一、防火牆的作用
三、防火牆的分類
三、iptables基本語法:
表:
常用filter,nat用於地址映射轉換。
配置文件:
/etc/sysconfig/iptables
過濾表信息
、
查看iptables狀態
service iptables status
命令(注意參數都要大寫):
-L:查看規則
iptables -L 查看策略信息
iptables -L -n 按地址信息查看
iptables -L -n --line-number 顯示行號
-P:修改默認規則
iptables -P INPUT DROP 為鏈設置默認的target(可用的是禁止DROP和允許ACCEPT)作為最後一條規則被執行
iptables -L 可以看見INPUT的策略改變
但是這種配置只是臨時的,在配置文件中並不會改變
關於chain
INPUT 從外面到主機
FORWARD 針對其他設備,作轉向
OUTPUT 從主機出去
-A:追加規則
-F:清空規則
最好不要用
-D:刪除規則 -R:修改規則
匹配條件:
1.按網絡接口編程
我們執行第一條限制流出,不允許當前主機訪問外圍任何機器,當然外面機器也無法訪問主機:
iptables -A OUTPUT -o eno16777736 -j DROP
這時putty遠程登錄被禁止,ping 操作都不通。
我們再把它刪掉:
2.按地址匹配
3.按協議類型匹配
4.按端口匹配
首先查找是否有遠程連接工具telnet
rpm -qa |grep telnet 一般linux好像不默認安裝
yum install telnet
yum install telnet-server
安裝後就可以使用:
在putty中:
telnet 192.168.8.129 22
現在可以正常訪問22端口
iptables -A INPUT -s 192.168.8.1 -p tcp --dport 22 -j DROP
這樣指定的遠程設備就不能訪問22端口
80端口的限制:
首先安裝web服務器httpd
yum install httpd
安裝完成後我們可以看80端口的進程、狀態信息
ps -ef |grep httpd
netstat -apn |grep 80
在浏覽器中訪問服務器ip可以看見測試頁面
這時我們對指定ip禁止訪問80端口
iptables -A INPUT -s 172.******** -p tcp --dport 80 -j DROP
處理方式:
ACCEPT
DROP
規則的匹配方式
如果想要永久將規則生效:
1.在/etc/sysconfig/iptables中設置
2.用service iptables save 將目前命令的設置保存到文件當中
http://xxxxxx/Linuxjc/1176188.html TechArticle