Linux---iptables防火墙(一)

iptables防火墙

  1. 从逻辑上讲。防火墙可分为主机防火墙和网络防火墙。(网络防火墙与主机防火墙并不冲突,可以理解为,网络防火墙主外,主机防火墙主内)
  • 主机防火墙:针对单个主机进行防护。
  • 网络防火墙:往往处于网络入口或边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网。
  1. 从物理上讲,防火墙可分为硬件防火墙和软件防火墙。
  • 硬件防火墙:在硬件级别实现防火墙功能,另一部分功能基于软件实现,性能高,成本高。
  • 软件防火墙:应用软件处理逻辑,运行于通用硬件平台之上的防火墙,性能低,成本低。

概述

  1. iptables并不是Linux系统的真正防火墙,在Linux系统上,内核空间有一套完整的安全框架系统。
  • 安全框架系统:netfilter。
  1. iptables只是一个防火墙代理工具,人-->iptables-->netfilter 实现安全防护。

开启iptables服务

  • service iptables start
  • chkconfig --level 2345 iptables on

iptables的四个表&查看

  • raw表
  • mangle表
  • nat表
  • filter表
  1. 查看raw表
  • 命令:iptables -t raw -L #raw表作用是流量追踪
  1. 查看mangle表
  • iptables -t mangle -L #应用识别,流量记录,打标签
  1. 查看nat表
  • iptable -t nat -L #nat表是做地址转换
  1. 查看filter表
  • iptables -t filter -L #filter过滤流量表,iptables的灵魂
  • Chain INPUT (policy ACCEPT) #限制别人访问我
  • Chain FORWARD (policy ACCEPT) #限制转发数据,一般linux当作路由器时,才起作用!
  • Chain OUTPUT (policy ACCEPT) #限制我访问别人。
  • 注意:
  • iptables -L #默认查看filter表;
  • iptables -nvL #n数字化,v详细信息,L查看动作。

iptables的完整命令:

  • iptables -t 表名 -动作 链名 #-t可以省略,默认就是filter表。
  • 如:iptables -nvL #查看filter表

清空iptables的规则

  • iptables -F #清空filter表的所有链规则。
  • iptables -F FORWRD #清空filter表的Forward链规则
  • iptables -t mangle -F INPUT #清空mangle表的INPUT链规则

删除某一条规则

  • iptables -D INPUT 2 #删除filter表中,INPUT链的第二条
  • iptables -t nat -D POSTROUTING 3 #删除nat表POSTROUTING链的第三条;

练习

案例一

  1. 清空filter表规则,添加一条规则,拒绝所有人访问本机
  • iptables -F #-F清空所有规则
  • iptables -A INPUT -p all -j REJECT #-A添加规则;-p all:-p指的是协议,all表示所有协议;-j 控制类型:REJECT 拒绝,但会友好回应icmp报错报文,icmp类型3。DROP 丢弃,ACCEPT 允许放行;

案例二

  1. 在案例一的基础上允许别人ping我。
  • iptables -I INPUT -p icmp -j ACCEPT
  • 添加规则: -A:追加到最后,-I:插入到第一条

案例三

  1. 在案例1、2的基础上对外开放80及22
  • iptables -I INPUT -p tcp --dport 80 -j ACCEPT
  • iptables -I INPUT -p tcp --dport 22 -j ACCEPT
  • -p tcp/udp/icmp/all

Linux---iptables防火墙(一)

上一篇:网络设备制造商Juniper Networks承认小规模裁员


下一篇:linux课程实验总结分析报告