整理linux网关与安全第二章

 

iptables 防火墙(提供命令) netfiter 内核 (接受命令过滤)
*filter表                       DROP 丢弃
*nat表                          REJECT 拒绝    
*mangle表                       ACCEPT 允许
 raw表                           LOG 记录在日志不作响应 然后看默认规则
开启防火墙规则
system-config-securitylevel
规则链 INPUT   入站
      OUTPUT 出站
      FORWARD   转发
      PREROUTING 路由前
      POSTROUTING   路由后

********************************************使用方法
iptables -L INPUT --line-numbers
         -L 列出 INPUT 入站链    --line-numbers 显示规则序号
iptables [-t 表名 不加默认为filter表][-A 命令选项][-j 目标动作]
命令选项
-A 往下追加 -t 指定表 -F清空 -X删除
-D 删除     -L 列出 -n使用数字的形式显示输出结果
-I 往上追加 -v详细信息
****************************例子
iptables -t filter -A INPUT -p tcp -j ACCEPT
iptables -I INPUT -p udp -j ACCEPT
iptables -t filter -D INPUT 2
iptables -A FORWARD -p ! icmp -j ACCEPT [只允许icmp之外的协议进行转发]
iptables -A INPUT -i eth0 -s 192.168.0.1/24 -j DROP [-i 进来网卡-o出去网卡-s源IP]
iptables -A INPUT -p tcp --dport 22 -j ACCEPT    [--dport 指定端口号 :范围]
iptables -A FORWARD -m mac --mac-source ff:ff:ff:ff:ff:ff -j DROP [-m扩展 mac --mac-source 指定mac ]
iptabels -A FORWARD -p tcp -m iprange --src-range 192.168.0.1-192.168.0.5 -j DROP
[iprange 指定范围 --src-range 源范围 --dst-range 目标范围 ]
*********************************************配置保存
/etc/init.d/iptables save
service iptables save
/etc/sysconfig/iptables 配置文件
**********************************************特殊例子
拒绝新数据包 允许已经连接相关的数据包
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
***************************************************备份与还原
iptables-save > /etc/sysconfig/iptables
iptables-restore < /etc/sysconfig/iptables
**********************************************防火墙脚本
P50 重新加载内核模块
*********************************************开启路由转发功能(三种方法)
1:/sbin/sysctl -w net.ipv4.ip_forward=1
2:echo 1 > /proc/sys/net/ipv4/ip_forward
3:vi /etc/sysctl.conf 修改   net.ipv4.ip_forward = 1
 susctl -p
重新加载




 

本文出自 “yangjun” 博客,转载请与作者联系!

你可能感兴趣的:(linux,职场,iptables,休闲)