ctrl+c容易,创作不易 可以点个赞再走
Iptables构建防护墙 含义:Iptables其实不是真正的防火墙,他作为一个客户端代理,用户通过这个代理将用户的安全设定执行到对应的“安全框架”中,框架(netiptables)这个才是真正的防火墙。 五张表: filter:应用最广泛的表,作用时进行过滤,也是由filter表来决定一个数据包是否继续发往目的地或者拒绝,有三个常用链(INPUT,FORWARD,OUTPUT)。 nat:用于网络地址转换,可以改变数据包的源地址或者目的地址。 mangle:用于修改IP的头部信息,如修改TTL\TOS\MARK等等。 raw:为iptables提供了一种不经过状态追踪的机制,在大流量对外业务的服务器如淘宝,支付宝等,可以避免状态追踪带来的性能问题。 security:提供在数据包中加入SELinux特性的功能。在实际应用中,security一般不常用。
安装iptables
首先需要检查是否关闭centOS7默认防火墙firewalle,检查是否安装iptables,通过如下命令: service iptables status 如果没有安装iptables那么先通过下列命令禁用filrewalle systemctl stop firwalld ---停止 systemctl mask firewalld ---禁用 下面开始安装iptables yum -y install iptables ---安装 yum update iptables ---升级 yum install iptables-services ---安装服务 检查是否安装完成为了能更好的看懂命令下面对常见参数命令进行归纳总结
参数 说明 -A 添加一条规则 INPUT 链名,大写,常用 PREPOUTING 链名,大写 OUTPUT 链名,大写 -s 指定源地址,可以为IP地址,也可以为网段 -d 目标地址 -p 指定协议 --dport 指定主机端口(开放或者拒绝) --sport 指定主机端口(如:禁止链接对方端口) -i 指定网卡名,表示报文流入的接口 -o 指定网卡名,表示报文流出的接口 -j 指定所需要的操作 ACCEPT 允许 REJECT 拒绝,拒绝提供服务 DROP 拒绝,丢弃数据包不回应 --src-range 源地址范围,(如:拒绝某IP段访问) --dsc-range 目标地址的范围 --mac-source 源主机的mac地址 -t 指定表名,默认为filter -v 查看详细信息 -nvL --line-numbers 查看fliter表中的规则顺序 -nvL -t mangle 查看mangle表中防火墙的规则 -F 情况filter表中的规则 -I 指定链中插入规则 -R 替换规则 -m 指定模块 -D 删除一条规则