欢迎来到[自学php网] ①群 AG亚游集团

AG亚游集团 > 操作系统 > linux系统 >

Linux添加防火墙、iptables的安装和配置【全】

来源:未知 ?? 时间:2018-06-03 10:37?作者:小飞侠

[导读] iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这...

iptables基础


       规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规 则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的 主要工作就是添加、修改和删除这些规则。


规则链:


1.INPUT    ——进来的数据包应用此规则链中的策略
2.OUTPUT     ——外出的数据包应用此规则链中的策略
3.FORWARD  ——转发数据包时应用此规则链中的策略
4.PREROUTING  ——对数据包作路由选择前应用此链中的规则
(记住!所有的数据包进来的时侯都先由这个链处理)
5.POSTROUTING ——对数据包作路由选择后应用此链中的规则
(所有的数据包出来的时侯都先由这个链处理)

-A  在指定链的末尾添加(append)一条新的规则
-D  删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
-I  在指定链中插入(insert)一条新的规则,默认在第一行添加
-R  修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
-L  列出(list)指定链中所有的规则进行查看
-E  重命名用户定义的链,不改变链本身
-F  清空(flush)
-N  新建(new-chain)一条用户自己定义的规则链
-X  删除指定表中用户自定义的规则链(delete-chain)
-P  设置指定链的默认策略(policy)
-Z 将所有表的所有链的字节和数据包计数器清零
-n  使用数字形式(numeric)显示输出结果
-v  查看规则表详细信息(verbose)的信息
-V  查看版本(version)
-h  获取帮助(help)

规则表之间的优先顺序:

Raw——mangle——nat——filter
规则链之间的优先顺序(分三种情况):

第一种情况:入站数据流向

       从外界到达防火墙的数据包,先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断该数据包应该发往何处),如果数据包 的目标主机是防火墙本机(比如说Internet用户访问防火墙主机中的web服务器的数据包),那么内核将其传给INPUT链进行处理(决定是否允许通 过等),通过以后再交给系统上层的应用程序(比如Apache服务器)进行响应。

第二冲情况:转发数据流向

       来自外界的数据包到达防火墙后,首先被PREROUTING规则链处理,之后会进行路由选择,如果数据包的目标地址是其它外部地址(比如局域网用户通过网 关访问QQ站点的数据包),则内核将其传递给FORWARD链进行处理(是否转发或拦截),然后再交给POSTROUTING规则链(是否修改数据包的地 址等)进行处理。

第三种情况:出站数据流向
       防火墙本机向外部地址发送的数据包(比如在防火墙主机中测试公网DNS服务器时),首先被OUTPUT规则链处理,之后进行路由选择,然后传递给POSTROUTING规则链(是否修改数据包的地址等)进行处理。

 

 

iptables 的安装与配置

 

由于centos7默认是使用firewall作为防火墙,下面介绍如何将系统的防火墙设置为iptables。

#停止firewall 
systemctl stop firewall.service

#禁止firewall开机启动 
systemctl disable firewall.service

 

#安装iptables 
yum install iptables-services

 

 

#编辑防火墙文件 (建议都在配置文件配置,不要命令配置)
vi /etc/sysconfig/iptables 
#添加80和3306端口 等等(自己配置)
-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j ACCEPT           #80端口开放

-A INPUT -m state –state NEW -m tcp -p tcp –dport 3306 -j ACCEPT    #3306端口开放

-I INPUT -s 113.106.93.110 -p tcp --dport 8089 -j DROP                         #禁止指定IP访问 8089

-I INPUT -s 113.106.93.110 -p tcp --dport 8080 -j ACCEPT                    #开放固定ipIP访问 8080

 

#重启防火墙使配置文件生效  
systemctl restart iptables.service

#设置iptables防火墙为开机启动项 
systemctl enable iptables.service

 

service iptables  start          #启动服务

service iptables  stop     #停止服务

service iptables  restart  #重启服务

 

关闭SELINUX 
vi /etc/selinux/config 
 #注释以下配置 
 SELINUX=enforcing 
 SELINUXTYPE=targeted 
  
 #增加以下配置 
 SELINUX=disabled 
  
 #使配置立即生效 
 setenforce 0


查询是否配置好了端口号

/sbin/iptables -L -n

最新文章

点击排行

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号@版权所有AG亚游集团

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

日本推出这种出租车服务让人震惊 我们也想要 他是北京“牛校”校长 回应了一个人们很关心问题 4年3进总决赛辽宁这次能圆梦吗 郭士强有话说 厦门围棋迷福利 和柯洁一起共进晚餐一起浪! 人民日报:向“数字脱贫”“拍脑袋规划”说不 赫斯特百年版图背后的商业逻辑:敢于颠覆自己 外国航企修改涉台标注 台网友:祖国离统一又近一步 人大代表曹可凡:用法律手段打击收视率票房作假 卡西暗想伍兹能夺冠:如果我不能赢 希望老虎能赢 铁总启动高铁智能技术综合试验 成果用于京雄城际 火山喷发后夏威夷预计将降雨 居民面临酸雨威胁 绝望中的希望!高拉特双响回归解恒大锋无力尴尬
南京一男子持刀杀害前女友后自杀未遂 被警方控制 欧盟正式批准高通380亿美元收购恩智浦半导体 监管持续收紧致交易量大跌 加密货币要失宠了? 牛汇:落败的民主党不愿入新政府 意未来政局险象环生 美如画!巴萨还有一个梅西级大腿 最放心一环 普京送花是侮辱默克尔? 专家:特朗普还亲她呢 陆奇离场, 百度的变与不变 武警湖南省总队司令员李明辉晋升少将警衔(图) 中国军校招生遇冷?我国防部:报考人数稳中有升 申花亚冠客场力拼水原 驻韩国使馆官员亲临支持 杨氏太极拳第五代传人:太极拳不能实战是大错特错 恒大俱乐部更换注册地有何玄机? 专业球场不是梦
上海回应马路拍广告收费1小时2万:系影视公司拍片 9岁女孩阻止女子插队被脚踹 警方:打人者被拘十日 个人隐私交易黑市起底:谁在盗贩公民信息? 任正非:基础领域突破非一日之功 是数十年耕耘 黑色系多头之旅遇库存“拦路虎” 央视315辟谣鸡蛋那些事:“乒乓球鸡蛋”不是假鸡蛋 韩美军演落幕:因天气不佳取消大规模登陆演习 巴萨评估签格列兹曼风险:FIFA不干涉 等降价1亿 蔡英文上台两年“内外交迫” 遭近半民众评不及格 自己在家怎么挣钱 利润最高的不起眼行业 养牛挣钱为什么没人养 投资两万的小型加工厂 AG亚游集团