Linux系統(tǒng)中如何使用iptables工具管理防火墻，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

專業(yè)成都網(wǎng)站建設(shè)公司，做排名好的好網(wǎng)站，排在同行前面，為您帶來(lái)客戶和效益!創(chuàng)新互聯(lián)為您提供成都網(wǎng)站建設(shè)，五站合一網(wǎng)站設(shè)計(jì)制作，服務(wù)好的網(wǎng)站設(shè)計(jì)公司，成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)負(fù)責(zé)任的成都網(wǎng)站制作公司!

隨著企業(yè)中使用Linux系統(tǒng)的增加，保證Linux系統(tǒng)安全成為運(yùn)維人員的必備技能之一。

Linux系統(tǒng)本身有很強(qiáng)大的防護(hù)措施：防火墻。那么如何管理防火墻就成為重中之重。

隨著CentOS 7、CentOS 8的出現(xiàn)，越來(lái)越多的人喜歡使用firewalld工具來(lái)管理防火墻。因?yàn)樗粌H可以通過命令行設(shè)置，也可以通過圖形化設(shè)置。關(guān)于使用firewalld工具管理Linux防火墻，可參考保證Linux系統(tǒng)安全之使用firewalld工具管理防火墻

下面我們主要介紹iptables工具管理防火墻。

iptables概述：

提到iptables，那么就不得不說(shuō)一下四表五鏈、執(zhí)行的動(dòng)作。

四表分別是：

• raw：高級(jí)功能，如：網(wǎng)址過濾；

• mangle：數(shù)據(jù)包修改（QOS），用于實(shí)現(xiàn)服務(wù)質(zhì)量；

• net：地址轉(zhuǎn)換，用于網(wǎng)關(guān)路由器；

• filter：包過濾，用于防火墻規(guī)則；

五鏈分別是：

• INPUT鏈：處理輸入數(shù)據(jù)包；

• OUTPUT鏈：處理輸出數(shù)據(jù)包；

• PORWARD鏈：處理轉(zhuǎn)發(fā)數(shù)據(jù)包；

• PREROUTING鏈：用于目標(biāo)地址轉(zhuǎn)換（DNAT）；

• POSTOUTING鏈：用于源地址轉(zhuǎn)換（SNAT）；

執(zhí)行的動(dòng)作分別是：

• accept：接收數(shù)據(jù)包；

• DROP：丟棄數(shù)據(jù)包；

• REDIRECT：重定向、映射、透明代理；

• SNAT：源地址轉(zhuǎn)換；

• DNAT：目標(biāo)地址轉(zhuǎn)換；

• MASQUERADE：IP偽裝（NAT），用于ADSL；

• LOG：日志記錄；

iptables命令常用的選項(xiàng)有：

• -t<表>：指定要操縱的表；

• -A：向規(guī)則鏈中添加條目；

• -D：從規(guī)則鏈中刪除條目；

• -i：向規(guī)則鏈中插入條目；

• -R：替換規(guī)則鏈中的條目；

• -L：顯示規(guī)則鏈中已有的條目；

• -F：清楚規(guī)則鏈中已有的條目；

• -Z：清空規(guī)則鏈中的數(shù)據(jù)包計(jì)算器和字節(jié)計(jì)數(shù)器；

• -N：創(chuàng)建新的用戶自定義規(guī)則鏈；

• -P：定義規(guī)則鏈中的默認(rèn)目標(biāo)；

• -h：顯示幫助信息；

• -p：指定要匹配的數(shù)據(jù)包協(xié)議類型；

• -s：指定要匹配的數(shù)據(jù)包源ip地址；

• -j<目標(biāo)>：指定要跳轉(zhuǎn)的目標(biāo)；

• -i<網(wǎng)絡(luò)接口>：指定數(shù)據(jù)包進(jìn)入本機(jī)的網(wǎng)絡(luò)接口；

• -o<網(wǎng)絡(luò)接口>：指定數(shù)據(jù)包要離開本機(jī)所使用的網(wǎng)絡(luò)接口；

iptables命令選項(xiàng)輸入順序：

iptables -t 表名 <-A/I/D/R> 規(guī)則鏈名 [規(guī)則號(hào)] <-i/o 網(wǎng)卡名> -p 協(xié)議名 <-s 源IP/源子網(wǎng)> --sport 源端口 <-d 目標(biāo)IP/目標(biāo)子網(wǎng)> --dport 目標(biāo)端口 -j 動(dòng)作

iptables命令示例：

[root@localhost ~]#iptables -F               // 清空所有的防火墻規(guī)則
[root@localhost ~]#iptables -F INPUT    //清空指定鏈 INPUT 上面的所有規(guī)則
[root@localhost ~]#iptables -X               // 刪除用戶自定義的空鏈
[root@localhost ~]#iptables -Z               //清空計(jì)數(shù)
[root@localhost ~]#iptables -P INPUT DROP              //配置默認(rèn)的不讓進(jìn)
[root@localhost ~]#iptables -P FORWARD DROP        //默認(rèn)的不允許轉(zhuǎn)發(fā)
[root@localhost ~]#iptables -P OUTPUT ACCEPT        //默認(rèn)的可以出去
將INPUT規(guī)則鏈設(shè)置為只允許指定網(wǎng)段的主機(jī)訪問本機(jī)的22端口，拒絕來(lái)自其他所有主機(jī)的流量：
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p tcp  --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables-save                //保存配置
如果我只允許192.168.1.100和192.168.1.110 的PING命令，應(yīng)該怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP
如果我只允許192.168.1.0/24網(wǎng)段的，但拒絕192.168.1.100和192.168.1.110 的PING命令，應(yīng)該怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j DROP 
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j DROP
向INPUT規(guī)則鏈中添加拒絕所有人訪問本機(jī)12345端口的策略規(guī)則
[root@localhost ~]# iptables -I INPUT -p tcp --dport 12345  -j REJECT
[root@localhost ~]# iptables -I INPUT -p UDP --dport 12345  -j REJECT
向INPUT規(guī)則鏈中添加拒絕所有主機(jī)訪問本機(jī)1000～1024端口的策略規(guī)則
[root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -A INPUT -p UDp --dport 1000:1024 -j REJECT

注意：iptables工具檢查策略時(shí)按照：從上到下，找到即停，如果沒有找到則執(zhí)行默認(rèn)的策略！所以在添加規(guī)則時(shí)，應(yīng)注意策略的添加順序！

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。

本文標(biāo)題：Linux系統(tǒng)中如何使用iptables工具管理防火墻
URL地址：http://www.chinadenli.net/article8/jdhjop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、關(guān)鍵詞優(yōu)化、網(wǎng)站導(dǎo)航、手機(jī)網(wǎng)站建設(shè)、域名注冊(cè)、App設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)