iptables与firewalld
在centOS6下,默认的软件防火墙是iptables,而到了centos7,则是firewalld。它们之间有什么联系了,其实firewalld就是在原iptables上新封装成的一个软件。
学习iptables时,建议先关闭firewalld,并开启iptables
yum install iptables-servicessystemctl stop firewalldsystemctl start iptables
iptables的表和链
iptables的不同的表代表着不同的功能,默认有4个表
filter(过滤器) nat(地址转换) mangle raw
不同的表下面,有着自己的规则链:
filter(input/OUTPUT/FORWARD)
nat(prerouting/output/postouting)
这些链代表的意义如下:
input链——进来的数据包应用此规则链中的规则
OUTPUT链——外出的数据包应用此规则链中的规则
FORWARD链——转发数据包时应用此规则链中的规则
PREROUTING链——对数据包作路由选择前应用此链中的规则
POSTROUTING链——对数据包作路由选择后应用此链中的规则
iptables的规则查看与清除
规则查看
用法示例:iptables [-t tables] -L [-nv]
选项与参数:
-t后接表类型,省略该选项,则默认为filter表。
-L列出当前表的规则
-n 不进行域名与ip反查
-v 显示更多信息
# 查看filter表的规则# iptables -nvLChain input (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 67 4444 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABliSHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 2 286 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibitedChain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibitedChain OUTPUT (policy ACCEPT 38 packets, 4664 bytes) pkts bytes target prot opt in out source destination # 查看nat表的规则iptables -t nat -L -nv
链下的规则选项的含义如下:
target:代表进行的 *** 作,ACCEPT放行、drop丢弃、reject拒绝
prot:代表使用的数据包协议,有tcp、udp以及icmp
opt:说明信息
source:对某来源主机进行限制
destination:对某目标主机进行限制
上面显示的input链的5条规则含义如下:
只要数据包的状态为RELATED,ESTABliSHED,都接受
只要是icmp包都接受
只要是本地回环网卡,所有数据都接受
只要是发送给22端口的主动式连接的TCP数据包都接受。
拒绝所有的数据包
清楚iptables的规则
默认安装centOS7后,系统就已经有许多iptables的规则,这里教大家如何去清除这些规则。
用法示例:iptables [-t tables] [-FXZ]
选项与参数:
-F 清理所有已定制的规则
-X 清理所有用户自定义的规则
-Z 将所有的统计计数置零
# iptables -F# iptables -X# iptables -Z
查看具体的规则
使用iptables-save可以查看具体的规则
用法:iptables-save [-t tables]
# iptables-save -t filter# Generated by iptables-save v1.4.21 on Sat Nov 14 21:51:56 2020*filter:input ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [56:7196]-A input -m state --state RELATED,ESTABliSHED -j ACCEPT-A input -p icmp -j ACCEPT-A input -i lo -j ACCEPT-A input -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT-A input -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibited # Completed on Sat Nov 14 21:51:56 2020
定义默认策略
当我们清楚完规则后,就只剩下默认的策略了。什么是默认的策略,就是当不满足我们任何一条规则时,就采用默认规则。默认的策略有ACCEPT(接受数据包)和DROP(丢弃数据包)
用法:iptables [-t tables] -P [input|OUTPUT|FORWARD……] [ACCEPT|DROP]
现在,我们尝试将filter的input链的默认修改为DROP、OUTPUT及FORWARD链修改为ACCETP
iptables -t filter -P input DROP# 注意,该命令敲完后,你的终端就可能会断开连接了iptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT
相关推荐:《linux课程》 总结
以上是内存溢出为你收集整理的linux下的软件防火墙iptables——规则的查看与清除、定义默认策略全部内容,希望文章能够帮你解决linux下的软件防火墙iptables——规则的查看与清除、定义默认策略所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)