linux shell

关注公众号 jb51net

关闭
首页 > 脚本专栏 > linux shell > Shell iptales防火墙设置

Shell iptales防火墙设置的方法步骤

作者:陈晨尘(NaSa)

本文主要介绍了Shell iptales防火墙设置的方法步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

一.Linux 防火墙

1.Linux包过滤防火墙概述

netfilter/iptables 关系

位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了 raw、mangle、 nat 和 filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。

2.四表五链

四表

在 iptables 的四个规则表中,mangle 表和 raw 表的应用相对较少。

五链

数据包到达防火墙时,规则表之间的优先顺序:
raw > mangle > nat > filter

3.规则链之间的匹配顺序

加粗样式

主机型防火墙

入站数据(来自外界的数据包,且目标地址是防火墙本机):
PREROUTING --> INPUT --> 本机的应用程序

出站数据(从防火墙本机向外部地址发送的数据包):
本机的应用程序 --> OUTPUT --> POSTROUTING

网络型防火墙

转发数据(需要经过防火墙转发的数据包) :
PREROUTING --> FORWARD -->POSTROUTING

4.规则链内的匹配顺序

自上向下按顺序依次进行检查,找到相匹配的规则即停上 (LOG策略例外,表示记求相关日志)

若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)

二.编写防火墙规则

1.iptables防火墙的配置方法

iptables 命令行配置方法:

ptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项

常用的控制类型

常用管理选项

2.规则的匹配

通用匹配:可以直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件。

命令格式

iptables   -A   FORWARD   !     -p    icmp       -j     ACCEPT
iptables   -A   INPUT     -s    192.168.80.11    -j     DROP
iptables   -I   INPUT     -i    ens33 -s    192.168.80.0/24    -j     DROP

隐含匹配

要求以特定的协议匹配作为前提,包括端口,tcp标记,icmp类型等条件

端口匹配: --sport 源端口 , --dport 目的端口

命令格式

--sport 1000                 //匹配源端口是1000的数据包
--sport 1000:3000           //匹配源端口是1000-3000的数据包
--sport :3000               //匹配源端口是3000及以下的数据包
--sport 1000:               //匹配源端口是1000及以上的数据包

注意: --sport 和 --dport 必须配合 -p<协议类型> 使用

到此这篇关于Shell iptales防火墙设置的方法步骤的文章就介绍到这了,更多相关Shell iptales防火墙设置内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
阅读全文