Iptables防火墙 基础知识

Iptables防火墙 基础知识

位置

使用vim /usr/sysconfig/iptables

启动、关闭、保存

service iptables stop

service iptables start

service iptables restart

service iptables save

结构

iptables –> tables –> chains –>rules

iptables的表与链

iptables具有Filter,NAT,Mangle,Raw四种内建表

Filter表

filter表示iptables的默认表,它具有三种内建链:

input chain - 处理来之外部的数据

output chain - 处理向外发送的数据

forward chain- 将数据转发到本机的其它网卡上

NAT表

NAT有三种内建的链:

prerouting - 处理刚到达本机并在路由转发前的数据包,它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。

postrouting - 处理即将离开本机数据包,它会转换数据包中的源目标IP地址(source ip address),通常SNAT(source NAT)

output - 处理本机产生的数据包

Mangle表

Mangle表用于指定如何处理数据包,它能改变TCP头中的Qos位,Mangle表具有5个内建链

prerouting

output

forward

input

postrouting

Raw表

raw表用户处理异常,它具有2个内建链

prerouting chain

output chain

Iptables规则(Rules)

rules包括一个条件和一个目标(target)

如果满足条件就执行目标target中规则或者特定值

如果不满足条件,就判断下一条Rules

目标值

accept - 允许防火墙接收数据包

drop - 防火墙丢弃数据包

queue - 防火墙将数据包移交到用户空间

return - 防火墙停止执行当前链中的后续rules规则,并返回到调用链(the calling chain)

命令

#iptables -t filter -L 查看filter表

#iptables -t nat -L 查看nat表

#iptables -t mangel -L 查看mangel表

#iptables -t raw -L 查看Raw表

例如 以下例子表明在filter表的input链, forward链, output链中存在规则:

# iptables --list

Chain INPUT (policy ACCEPT)

num target prot opt source destination

1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)

num target prot opt source destination

1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)

num target prot opt source destination

1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255

3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0

4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0

5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353

6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631

7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631

8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

字段说明

num:编号

target:目标

prot:协议

source:数据包的源IP地址

destination:数据包的目标地址

4.1 清空所有的规则

#iptables –flush

原文发布于微信公众号 - 马哥Linux运维(magedu-Linux)

原文发表时间:2016-08-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏清晨我上码

第七节 netty前传-NIO 几种channel介绍

FileChannel.write()方法将数据写入FileChannel,该方法将Buffer作为参数。

14140
来自专栏Rovo89

iptables防火墙的实例教程

19620
来自专栏散尽浮华

通过iptables限制sftp端口连接数

之前在公司服务器上部署了sftp,用于上传业务系统的附件。后来由于程序连接问题,使的sftp连接数过多(做多时高达400多个sftp连接数),因为急需要对sft...

495100
来自专栏jeremy的技术点滴

linux下进行端口映射

57570
来自专栏运维小白

linux基础(day 33)

10.11 Linux网络相关 linux网络相关 ifconfig命令,可以查看虚拟网卡,而ip addr命令则不能查看 ifconfig查看网卡ip(yum...

27090
来自专栏Aloys的开发之路

package-info.java文件详解

pacakge-info.java介绍 pacakge-info.java是一个Java文件,可以添加到任何的Java源码包中。pacakge-info.jav...

29680
来自专栏运维

linux下备份脚本主之 遍历目录备份所有二级目录文件

1,备份脚本如下,我这里以备份CVS目录为例,总CVS目录下有几个Project,统统备份

19910
来自专栏架构师之旅

【Java SE】Java NIO系列教程(七)FileChannel

英文:Jakob Jenkov 译文:ifeve - 周泰 链接:http://ifeve.com/file-channel/ Java NIO中的FileCh...

20480
来自专栏散尽浮华

centos7下部署iptables环境纪录(关闭默认的firewalle)

CentOS7默认的防火墙不是iptables,而是firewall. 由于习惯了用iptables作为防火墙,所以在安装好centos7系统后,会将默认的fi...

27250
来自专栏ppjun专栏

网管入门系列——在ubuntu配置iptables

iptables是用来设置、维护和检查Linux内核的IP包过滤规则的。就是一个ip防火墙,也就是说我们无论用什么端口访问别人还是别人用什么端口来访问我们,都要...

38620

扫码关注云+社区

领取腾讯云代金券