这样说你能理解么?
这可以使用以下命令进行:serviceiptables
start警告
你应该使用以下命令关闭
ip6tables
服务才能使用
iptables
服务:service
ip6tables
stopchkconfig
ip6tables
off要使iptables
在系统引导时默认启动,你必须使用
chkconfig
来改变服务的运行级别状态。chkconfig
--level
345
iptables
oniptables
的语法被分成几个层次。主要层次为“链”(chain)。“链”指定处理分组的状态。其用法为:iptables
-a
chain
-j
target-a
在现存的规则集合内后补一条规则。chain
是规则所在“链”的名称。iptables
中有三个内建的链(即影响每一个在网络中经过的分组的链):input、output、和
forward。这些链是永久性的,不能被删除。重要
在创建
iptables
规则集合时,记住规则的顺序是至关重要的。例如:如果某个链指定了来自本地子网
192.168.100.0/24
的任何分组都应放弃,然后一个允许来自
192.168.100.13(在前面要放弃分组的子网范围内)的分组的链被补在这个规则后面(-a),那么这个后补的规则就会被忽略。你必须首先设置允许
192.168.100.13
的规则,然后再设置放弃规则。要在现存规则链的任意处插入一条规则,使用
-i,随后是你想插入规则的链的名称,然后是你想放置规则的位置号码(1,2,3,...,n)。例如:iptables
-i
input
1
-i
lo
-p
all
-j
accept这条规则被插入为
input
链的第一条规则,它允许本地环回设备上的交通。
7.2.1.
基本防火墙策略在一开始就建立的某些基本策略为建构更详细的用户定义的规则奠定了基础。iptables
使用策略(policy,
-p)来创建默认规则。对安全敏感的管理员通常想采取放弃所有分组、只逐一允许指定分组的策略。以下规则阻塞网络上所有的出入分组。
iptables
-p
input
dropiptables
-p
output
drop此外,还推荐你拒绝所有转发分组(forwarded
packets)—
要从防火墙被选路发送到它的目标节点的网络交通
—
以便限制内部客户对互联网的无心暴露。要达到这个目的,使用以下规则:iptables
-p
forward
drop注记
在处理添加的规则时,reject(拒绝)目标和
drop(放弃)目标这两种行动有所不同。reject
会拒绝目标分组的进入,并给企图连接服务的用户返回一个
connection
refused
的错误消息。drop
会放弃分组,而对
telnet
用户不发出任何警告;不过,为了避免导致用户由于迷惑不解而不停试图连接的情况的发生,推荐你使用
reject
目标。
设置了策略链后,为你的特定网络和安全需要创建新规则。以下各节概述了一些你在建构
iptables
防火墙时可能要实现的规则。
7.2.2.
保存和恢复
iptables
规则防火墙规则只在计算机处于开启状态时才有效。如果系统被重新引导,这些规则就会自动被清除并重设。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)