防火牆是由上而下的順序來讀取配置的策略規則,策略規則的設置有兩種:通(放行)、堵(阻止)。當默認策略設置為通時,就要設置拒絕規則,當默認策略為堵時,則要設置允許規則。
iptables服務把用於處理或過濾流量的策略條目稱為規則,多條規則組成一個規則鏈,規則連依據數據包處理位置的不同進行分類。
在進行路由選擇前處理數據包:PREROUTING
處理流入的數據包:INPUT(此規則使用最多,可增加外網入侵的難度)
處理流出的數據包:OUTPUT
處理轉發的數據包:FORWARD
在進行路由選擇后處理數據包:POSTROUTING
對應的動作,ACCEPT(允許流量通過)、REJECT(j拒絕流量通過)、LOG(記錄日志信息)、DROP(丟棄,不響應,發送方無法判斷是被拒絕),規則鏈的默認拒接動作只能是DROP
一、iptables常用參數
-P(大寫):設置默認規則
-F:清空規則鏈
-L:查看規則鏈
-A:在規則連末尾加入新規則
-I:在規則鏈頭部加入新規則
-D num:刪除某一條規則
-j:匹配相對應的動作
-s:匹配來源地址IP/MASK,加" ! "表示除這個IP外
-d:匹配目標地址
-i 網卡名稱:匹配從這塊網卡流入的數據
-o 網卡名稱:匹配從這塊網卡流入的數據
-p:匹配協議,如TCP、UDP、ICMP
--dport num:匹配目標端口號
--sport num:匹配來源端口號
二、iptables常用命令:
1. iptables -F 清除預設表filter中的所有規則鏈的規則
2. iptables -L 查看規則鏈
3. iptables -F 清除規則鏈,只剩默認策略
4. iptables -P 設置默認策略
# iptables -P INPUT DROP (設置INPUT的默認策略為DROP)
5. iptables -D num 刪除策略
6. service iptables save 保存iptables(配置完之后記得保存)
7.service iptables restart 重啟iptables(每次配完保存之后重啟生效)
8.啟動和關閉防火牆的命令
1) 重啟后生效開
開啟: chkconfig iptables on
關閉: chkconfig iptables off
2) 即時生效,重啟后失效
開啟: service iptables start
關閉: service iptables stop
三、iptables用法示例(均以入網INPUT鏈做示范,每條規則順序不能錯)
1.查看規則鏈( iptables -L)
2.清除規則鏈( iptables -F),只剩默認策略。
3.設置默認策略( iptables -P INPUT DROP),設置INPUT的默認策略為DROP,之前的是ACCEPT。
4.配置允許所有IP訪問本機22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
5.配置允許某一網段訪問本機所有端口
iptables -A INPUT -s 192.168.1.0/24 -p tcp -j ACCEPT
6.配置禁止某個ip訪問本機的50070端口
iptables -A INPUT -s 192.168.1.123 -ptcp --dport 50070 -j DROP
7.使配置防火牆策略永久生效,執行保存命令,不然的話重啟后會失效
service iptables save