防火墻iptables

防火墻

主配置文件：vim /etc/sysconfig/iptables

想要自定義防火墻，需要把這里的規則清空并且權限設置成DROP

防火墻名字：netfilter，工具：iptables

防火墻有三個表filter,nat,mangle

每個表下面還有鏈：

filter表主要用于過濾包，系統預設的表。內建三個鏈INPUT、OUTPUT、FORWARD，INPUT作用于進入本機的包，OUTPUT作用于本機送出的包，FORWARD作用于跟本機無關的包。

nat表主要用處是網絡地址轉換，PREROUTING練的作用是在包剛剛到達防火墻是改變它的目的地址，POSTOUTING鏈在包就要離開防火墻之前改變其源地址

mangle表主要用于給數據包打標記，然后根據標記去操作哪些包。

-A/D：增加刪除一條規則

-I：插入一條規則，其實跟-A的效果一樣

-P：指定協議，可以是tcp,udp,icmp

--dport：跟-p一起使用，指定目標端口                                  //對于防火墻來說

--sport：跟-P一起使用，指定源端口

-s：指定源IP（可以是一個IP段）                                          //對于防火墻來說

-d：指定目標IP（可以是一個IP段）

-j：后面跟動作，其中ACCEPT表示允許包，DORP表示丟掉包，REJECT表示拒絕包

規則按順序生效，當兩個規則相同時，第一個規則先生效，后面的規則直接忽視掉

防火墻源IP表示，一臺主機要想遠程服務器，那么這臺主機就是源IP，它要發送數據包到服務器才想遠程服務器，要是服務器不想被遠程，可以直接把數據包DROP掉

iptables要理解防火墻的結構，它在本地網絡和外部網絡之間，這可以清楚的理解源IP和目標IP，也要搞清楚每個鏈，如INPUT的目標IP是本機IP源IP是外部IP

1、命令

iptables -t filter -I INPUT -p tcp --dport80 -s 192.168.134.1 -j REJECT

iptables –F                                                                         //清空防火墻規則

iptables –Z                                                                        //把包以及流量清零

iptables-save > /etc/sysconfig/1.ipt                           //備份防火墻規則

iptables-restore /etc/sysconfig/1.ipt                         //恢復防火墻規則

iptables -P INPUT DROP                                                 //更改預設策略，對于每個鏈，安全性高

//實例：

針對filter表，預設策略INPUT鏈DROP，其他兩個鏈ACCEPT，然后針對192.168.134.0/24開通22端口，對所有網段開放80端口，對所有網段開放21端口。腳本如下：

vim 1.ipt.sh

#!/bin/bash

ipt="/sbin/iptables"

$ipt -F

$ipt -P INPUT DROP

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -s 192.168.134.0/24 -p tcp--dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT