安全利盾—Linux防火墙iptables趣解

本文介绍了iptables防火墙的基本概念和操作,包括四表五链的结构,以及增删查改四大操作。通过示例展示了如何配置规则来允许SSH远程登录和允许访问网站服务。iptables用于过滤、转换和标记网络数据包,对于服务器的安全管理至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

请添加图片描述

自我介绍

大家好:请不要叫我防火墙,请叫我的英文名字iptables!分解开: tables是表的意思;言下之意是关于ip表的那些事!
表的操作,比如:数据库的表,无非四种:增删改查,这是我的四大强项!


我是高富帅吗?

请添加图片描述

虽然经济上不是很富裕,但我的才华很富足,我有四表五链

什么是表?

  • 简言之就是,功能
  • filter、nat、mangle、raw
    过滤、转换、标记、状态跟踪

什么是链?

  • 简言之就是,方向
  • OUTPUT、INPUT 、FORWARD、PREROUTING、POSTROUTING
    出、入、转、路由前、路由后

总结,通过四表五链我可以对以我为参照来自不同方向数据包进行不同功能的处理。

指令组成
iptables [-t 表名] [选项] [链名] [条件] [-j 操作]
在这里插入图片描述
省略表名,默认是filter表,也有默认规则。
在这里插入图片描述
操作:到达防火墙的数据包,进行四项处理,原则是匹配即停止(LOG例外),若在所有链中无任何匹配,按默认策略处理

  • ACCEPT:允许
  • DROP:丢弃,不给回应
  • REJECT:拒绝,给回应信息
  • LOG:记录日志,传给下一条规则

配置语法:注意,centos7版本不支持部分功能,若有此需求,请使用Firewalld防火墙,见fireawalld网络安全部署

类别匹配选项用法
通用协议-p 协议名
通用地址-s源地址、-d目标地址
通用接口-i 接受数据网卡、-o发送数据网卡
隐含端口- -sport 源端口、- -目标端口
隐含ICMP类型- -icmp-type ICMP类型

1、
查询nat表的规则
在这里插入图片描述
查询filter表规则,并添加行号输出
iptables -t filter -L --line-numbers
在这里插入图片描述
查询filter表规则,并添加行号且以数字显示地址栏输出
iptables -t filter -nL --line-numbers
在这里插入图片描述
2、
临时不保存配置:重启服务会恢复原来
1)清空指定表的所有规则
在这里插入图片描述
2)删除指定的规则,按照编号
在这里插入图片描述

永久保存配置:
在这里插入图片描述
3、
实例一:仅允许ssh远程登录连接,拒绝其他服务的请求,并且是以不给回应的方式。

1)默认允许ssh远程登录服务器。
登录成功
在这里插入图片描述
2)服务器本地设置规则, 拒绝此项行为

iptables -t filter -P INPUT DROP

3)远程主机验证,一直是连接中,没有报错提示信息;若是已登录的远程ssh界面,无法进行操作,被锁死
在这里插入图片描述
4)本地服务器添加规则,允许ssh连接的服务数据包通过
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT

5)验证:此刻ssh可以连接服务器,其他服务则不行
在这里插入图片描述
查看规则链
在这里插入图片描述
实例二:允许用户访问网站服务

1)不添加规则,执行之前规则丢弃拒绝,一直显示正在连接
在这里插入图片描述
2)本地服务器添加规则,允许连接80端口的服务数据包通过

iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT

3)验证:可以访问到网站页面

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术职场教练

您的是我坚持原创免费作品的不懈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值