LINUX防火牆規則

2021-07-28 13:47:45 字數 2393 閱讀 7073

1)filter:主要跟linux本機有關,是預設的table.

-->> input:主要與資料報想要進入linux本機有關

-->> output:主要與linux本機所要送出的資料報有關

-->> forward:與linux本機沒有關係,它可以將資料報**到後端的計算機中,與nat表的相關性很高

檢視防火牆規則

#iptables [-t tables] [-l] [-nv]

引數:-->> -t:後面接table,例如nat 或 filter,若省略此專案,則使用預設的filter.

-->> -l:列出目前的table的規則

-->> -n:不進行ip與hostname的反查,顯示資訊的速度會快很多

清除防火牆規則

#iptables [-t tables] [-fxz]

引數:-->> -f:清除所有的已定規則

-->> -x:除掉所有使用者「自定議」的鏈(應該說的是tables)

-->> -z:將所有的chain的計數與流量統計都歸零

定義預設策略

#iptables [-t nat] -p [input,output,forward] [accept/drop]

引數-->> -p:定義策略(policy)。注意,這個為大寫的p

-->> accept:該資料報可以接收

-->> drop:該資料報直接丟棄,不讓client端知道為何被丟棄

ip與網段策略

#iptables [-ai 鏈] [-io 網絡卡介面] [-p 協議] [-s 源ip/網段] [-d 目標ip/網段] -j [accept/drop]

引數:-ai:鏈:針對某條鏈進行規則的「插入」或「新增」

-->> -a:新增加一條規則。該規則增加在原規則的最後面

-->> -i:插入一條規則。如果沒有指定此規則的順序,預設是插入孌成第一條

。---->> 例如原本有四條規則,使用-i插入一條規則後則剛插入的那條變成第一條,原來的四條規則都向後移一位。例如在-i指定了順序(-i input 3),則插入後,此條規則變成了第三的位置。

-io 網路介面:設定資料報進出的介面規範。

-->>-i:資料報所進入的那個網路介面,例如eth0等,需要跟input鏈配合

-->>-o:資料報傳出的那個網路介面,需與output鏈配合

-p:協議:設定此規則適用於哪種資料報格式。主要的資料報格式有:tcp/udp/icmp/all

-->>ip:192.168.1.1

-->>網段:192.168.1.0/24  192.168.1.0/255.255.255.0 均可以。

-->>如果設定為「不許」時,在ip或網段前面加個「!」,表示除了哪個ip/網段。

-d:目標ip/網段:同-s一樣,只是這裡指的是目標ip/網段

-j:後面接操作,主要的操作有接受(accept)、丟棄(drop)、記錄(log)

埠規則

#iptables [-ai 鏈] [-io 網路介面] [-p tcp,udp] [-s 源ip/網段] [--sport 埠範圍] [-d 目標ip/網段] [--dport 埠範圍] -j [accept|drop]

引數:--dport 埠範圍:限制目的地的埠號碼。

示例:-a input -s 123.123.123.123/74 -i eth0 -j accept

-a input -s 123.123.123.123/74 -i eth0 -j accept

-a input -p tcp -m tcp --dport 80 -j accept

-a input -s 123.123.123.123/74 -i eth0 -j accept

-a input -s 123.123.124.124/74 -i eth0 -j accept

-a input -s 124.124.124.124/74 -i eth0 -j accept

-a input -p tcp -m tcp --sport 94 -j accept

-a input -p udp -m udp --sport 94 -j accept

-a input -s 123.123.123.0/21 -i eth0 -j accept

-a input -s 123.123.123.123/34 -i eth0 -j accept

-a input -i eth1 -j accept

-a input -p icmp -j accept

-a input -i lo -j accept

-a input -m state --state related,established -j accept

-a input -s 123.123.123.1123/56 -i eth0 -j accept

外圍防火牆規則 內部防火牆規則

外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...

防火牆規則

raw表 主要用來決定是否對資料報進行狀態跟蹤 mangle表 用來修改資料報的tos服務型別 ttl生存週期 為資料報設定mark標記,以實現流量整形 策略路由等高階應用 filter表 用來對資料報進行過濾,根據具體的規則要求決定如何處理乙個資料報 prerouting鏈 prerouting鏈...

防火牆順序規則

總規則順序 資料進來,進行比對判斷。一條乙個動作執行,上面一條比對符合後,執行 accept 就和下面規則沒有關係了。1.a情況比對符合,就執行後面的動作,後面動作有三個 accept,reject,drop 比對通過,做動作,不理會下面規則。如被過濾後還有資料,往下走。1.b情況比對不符合,又沒有...