快速业务通道

LINUX笨鸟先飞服务配置之IPTABLES(防火墙)1/2

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-03-23

Linux下防火墙组件是netfilter,iptables只是一个对防火墙配置的一个组件.
如果学过网络管理相对应的学Linux的防火墙就比较简单了.
看下图是Linux防火墙的一个工作表

防火墙的功能:
1、数据包过滤 INPUT (对进入本机的数据包进行过滤) FORWARD(对经过本机的数据包进行过滤)
2、NAT 地址转换
如上图所示:
LInux中有两张表:filter表&nat
Linux防火墙分为5个链INPUT链、OUTPUT链、FORWARD链、PREROUTING链、POSTROUTING链这5个链的作用
当所有的包访问的时候都会从PREROUTING链通过,然后在选择走INPUT链和FORWARD链(也就是说,是访问服务器还是通过服务器进行转发)然后在在选择OUTPUT还是POSTROUTING链
列表:
表:
filter表 用来过滤的表
Nat 用来做地址转换的表
链:
INPUT链:位于filter表,匹配访问本机服务器的数据包
FORWARD链:位于filter表,匹配经过本机服务器的数据包
PREROUTING链:位于nat表,用来修改目的地址(DNAT)
POSTROUTING链:位于nat表,用来修改源地址(SNAT)
了解了表然后在了解数据的走向和访问方式就可以开始配置了
iptables的配置语法可能看起来比较麻烦但是如果看懂了,其实很简单:
Iptables <-t 要操作的表> <操作命令> 【要操作的链】 【规则号码】 【匹配条件】 【-j 匹配到以后的动作】
命令解释:
操作命令:(-A 、 -I 、-D 、 -R 、 -P 、 -F )
-A 追加一跳规则(放在)例如:iptables -t filter -A INPUT -j DROP 在filter表中INPUT链加入一条规则,匹配上之后丢弃,如果没有匹配条件默认是所有.
-I 插入一条规则(放在最前面)例如:iptables -t filter -I INPUT -j DORP在filter表中INPUT链中第一行加入一跳规则,匹配上之后丢弃,这个-I 的应用,在进行匹配的时候是从上往下匹配的如果在表中默认一行是丢弃所有,你在添加一条允许访问httpd的话当匹配到DROP之后,就不会在往后匹配了.

Empire CMS,phome.net

也可以插入成某一行:iptables -I INPUT 3 -j DROP 在INPUT表里插入一条规则,插入成第3行,匹配上丢弃,如果不写要操作的表默认是filter表.
-D 删除一跳规则例如:iptables -D INPUT 3 (按照号码匹配) 删除INPUT表中第三行不管他内容是什么
在查看防火墙列表的时候可以这样能更好的显示行
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
[root@luotianshuai ~]# iptables -nvL --line-numbers
Chain INPUT (policy DROP 243 packets, 20449 bytes)
num pkts bytes target prot opt in out source destination
1 521 39316 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
查看防火墙中的表中的内容:
iptables -D INPUT -s 192.168.1.1 -j DROP (按内容匹配) 匹配内容为-s 192.168.1.1 匹配陈功之后丢弃
-R 替换一条策略 例如:iptables -R 3 -j DORP (按照号码匹配)匹配的规则内容为-j DROP
-p 设置为默认的策略 举个例子,为了服务器的安全,默认策略有两个,某人允许所有然后在添加拒绝的选项好,还是默认拒绝所有然后在添加好呢?结果是肯定的当然是默认拒绝所有然后在添加好.

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号