安全利盾—Linux防火墙iptables趣解_服务器

自我介绍

大家好:请不要叫我防火墙,请叫我的英文名字iptables!分解开: tables是表的意思;言下之意是关于ip表的那些事!
表的操作,比如:数据库的表,无非四种:增删改查,这是我的四大强项!

我是高富帅吗?

安全利盾—Linux防火墙iptables趣解_安全_02

虽然经济上不是很富裕,但我的才华很富足,我有四表五链

什么是表?

  • 简言之就是,功能
  • filter、nat、mangle、raw
    过滤、转换、标记、状态跟踪

什么是链?

  • 简言之就是,方向
  • OUTPUT、INPUT 、FORWARD、PREROUTING、POSTROUTING
    出、入、转、路由前、路由后

总结,通过四表五链我可以对以我为参照来自不同方向数据包进行不同功能的处理。

指令组成

iptables [-t 表名] [选项] [链名] [条件] [-j 操作]

安全利盾—Linux防火墙iptables趣解_服务器_03


省略表名,默认是filter表,也有默认规则。

安全利盾—Linux防火墙iptables趣解_运维_04


操作:到达防火墙的数据包,进行四项处理,原则是匹配即停止(LOG例外),若在所有链中无任何匹配,按默认策略处理

  • ACCEPT:允许
  • DROP:丢弃,不给回应
  • REJECT:拒绝,给回应信息
  • LOG:记录日志,传给下一条规则

配置语法:注意,centos7版本不支持部分功能,若有此需求,请使用Firewalld防火墙,见​​fireawalld网络安全部署​​

类别

匹配选项

用法

通用

协议

-p 协议名

通用

地址

-s源地址、-d目标地址

通用

接口

-i 接受数据网卡、-o发送数据网卡

隐含

端口

- -sport 源端口、- -目标端口

隐含

ICMP类型

- -icmp-type ICMP类型

1、

查询nat表的规则

安全利盾—Linux防火墙iptables趣解_运维_05


查询filter表规则,并添加行号输出

iptables -t filter -L --line-numbers

安全利盾—Linux防火墙iptables趣解_iptables_06


查询filter表规则,并添加行号且以数字显示地址栏输出

iptables -t filter -nL --line-numbers

安全利盾—Linux防火墙iptables趣解_安全_07


2、

临时不保存配置:重启服务会恢复原来

1)清空指定表的所有规则

安全利盾—Linux防火墙iptables趣解_运维_08


2)删除指定的规则,按照编号

安全利盾—Linux防火墙iptables趣解_iptables_09

永久保存配置:

安全利盾—Linux防火墙iptables趣解_iptables_10


3、

实例一:仅允许ssh远程登录连接,拒绝其他服务的请求,并且是以不给回应的方式。1)默认允许ssh远程登录服务器。

登录成功

安全利盾—Linux防火墙iptables趣解_iptables_11


2)服务器本地设置规则, 拒绝此项行为

iptables -t filter -P INPUT DROP

3)远程主机验证,一直是连接中,没有报错提示信息;若是已登录的远程ssh界面,无法进行操作,被锁死

安全利盾—Linux防火墙iptables趣解_安全_12


4)本地服务器添加规则,允许ssh连接的服务数据包通过

iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT5)验证:此刻ssh可以连接服务器,其他服务则不行

安全利盾—Linux防火墙iptables趣解_iptables_13


查看规则链

安全利盾—Linux防火墙iptables趣解_运维_14


实例二:允许用户访问网站服务1)不添加规则,执行之前规则丢弃拒绝,一直显示正在连接

安全利盾—Linux防火墙iptables趣解_服务器_15


2)本地服务器添加规则,允许连接80端口的服务数据包通过

iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT

3)验证:可以访问到网站页面