网站公司云建站怎么样,龙游网站建设的公司,学校网站模板 中文,菏泽建筑模板厂家防火墙是位于内部网和外部网之间的屏障#xff0c;他按照系统管理员预先定义好的规则来控制数据包的进出
一、iptables简介 防火墙会从以上至下的顺序来读取配置的策略规则#xff0c;在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为#xff08;即放行或阻止他按照系统管理员预先定义好的规则来控制数据包的进出
一、iptables简介 防火墙会从以上至下的顺序来读取配置的策略规则在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为即放行或阻止。如果在读取完所有的策略规则之后没有匹配项就去执行默认的策略。 iptables 服务把用于处理或过滤流量的策略条目称之为规则多条规则可以组成一个规则链而规则链则依据数据包处理位置的不同进行分类。 1、规则链 规则的作用对数据包进行过滤或处理链的作用容纳各种防火墙规则链的分类依据处理数据包的不同时机 5种规则链 INPUT处理进入本机的数据包OUTPUT处理从本机出去的数据包FORWARD处理转发数据包POSTROUTING链在进行路由选择后处理数据包PREROUTING链在进行路由选择前处理数据包 2、规则表 表的作用容纳各种规则链表的划分依据防火墙规则的作用相似 4个规则表 raw表确定是否对该数据包进行状态跟踪mangle表为数据包设置标记修改数据包的头部信拆解报文做出修改并重新封装nat用于网络地址转换修改数据包中的源、目标IP地址或端口filter表确定是否放行该数据包过滤iptables的默认表 四表五链总结最终定义防火墙规则都会添加规则到其中一张表所以实际操作是对表的操作 规则表的作用∶容纳各种规则链 规则链的作用∶容纳各种防火墙规则 表里有链链里有规则 3、规则链之间的匹配顺序 入站数据来自外界的数据包且目标地址是防火墙本机∶ PREROUTING -- INPUT -- 本机的应用程序出站数据从防火墙本机向外部地址发送的数据包∶ 本机的应用程序 -- OUTPUT -- POSTROUTING网络型防火墙∶转发数据需要经过防火墙转发的数据包∶ PREROUTING -- FORWARD -- POSTROUTING 4、规则链内的匹配顺序 自上向下按顺序依次进行检查找到相匹配的规则即停 止 LoG策略例外 表示记录相关日志若在该链内找不到相匹配的规则则按该链的默认策略处理未修改的状况下默认策略为允许 5.iptables的处理动作 当规则链匹配后应采用以下几种动作来处理匹配流量ACCEPT允许流量通过 REJECT拒绝流量通过拒绝后回复拒绝信息 LOG记录日志信息 DROP拒绝流量通过流量丢弃不响应 二、iptables的配置
rhel默认使用firewalld防火墙没有安装iptables 若想使用iptables防火墙。必须先关闭firewalld防火墙再安装iptables。
1.准备工作
[rootserver ~]# systemctl disable firewalld.service
[rootserver ~]# systemctl mask firewalld.service [rootserver ~]# yum install iptables iptables-services -y
[rootclient ~]# systemctl start iptables.service2.iptables格式 iptables -t 表名 -A/I/D/R 规则链名 [ 规则号 ] -i/o 网卡名 -p 协议名 -s 源 IP/ 源子网 --sport 源端口 -d 目标 IP/ 目标子网 --dport 目标端口 -j 控制动作 -t 对指定的表进行操作 table 必须是 raw nat filter mangle 中的一个默认是 filter -A 在规则链的末尾加入新规则 -I 在规则链的 头部 加入新规则 -D 删除指定规则 -R 替换/ 修改第几条规则 -F 清空所有规则(F:flush 是 “ 冲洗、冲掉 ” 的意思 ) -p 指定要匹配的数据包协议类型例如TCP、UDP、ICMP等参看: /etc/protocols -s 匹配源地址IP/MASK 若有表示取反 -d 匹配目的地址IP/MASK 3.控制动作
选项用法ACCEPT允许数据包通过DROP直接丢弃数据包不给出任何回 应信息REJECT拒绝数据包通过必要时会给数据发送端一个响应信息
4. 示例 查看已有的防火墙规则链 [rootserver ~] # iptables -nvxL --line # -n 显示源 -v 详细信息 -x 自动转换为 KB\MB 等单位 -L 写在最后列出所有规则 --line 增加行 号 # num 规则的编号行号 # pkts 数据包的数量 # bytes 数据包的字节数 # target 动作放行、拒绝 # port 端口 # in 入站的网卡 # out 出站网卡 清空规则 [rootserver ~] # iptables -F # 清空规则 [rootserver ~] # iptables -nL # 查看规则链 [rootserver ~] # systemctl restart iptables [rootserver ~] # iptables -nL # 由于未保存则恢复原状 [rootserver ~] # iptables -F # 再次尝试清空规则链 [rootserver ~] # service iptables save # 保存服务状态 iptables: Saving firewall rules to /etc/sysconfig/iptables: [ OK ] [rootserver ~] # systemctl restart iptables # 重启服务 [rootserver ~] # iptables -nL # 查看 三、iptables实验
1.搭建web服务器设置任何人都能通过80端口访问http 2.禁止所有人使用ssh进行远程登录 3.禁止某主机192.168.48.131 ssh远程登录允许访问web服务 测试 允许访问web页面
4.禁止192.168.48.131 网段的地址进行ping
