linux下的软件防火墙iptables——规则的查看与清除、定义默认策略

概述linux下的软件防火墙iptables——规则的查看与清除、定义默认策略 防火墙是用户限制某些ip或用户对其主机的访问。防火墙从种类上分为两大类，硬件防火墙以及软件防火墙。软件防火墙主要是对数据包进行过滤，硬件防火墙主要用来对恶意攻击的防护以及数据包的过滤，比如DDOS攻击。这里，我们来讲解linux下的软件防火墙——iptables。

iptables与firewalld

在centOS6下，默认的软件防火墙是iptables，而到了centos7，则是firewalld。它们之间有什么联系了，其实firewalld就是在原iptables上新封装成的一个软件。

学习iptables时，建议先关闭firewalld，并开启iptables

yum install iptables-servicessystemctl stop firewalldsystemctl start iptables

iptables的表和链

iptables的不同的表代表着不同的功能，默认有4个表

filter（过滤器） nat（地址转换） mangle raw

不同的表下面，有着自己的规则链：

filter（input/OUTPUT/FORWARD）

nat（prerouting/output/postouting）

这些链代表的意义如下：

input链——进来的数据包应用此规则链中的规则

OUTPUT链——外出的数据包应用此规则链中的规则

FORWARD链——转发数据包时应用此规则链中的规则

PREROUTING链——对数据包作路由选择前应用此链中的规则

POSTROUTING链——对数据包作路由选择后应用此链中的规则

iptables的规则查看与清除

规则查看

用法示例：iptables [-t tables] -L [-nv]

选项与参数：

-t后接表类型，省略该选项，则默认为filter表。

-L列出当前表的规则

-n 不进行域名与ip反查

-v 显示更多信息

# 查看filter表的规则# iptables -nvLChain input (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination            67  4444 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABliSHED    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0               0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0               0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22    2   286 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibitedChain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination             0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibitedChain OUTPUT (policy ACCEPT 38 packets, 4664 bytes) pkts bytes target     prot opt in     out     source               destination   # 查看nat表的规则iptables -t nat -L -nv

链下的规则选项的含义如下：

target：代表进行的 *** 作，ACCEPT放行、drop丢弃、reject拒绝

prot：代表使用的数据包协议，有tcp、udp以及icmp

opt：说明信息

source：对某来源主机进行限制

destination：对某目标主机进行限制

上面显示的input链的5条规则含义如下：

只要数据包的状态为RELATED,ESTABliSHED，都接受

只要是icmp包都接受

只要是本地回环网卡，所有数据都接受

只要是发送给22端口的主动式连接的TCP数据包都接受。

拒绝所有的数据包

清楚iptables的规则

默认安装centOS7后，系统就已经有许多iptables的规则，这里教大家如何去清除这些规则。

用法示例：iptables [-t tables] [-FXZ]

选项与参数：

-F 清理所有已定制的规则

-X 清理所有用户自定义的规则

-Z 将所有的统计计数置零

# iptables -F# iptables -X# iptables -Z

查看具体的规则

使用iptables-save可以查看具体的规则

用法：iptables-save [-t tables]

# iptables-save -t filter# Generated by iptables-save v1.4.21 on Sat Nov 14 21:51:56 2020*filter:input ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [56:7196]-A input -m state --state RELATED,ESTABliSHED -j ACCEPT-A input -p icmp -j ACCEPT-A input -i lo -j ACCEPT-A input -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT-A input -j REJECT --reject-with icmp-host-prohibited-A FORWARD -j REJECT --reject-with icmp-host-prohibited # Completed on Sat Nov 14 21:51:56 2020

定义默认策略

当我们清楚完规则后，就只剩下默认的策略了。什么是默认的策略，就是当不满足我们任何一条规则时，就采用默认规则。默认的策略有ACCEPT(接受数据包）和DROP（丢弃数据包）

用法：iptables [-t tables] -P [input|OUTPUT|FORWARD……] [ACCEPT|DROP]

现在，我们尝试将filter的input链的默认修改为DROP、OUTPUT及FORWARD链修改为ACCETP

iptables -t filter -P input DROP# 注意，该命令敲完后，你的终端就可能会断开连接了iptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT

相关推荐：《linux课程》 总结

以上是内存溢出为你收集整理的linux下的软件防火墙iptables——规则的查看与清除、定义默认策略全部内容，希望文章能够帮你解决linux下的软件防火墙iptables——规则的查看与清除、定义默认策略所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。