Linux--防火墙策略 iptables(续)

来源：互联网发布：烈火封神翅膀升级数据编辑：程序博客网时间：2024/05/24 07:32

***************************************************************************************************************************************************************************************

昨天写到如何使用iptables查看和修改其访问策略，现在再来具体看一下如何使用iptables实现防火墙策略的添加和删除。

下面展示的是防火墙策略的查询:

可以看到，防火墙提供了INPUT、FORWARD、OUTPUT三种策略，INPUT指的是从外面(可以是互联网、其他主机)进到自己电脑的信息，都从INPUT策略经过，OUTPUT正相反，指从自己主机出去，访问(互联网、其他主机)的信息，从这条策略经过；FORWARD转向策略，假如A电脑想要访问C电脑，必须要经过B电脑，那在FORWARD中加入一条转向策略，将访问的方向转向C。

括号中policy的默认策略全部都是默认同意的，如果将ACCEPT改为DROP，则不管是进来的信息，还是想要出去访问的信息，都将会被拒绝掉。

追加规则，即为将一条规则添加到防火墙策略中,通过tcp协议，在任何地方进行连接SSH，只要是可以连接进来，则防火墙都会默认通过:

下面进行查看:

再来看FORAWRD中的source 和destination，默认都是anywhere，可以从任意地方来，到任意地方去，即来源和目的地都没有限制,我们将来源修改一下，将来源修改为具体ip,表示只有这个ip可以连接到自己主机，再来看:

使用iptables -L 进行查看:

以上写了iptables的添加、修改、查看规则了，当然也可以对其进行删除操作，删除规则是iptables -D + 策略 + 策略序号 ,上面添加了FORWARD策略，下面使用删除策略将其删除:

还有一个iptables -F 清空规则，使用这个规则表示你要将所有的防火墙策略清空，如果想要单独清空某一个链的话，后面加链的名称:

接着看防火墙的匹配条件:

出、入接口(-o、-i) 网卡网卡是上网的必备品，没有网卡就无法上网。当前主机有一台Linux服务器，想要访问某个网站的时候，是信息出去的过程，用到出接口，通过网络下载信息到本地，就要通过入接口，对于网卡就是INPUT、OUTPUT链，如果设置ACCEPT或者DROP，那有的策略就会通过，有的策略将不能通过。

源、目的地址(-s、-d) IP或者IP段 -s允许或者不允许某个IP地址、IP段，访问自己主机 -p 允许或者不允许某个IP地址、IP段访问某个网站，和之前将anywhere修改为具体ip的作用是一样的。

协议类型(-p) TCP,UDP

源、目的端口(-sport、-dport) 应用软件在启动的时候，会占用一个端口，ip + 端口可以设置相关的策略信息

按照网络接口匹配:

-0 匹配数据流出的网络接口 iptables -A OUTPUT eht0 -j DROP

备注:将接口eth0流出的数据drop掉

-i 匹配数据流入的网络接口 iptables -A INPUT -i eth0 -j DROP

备注:将流入到接口eth0的数据DROP掉;

使用这个命令，会将所有的数据drop掉,xshell没有网络数据流，也就不能继续使用，这时，必须要重启CentOS服务端才可以。

按地址匹配:

-s 匹配源地址:

iptables -A INPUT -s 192.168.1.56 -j DROP 将来自 192.168.1.56的任何请求DROP掉

-d 匹配目的地址

iptables -A OUTPUT -d 192.168.1.45 -j DROP 将本机发往192.168.1.45的任何请求DROP掉

***************************************************************************************************************************************************************************************

阅读全文

0 0