一、iptables防火墙
表--->链--->行--->规则
1)iptables的4个表(区分大小写)
nat表(地址转换表)、filter表(数据过滤表)、raw表(状态跟踪表)、mangle表(包标记表)
默认表
2)iptables的5个链(区分大小写)---------->数据包传输的方向
INPUT链(入站规则)
OUTPUT链(出站规则)
FORWARD链(转发规则)---------->匹配经过防火墙主机的包
PREROUTING链(路由前规则)--------->数据包选择传输路径之前修改路径
POSTROUTING链(路由后规则)-------->数据包选择传输路径之后修改路径
匹配规则的操作:----顺序比对
ACCEPT:允许通过
DROP:直接丢弃,没有回应
REJECT:拒绝通过,必要时会给出提示
LOG:记录日志,然后传给下一条规则
常用的管理选项:
-A 在链的末尾追加一条规则
-I 在链的开头(或指定序号)插入一条规则
-L 列出所有规则条目
-n 以数字形式显示地址端口等信息
--line-numbers 查看规则时显示规则的序号
-D 删除指定的某一条规则
-F 清空所有规则
-P(大写) 为指定的链设置默认规则
过滤条件:(需要取反时用 !)
-p 协议名
-s 源地址 -d 目标地址
-i 收数据的网卡 -o 发数据的网卡
--sport 源端口 --dport 目标端口
--icmp-type icmp类型
iptabels语法格式:
[root@proxy ~]# iptables [-t 表名] 选项 [链名] [条件] [-j 目标操作]
二、filter表控制 主机型防火墙 (使用防火墙服务保护本机)
根据防火墙保护的对象不同,防火墙可以分为主机型防火墙与网络型防火墙.
主机型防火墙,主要保护的是服务器本机(过滤威胁本机的数据包)。针对入站访问的原地址
网络防火墙,主要保护的是防火墙后面的其他服务器,如web服务器、FTP服务器等。针对转发访问的原地址
]# iptables-save > /etc/sysconfig/iptables //保存规则(让重启也能生效)
2.1扩展匹配条件
1)根据MAC地址封锁主机
2)在一条规则中开放多个TCP服务
3)根据IP范围设置封锁规则
iptables 选项 链名称 -m 扩展模块 --具体扩展条件 -j 动作
2.2常见的扩展条件类型:
MAC地址匹配: -m mac --mac-source mac地址
多端口匹配: -m multiport --sports 源端口列表
-m multiport --sports 目标端口列表
ip范围匹配: -m iprange --src-range 允许的ip范围
-m iprange --dst-range 禁止的ip范围
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -m mac --mac-source 52:54:00:00:00:0b -j DROP
//拒绝52:54:00:00:00:0b这台主机远程本机
[root@proxy ~]# iptables -A INPUT -p tcp -m multiport --dports 20:22,25,80,110,143,16501:16800 -j ACCEPT
//一次性开启20,21,22,25,80,110,143,16501到16800所有的端口
1)允许从 192.168.4.10-192.168.4.20 登录
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22
-m iprange --src-range 192.168.4.10-192.168.4.20 -j ACCEPT
注意,这里也可以限制多个目标IP的范围,参数是--dst-range,用法与--src-range一致。
2)禁止从 192.168.4.0/24 网段其他的主机登录
[root@proxy ~]# iptables -A INPUT -p tcp --dport 22 -s 192.168.4.0/24 -j DROP