j REJECT --reject-with icmp-host-prohibited
     
    # Completed on Sat Nov 14 21:51:56 2020

    定义默认策略

    当我们清楚完规则后,就只剩下默认的策略了。什么是默认的策略,就是当不满足我们任何一条规则时,就采用默认规则。默认的策略有ACCEPT(接受数据包)和DROP(丢弃数据包)

    用法:iptables [-t tables] -P [INPUT|OUTPUT|FORWARD……] [ACCEPT|DROP]

    现在,我们尝试将filter的INPUT链的默认修改为DROP、OUTPUT及FORWARD链修改为ACCETP

    iptables -t filter -P INPUT DROP
    # 注意,该命令敲完后,你的终端就可能会断开连接了
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT

    相关推荐:《linux课程

    以上就是linux下的软件防火墙iptables——规则的查看与清除、定义默认策略的详细内容,更多请关注php中文网其它相关文章!

    本文原创发布php中文网,转载请注明出处,感谢您的尊重!
    专题推荐:linux
    上一篇:linux中出现网络故障该如何排除 下一篇:linux下的软件防火墙iptables——规则的定义与删除
    第14期线上培训班

    相关文章推荐

    • linux运维之通过systemctl管理服务• linux运维之日志文件——常见日志文件、管理日志文件的服务• linux下mysql远程安装的方法• linux中出现网络故障该如何排除

    全部评论我要评论

  • 取消发布评论发送
  • 1/1

    PHP中文网