安装iptables服务
保存不上,可能没安装iptables服务
yum install iptables-services.x86_64
关闭防火墙
systemctl stop firewalld
systemctl mask firewalld
2 安装 iptables 服务
yum install iptables-services
3 设置 iptables 服务开机启动
systemctl enable iptables
4 重启 iptables 服务
systemctl restart iptables
5 执行保存配置命令
service iptables save
iIptables防火墙
防火墙特性
从上往下
一旦满足就不会在往下匹配
但全拒绝时,应该是允许的,
Iptables 红帽7以后没有了
Iptables -L //查看规则链
Iptables -F //清空规则链
Iptables -P //设置默认策略
iptables -I INPUT //头部添加规则
iptables -A INPUT // 尾部添加规则
Iptables -p //匹配的协议
Iptables -j //是否允许的动作
-j ACCEPT DrOP PEJECT LOG
允许流量 拒绝流量 拒绝 记录日志
DrOP是不理睬的拒绝,不搭理你,丢包
PEJECT 有回应的拒绝
LOG 记录日志
iptables -D num //删除某条规则
iptables -S //来源的IP地址
!除了这个IP外
iptables -i //网卡流入的数据
iptables -o //网卡流出的数据
保存永久生效
service iptables save
实验
首先清空规则
Iptables -F
然后查看
iptables -L
写入默认设置
DrOP全拒绝
Iptables -P INPUT DrOP
默认只能写,DrOP,
写入规则
Ping的协议是ICMP
iptables -I INPUT -p icmp -j ACCEPT
在考试的时候,如果要拒绝,写PEJECT
在默认规则里,只能设置DrOP丢包,不能设置PEJECT
删除一条规则
iptables -D INPUT 1
设置允许192.168.10.0/24网段的tcp协议的22端口号的请求,
Iptables -I input -s 192.168.10.0/24 -p tcp --dport=22 -j ACCEPT
设置除了这个网段,其他的都不行
Iptables -I input -s 192.168.10.0/24 -p tcp --dport=22 -j ACCEPT
iptables -A INPUT -p tcp --dport=22 -j rEJECT
I是头 A是尾
把允许动作放在拒绝动作前面,
要不所有流量都被拒绝
拒绝所有人访问本机12345端口
Iptables -I INPUT -p tcp --dport 12345 -j rEJECT
拒绝192.168.10.5访问80端口 web服务
Iptables -I INPUT -s 192.168.10.5 -p tcp --dport 80 -j rEJECT
拒绝所有主机访问1000~1024端口
-A兜底 //让所有进来,最后淘汰
iptables -A INPUT -p tcp --dport 1000:1024 -j rEJECT
iptables -A INPUT -p udp --dport 1000:1024 -j rEJECT
禁止1500
是tcp
udp??
建议都写上,
保存永久生效
service iptables save