众所周知,防火墙无论是在系统,在网络方面都是比较重要的一个角色,承担着守护进程的作用;而在linux的防火墙配置有四种方法,这里先讲第一种RHEL5/6系统使用的iptables防火墙
前提要知道的知识:
公网(外网)到的 内网输入流量是 INPUT
内网→到公网(外网)输入流量是 OUTPUT
信息不由自己处理 ,转发到第三方的电脑上面是 FORWARD 转发链
控制流量的四种模式:
将流量进行放行(允许) ACCECT
将流量拒绝,不给对方反馈(拒绝) DROP
将流量拒绝,会给对方反馈(拒绝) REJECT
记录信息并且保存在服务器上(日志) LOG
上面两段知识组合起来,可以有很多种不同的搭配方式,整体还是看目的是要拒绝还是允许,可以总结是:由内到外默认允许,由外到内默认拒绝;下面开始讲iptables的一些基础及常用到的命令格式
查看当前防火墙有哪些策略
iptables -L
清空防火墙策略
iptables -F
修改规则链的输入流量为拒绝,并且不给对方反馈的模式
iptables -P INPUT DROP给INPUT(输入流量)添加一个规则链,可以放行192.168.10.0这个段的流量进入
ipables -I INPUT -s 192.168.10.0/24 -j ACCECT
给INPUT(输入流量)添加一个规则链,拒绝端口访问
iptables -I INPUT -s 192.168.10.0/24 -p icmp -j DROP
给INPUT(输入流量)添加一个规则链,允许这个192.168.10.1的IP通过tcp的22端口远程服务器
iptables -I INPUT -s 192.168.10.1 -p tcp --dport=22 -j ACCEPT
给INPUT(输入流量)添加一个规则链,允许这个192.168.10.1通过tcp 3000-5000的端口访问
iptables -I INPUT -s 192.168.10.1 -p tcp --dport=3000:5000 -j ACCEPT
删除(输入流量)的第一条规则
iptables -D INPUT 1
当前服务器重启后,防火墙策略依然生效
iptables-save
注意一点,-I 是添加规则到最上面 ,-A是添加规则到最下面
其中的规则链是由第一条上到下做匹配,匹配到即截止,如果匹配项都没有要匹配的对象,那么就以默认设置的流量控制为准。
规则链是由第一条上到下做匹配,第二条匹配到即截止,更重要的防火墙策略要先写。
下图表中还有iptables的其他参数,可供参考
