防火墙

主配置文件:vim /etc/sysconfig/iptables

想要自定义防火墙,需要把这里的规则清空并且权限设置成DROP

防火墙名字:netfilter,工具:iptables

防火墙有三个表filter,nat,mangle

每个表下面还有链:

filter表主要用于过滤包,系统预设的表。内建三个链INPUTOUTPUTFORWARDINPUT作用于进入本机的包,OUTPUT作用于本机送出的包,FORWARD作用于跟本机无关的包。

nat表主要用处是网络地址转换,PREROUTING练的作用是在包刚刚到达防火墙是改变它的目的地址,POSTOUTING链在包就要离开防火墙之前改变其源地址

mangle表主要用于给数据包打标记,然后根据标记去操作哪些包。

-A/D:增加删除一条规则

-I:插入一条规则,其实跟-A的效果一样

-P:指定协议,可以是tcp,udp,icmp

--dport:跟-p一起使用,指定目标端口                                  //对于防火墙来说

--sport:跟-P一起使用,指定源端口

-s:指定源IP(可以是一个IP段)                                          //对于防火墙来说

-d:指定目标IP(可以是一个IP段)

-j:后面跟动作,其中ACCEPT表示允许包,DORP表示丢掉包,REJECT表示拒绝包

规则按顺序生效,当两个规则相同时,第一个规则先生效,后面的规则直接忽视掉

防火墙源IP表示,一台主机要想远程服务器,那么这台主机就是源IP,它要发送数据包到服务器才想远程服务器,要是服务器不想被远程,可以直接把数据包DROP

iptables要理解防火墙的结构,它在本地网络和外部网络之间,这可以清楚的理解源IP和目标IP,也要搞清楚每个链,如INPUT的目标IP是本机IPIP是外部IP

 

 

 

 

1、命令

iptables -t filter -I INPUT -p tcp --dport80 -s 192.168.134.1 -j REJECT

iptables –F                                                                         //清空防火墙规则

iptables –Z                                                                        //把包以及流量清零

iptables-save > /etc/sysconfig/1.ipt                           //备份防火墙规则

iptables-restore /etc/sysconfig/1.ipt                         //恢复防火墙规则

iptables -P INPUT DROP                                                 //更改预设策略,对于每个链,安全性高

 

 

 

 

//实例:

针对filter表,预设策略INPUTDROP,其他两个链ACCEPT,然后针对192.168.134.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。脚本如下:

vim 1.ipt.sh

#!/bin/bash

ipt="/sbin/iptables"

$ipt -F

$ipt -P INPUT DROP

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -s 192.168.134.0/24 -p tcp--dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT