返回
L8 配置iptables防火墙(一)

L8 配置iptables防火墙(一)

ID:40558886

大小:53.50 KB

页数:8页

时间:2019-08-04

L8 配置iptables防火墙(一)_第1页
L8 配置iptables防火墙(一)_第2页
L8 配置iptables防火墙(一)_第3页
L8 配置iptables防火墙(一)_第4页
L8 配置iptables防火墙(一)_第5页
资源描述:

《L8 配置iptables防火墙(一)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、配置iptables防火墙(一)1Linux防火墙基础1.1Iptables的规则表和链结构1.1.1规则表Filter表:包含三条规则链input,forward,outputNat表:包含三条规则链prerouting,postrouting,outputMangle表包含五条规则链prerouting,postrouting,input,output,forwardRaw表包含两条规则链output,prerouting1.1.2规则链Input链Output链Forward链Prerou

2、ting链Postrouting链2管理和设置iptables规则2.1管理iptables规则1.添加及插入规则在filter表的input链的末尾添加一条防火墙规则iptables-tfilter-AINPUT-ptcp-jACCEPT在filter表的input链中插入一条防火墙规则(此处省略了”-tfilter”选项,按默认处理filter表)iptables-IINPUT-pudp-jACCEPT在filter表的input链中插入一条防火墙规则(作为链中的第二条规则)iptables

3、-IINPUT2-picmp-jACCEPT2.查看规则表查看filter表INPUT链中所有规则,同时显示各条规则的顺序号iptables-LINPUT--line-numbers查看filter表各链中所有规则的详细信息,同时以数字形式显示地址和端口信息。使用数字形式可以减少地址解析的环节,在一定程度上加快命令执行的速度iptables-vnL//注意-L选项放最后,否则会将vn当成链名3.删除,清空规则链删除filter表INPUT链中的第2条规则iptables-DINPUT2清空fil

4、ter表,nat表,mangle表各链中的所有规则iptables-Fiptables-tnat-Fiptables-tmangle-F4.设置规则链的默认策略将filter表中FORWARD规则链的默认策略设为DROPiptables-tfilter-PFORWARDDROP将filter表中FORWARD规则链的默认策略设为ACCEPTiptables-POUTPUTACCEPT5.获得iptables相关选项用法的帮助信息查看iptables命令中关于icmp协议的帮助信息iptables

5、-picmp-h6.新增,删除自定义规则链在raw表中新增一条自定义的规则链,链名为TCP_PACKETSiptables-traw-NTCP_PACKETSiptables-traw-L//查看raw表中的所有规则链相关信息清空raw表中用户自定义的所有规则链iptables-traw-x1.1条件匹配1.1.1通用条件匹配1.1.1.1协议匹配拒绝进入防火墙的所有icmp协议数据包iptables-IINPUT-picmp-jREJECT允许防火墙转发除icmp协议以外的所有数据包iptab

6、les-AFORWARD-p!icmp-jACCEPTiptables-LFORWARD1.1.1.1地址匹配拒绝转发来自192.168.1.11主机的数据,允许转发来自192.168.0.0/24网段的数据iptables-AFORWARD-s192.168.1.11-jREJECTiptables-AFORWARD-s192.168.0.0/24-jACCEPT1.1.1.2网络接口匹配丢弃从外网接口(eth1)进入防火墙本机的源地址为私网地址的数据包iptables-AINPUT-ieth

7、1-s192.168.0.0/16-jDROPiptables-AINPUT-ieth1-s172.16.0.0/12-jDROPiptables-AINPUT-ieth1-s10.0.0.0/8-jDROP管理员在网关服务器上检测到来自某个IP网段(如10.20.30.0/24)的频繁扫描,希望设置iptables规则封堵该IP地址段,两小时后解封Iptables-IINPUT-s10.20.30.0/24-jDROP//设置封堵策略Iptables-IFORWARD-s10.20.30.0/

8、24-jDROPatnow+2hoursat>iptables-DINPUT1at>iptables-DFORWARD1at>//此处按Ctrl+D组合键1.1.1隐含条件匹配1.1.1.1端口匹配仅允许系统管理员从202.13.0.0/16网段使用SSH方式远程登录防火墙主机iptables-AINPUT-ptcp--dport22-s202.13.0.0/16-jACCEPTiptables-AINPUT-ptcp--dport22-jDROP允许本机开放从TCP端口20~1024提供的应用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。