我要评论iptables也叫netfilter,是linux下自带的一款免费且优秀的基于包过滤的防火墙工具,他的功能十分强大,使用也非常灵活,可以对流入、流出、流经服务器的数据包进行精细的控制。
但是iptables在centos7的版本上已经被阉割掉了,我们需要自行安装,以下是在centos7下安装iptables和使用方式。
一、安装iptables
1.1、查看是否安装成功
命令:
systemctl status iptables
输出结果表示没有iptables的相关服务,我们需要安装
1.2、安装iptables
命令:
yum install iptables-services
1.3、检查是否安装成功
命令:
systemctl status iptables
输出结果表示已经安装了iptables但是还没有启动
1.4、启动iptables
命令:
systemctl start iptables.service
再次查看状态,输出结果表示已经成功启动iptables
1.5、关闭selinux
这里需要关闭selinux,因为当selinux不关闭时,iptables不读取配置文件,关于如何关闭selinux建议大家浏览我的其他linux:centos7下关闭selinux
二、命令
2.1、系统命令
systemctl start iptables #启动 systemctl status iptables #查看运行状态 systemctl restart iptables.service #重启 systemctl stop iptables.service #停止 systemctl enable iptables.service #设置开机启动 systemctl disable iptables.service #禁止开机启动
2.2、常用命令
iptables -h #查询帮助 iptables -l -n #列出(filter表)所有规则 iptables -l -n --line-number #列出(filter表)所有规则,带编号 iptables -l -n -t nat #列出(nat表)所有规则 iptables -f #清除(filter表)中所有规则 iptables -f -t nat #清除(nat表)中所有规则 service iptables save #保存配置(保存配置后必须重启iptables) systemctl restart iptables.service #重启
三、语法
3.1、filter表解析
filter表是iptables默认使用的表,负责对流入、流出本机的数据包进行过滤,该表中定义了3个链,分别是:input、output、forward
- input:过滤进入主机的数据包
- output:处理从本机出去的数据包
- forward:负责转发流经本机但不进入本机的数据包,起到转发作用
3.2、iptables常用语法
- -a:追加到规则的最后一条
- -d:删除记录
- -i:添加到规则的第一条
- -p:(proto)规定通信协议,常见的协议有:tcp、udp、icmp、all
- -j:(jump)指定要跳转的目标,常见的目标有:accept(接收数据包)、drop(丢弃数据包)、reject(重定向)三种,但是一般不适用重定向,会带来安全隐患
四、常见案例
4.1、ip过滤
4.1.1、禁止192.168.1.3 ip地址的所有类型数据接入
iptables -a input ! -s 192.168.1.3 -j drop
4.2、开放端口
4.2.1、开放端口
iptables -a input -p tcp --dport 80 -j accept #开放80端口
4.2.2、开放端口范围
iptables -i input -p tcp --dport 22:80 -j accept #开发22-80范围的端口
4.2.3、不允许80端口流出
iptables -i output -p tcp --dport 80 -j drop
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持代码网。
![[<font color=red>原创</font>]Linux版本选择攻略:一步到位](/images/newimg/nimg2.png)
发表评论