本节着重讲解iptables
操作系统:centos7
一、iptables
iptables是一款基于命令行的防火墙管理工具,也是RHEL6之前的工具。
by XiaoGua
可以根据流量的源地址,目的地址,传输协议,服务类型等信息进行匹配。
1、iptables的常用参数及作用
-P:设置默认策略
-F: 清空规则链
-L:查看规则链
-I num:在规则链头部加入新规则
-A:在规则末尾加入新规则
-D num:删除某一条规则
-p:匹配协议,如TCP,UDP,ICMP
-s:匹配来自源地址IP/MASK,加!表示出这个IP之外
--dport num:匹配目标端口号
1)、查看已有的防火墙链
iptables -L
by XiaoGua
2)、清空已有的防火墙规则链
iptables -F
然后查看 iptables -L
by XiaoGua
3)、把input规则链的默认策略设置为拒绝
iptables -P input drop
by XiaoGua
4)、向INPUT链中添加允许ICMP流量进入的策略规则
iptables -I INPUT -p
by XiaoGua
ping 10.13.8.9
by XiaoGua
5)、删除INPUT规则链中刚刚加入的那条策略(允许ICMP流量),并把默认策略设置为允许
iptables -D INPUT 1//删除新加的策略
iptables -P INPUT ACCEPT//修改默认策略为ACCEPT
iptables -L //查看修改情况
by XiaoGua
6)、将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有的主机的流量
iptables -I INPUT -s 10.130.8.9 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp INPUT ACCEPT
by XiaoGua
放火墙规则是按照从上到下的顺序匹配,因此一定是接受放在拒绝前面,否则导致任何主机都无法访问我们的服务。
7)、向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则
by XiaoGua
8)、向INPUT规则链中添加10.130.8.8 主机访问本机80端口(Web服务)的策略规则
iptables -I INPUT -p tcp -s 10.130.8.8 --dport 80 -j REJECT
iptables -L
by XiaoGua
9)、向INPUT规则链中添加拒绝所有主机访问本机1000-1024端口规则
iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
iptables -L
by XiaoGua
使用iptables命令配置的防火墙规则默认会在系统下一次重启时失效,如果想让配置的防火墙策略永久生效,还要执行保存命令:
service iptables save
网友评论