linux系统防火墙追加篇——iptables

在前面我们已经学习过了系统的防火墙,我们讲过redhat7以上的防火墙软件有两个,分别是firewalld和iptables,上一片我们讲的是firewalld,具体可见firewalld,那么今天我们来了解一下另一个防火墙软件iptables

iptables?

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。

iptables过滤规则的四表五链

在iptables中对于内外信息的规律时有一定的规则的,对于不同的需求有不同的规则结构,而我们常将这种规则结构称为“四表五链”
在这里插入图片描述

raw表

raw 有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能。

filter表

filter 主要和自身有关,主要负责防火墙功能 过滤本机流入流出的数据包是默认使用的表
input 负责过滤所有目标地址是本机地址的数据包,就是过滤进入主机的数据包
forward 负责转发流经主机但不进入本机的数据包,和NAT关系很大
output 负责处理源地址的数据包,就是对本机发出的数据包

NAT表

NAT 负责网络地址转换,即来源于目的IP地址和端口的转换,一般用于共享上网或特殊端口的转换服务
snat 源地址转换
dnat 目标地址转换
pnat 目标端口转换

mangle表

### Linux防火墙策略配置 #### 使用 `iptables` 进行基本配置 对于传统的 `iptables` 工具而言,其提供了强大的命令行接口用于定义网络流量规则。每条规则可以指定允许或拒绝特定类型的流量。 要查看当前的 `iptables` 规则集: ```bash sudo iptables -L -v ``` 为了创建一条新的入站规则以接受来自特定IP地址的数据包,可执行如下命令[^1]: ```bash sudo iptables -A INPUT -s 192.0.2.42 -j ACCEPT ``` 此操作会追加(`-A`)一条针对输入链(`INPUT`)的新规则到现有列表末端;该规则匹配源自给定 IP 地址 (`-s`) 的所有数据包并将其接收 (`-j ACCEPT`)。 如果希望阻止除上述已许可连接外的所有其他传入请求,则需添加另一项指令来实现这一目的: ```bash sudo iptables -A INPUT -j DROP ``` 这将在最后的位置加入一项丢弃任何未被先前规则明确接纳之流入通信量的动作。 #### 利用 `firewalld` 实现更灵活控制 相比之下,在较新版本的 CentOS 和 Fedora 发行版上,默认采用的是更为现代化的服务——`firewalld` 。它不仅支持动态更新而无需重启服务本身,还引入了区域(zone)的概念以便于分类管理不同信任级别的网络环境[^2]。 启动与启用 `firewalld` 服务可以通过下面两条命令完成: ```bash sudo systemctl start firewalld sudo systemctl enable firewalld ``` 假设想要开放 HTTP (80/tcp) 访问权限,只需运行下列语句即可生效: ```bash sudo firewall-cmd --zone=public --add-service=http --permanent sudo firewall-cmd --reload ``` 这里指定了公共区作为应用对象(`--zone=public`),并通过永久性方式(`--permanent`)向其中添加 Web 浏览器访问所需的服务类型(`http`)。之后重新加载配置使更改立即起作用。 #### 包过滤机制概述 无论是通过 `iptables` 还是 `firewalld` ,底层都依赖于包过滤技术来进行细粒度的安全防护措施实施。这种类型的防火墙依据预设条件筛选进出系统的每一个 TCP/IP 数据报文片段,从而有效抵御潜在威胁入侵风险[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值