当前位置：首页 > news >正文

Linux的iptables防火墙基础介绍

news 2025/8/24 23:04:50

iptables 防火墙应用层软件----管理内核级netfilter

硬件-------内核----网络—netfilter/kvm----- app iptables

iptables—控制netfilter

过滤：<smac/sip/dip/sport/dport/状态>
TCP/IP

应用层
传输层 sport dport 状态 <三次握手/四次断开>
网络层源IP 目标IP
数据链路层源MAC地址
物理层

五条链
PREROUTING:路由前数据流
INPUT:进站的数据流
OUTPUT:出站的数据流
FORWARD:经过的数据流
POSTROUTING:路由后数据流

匹配规则

1.按照每一条链的编号进行匹配，一个个匹配，如果匹配到，到此结束
2.如果都没有匹配不到，就匹配默认规则ACCEPT|DROP

四种数据流：
本机进站的数据流：packet–>ethX–>PREROUTING–>INPUT–>本机
本机出站的数据流：packet–>OUTPUT–>POSTROUTING–>ethX–>destination
路由的数据流：
出去： packet–>eth0–>PREROUTING–>FORWARD–>POSTROUTING–>eth1–destination
回来： packet–>eth1–>PREROUTING–>FORWARD–>POSTROUTING–>eth0–destination

本机访问本机：本机–>packet–>lo–>PREROUTING–>INPUT–>本机
本机–>packet–>OUTPUT–>POSTROUTING–lo–>本>机

操作

INPUT链
添加一条
iptables -t filter -A INPUT -i eth0:100 -j REJECT 拒绝从eth0:100网卡来的数据流全部拒>绝
iptables -t filter -A INPUT -p tcp --dport 9999 -i eth0 -j REJECT 拒绝从eth0网卡来的数
据流访问9999端口
iptables -t filter -A INPUT -p tcp --dport 21 -s 192.168.0.254 -j REJECT 拒绝192.168.0.254访问21号端口

查询INPUT规则
iptables -t filter -L INPUT -n --line -v

删除第一条
iptables -t filter -D INPUT 1

替换第二条
iptables -t filter -R INPUT 1 -i eth0:111 -j REJECT

iptables -t filter -A INPUT -p icmp -i eth0 -s 192.168.0.254 -j REJECT
iptables -t filter -R INPUT 3 -p icmp -i eth0 -s 192.168.0.254 -j DROP

将规则插入第一条
iptables -t filter -I INPUT 1 -p icmp -i eth0 -s 192.168.0.254 -j DROP
iptables -t filter -D INPUT 4

只查询规则
iptables -S

清空filter表的INPUT链所有规则
iptables -t filter -F INPUT

清空filter表所有规则
iptables -t filter -F

清空数据统计
iptables -Z

新建自定义链<给固定3条链调用>
iptables -t filter -N UPL_TCP
在新建自定义链定义规则<模板>
iptables -t filter -A UPL_TCP -p tcp --dport 80 -s 192.168.0.254 -j REJECT
iptables -t filter -A UPL_TCP -p tcp --dport 80 -s 192.168.0.2 -j REJECT

调用模板里面规则
iptables -t filter -A INPUT -j UPL_TCP

修改自定义链名称
iptables -t filter -E UPL_TCP ‘INPUT-web模板’

修改默认规则
iptables -P INPUT DROP
iptables -P OUTPUT DROP

思路先拒绝所有，然后在逐个开放

查看全文

http://www.lryc.cn/news/345591.html