iptables 配置規則工具的使用
在紅帽RHEL7系統中firewalld服務取代了iptables服務,如想繼續使用iptables按以下操作
服務器需要關閉防火牆
systemctl stop firewalld.service
systemctl disable firewalld.service
服務器關閉網橋功能
systemctl stop firewalld.service
systemctl disable firewalld.service
4張表
raw 流量跟蹤
mangle 流量整形
nat 網絡地址轉換
filter 過濾
如果在表中寫規則 鏈 chain
filter:
INPUT 入站(數據包是訪問我的)
FORWARD 轉發(數據包通過我訪問別人)
OUTPUT 出站(我的數據向 外發送)
查看不同的的表規則命令
iptables -t nat -nvL
iptables -t filter -nvL
配置服務器icmp拒絕後如何觀察數據包變化
watch -n1 iptables -nvL 實時觀察 ctrl+c終止
iptables 防護規則的原則
iptables -I INPUT -p icmp -j REJECT 拒絕icmp協議通過
iptables -I INPUT -p icmp -j ACCEPT 允許icmp協議通過
iptables規則的刪除
防火牆編寫規則明細
常見的控制類型.
(只有ACCEPT和DROP可以設定爲默認的控制類型)
ACCEPT 允許訪問
REJECT 拒絕訪問
DROP 丟棄數據
LOG 只做記錄不做限制
常見選項
-I 插入
-D 刪除單個規則
-F清空鏈的所有規則
-P 設定默認規則
-A 規則追加
-nvL --line-number 查看規則信息
防火牆的條件匹配規則
通用匹配 可以獨立使用
-P 協議(tcp icmp udp all)-s 原地址 -d 目標地址 -i 入口(網口) -o 出口(網口)
隱含匹配 不可以獨立使用 (隱含在其他的匹配條件中)
--dpor 指定目標端口 綁定通用匹配 -p 使用
--icmp-type (8請求0回顯3不可達)
服務器ping別人能看到ping通的效果,別人ping我 丟棄。