關于Linux防火墻iptables的介紹
在我們應用電腦時經常會看到計算機的防火墻,如果你應用的是Linux操作系統,你對Linux防火墻了解么?本文為你講解Linux防火墻iptables的知識,希望你能熟練掌握Linux防火墻iptables的知識。
要在網上傳輸的數據會被分成許多小的數據包,我們一旦接通了網絡,會有很多數據包進入,離開,或者經過我們的計算機。首先我們要弄明白,防火墻將怎么對待這些數據包。
這些數據包會經過一些相應的規則鏈,比如要進入你的計算機的數據包會首先進入INPUT鏈,從我們的計算機發出的數據包會經過OUTPUT鏈,如果一臺計算機做一個網絡的網關(處于內網和外網兩個網絡連接的兩臺計算機,這兩臺計算機之間相互通訊的數據包會經過這臺計算機,這臺計算機即相當于一個路由器),可能會有很多數據經過這臺計算機,那么這些數據包必經FORWARD鏈,FORWARD鏈即數據轉發鏈。明白了這些“鏈”的概念我們才能進一步學習使用iptables。
現在我們再來分析一下iptables規則是如何工作的,假如我們要訪問網站www.yahoo.com,我們要對www.yahoo.com發出請求,這些數據包要經過OUTPUT鏈,在請求發出前,Linux的內核會在OUTPUT鏈中檢查有沒有相應的規則適合這個數據包,如果沒有相應的規則,OUTPUT鏈還會有默認的規則,或者允許,或者不允許(事實上,不允許有兩種,一種是把請求拒絕,告訴發出請示的程序被拒絕;還有一種是丟棄,讓請求發出者傻等,直到超時)。如果得到允許,請求就發出了,而www.yahoo.com服務器返回的數據包會經過INPUT鏈,當然,INPUT鏈中也會有相應的規則等著它。
下面我們介紹幾個iptable的命令
iptables -L [-t filter]
這條命令是顯示當前有什么已經設置好的防火墻規則,可能的顯示結果如下:
Chain INPUT
(policy ACCEPT) target prot opt source destination Chain FORWARD
(policy ACCEPT) target prot opt source destination Chain OUTPUT (policy
ACCEPT) target prot opt source destination
從這里我們可以看出,iptables 有三個鏈分別是 INPUT OUTPUT 和FORWARD.其中
INPUT 是外部數據要進過我們主機的第一外關卡(當然你前面也可以再加硬件防火墻).
OUTPUT 是你的主機的數據送出時要做的過綠卡
FORWARD 是轉發 你在NAT時才會用到
要設置iptables 主要是對這三條鏈進行設置,當然也包括-nat的另外三個鏈,我們以后再說你要用iptables 你就得啟到它,啟動命令
service iptables restart
iptables的默認設置為 三條鏈都是ACCEPT 如下:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
以上信息你可以用 iptables -L看到
總體來說iptables可以有二種設置
1.默認允許,拒絕特別的
2.默認拒絕,允許特別的
二者都有自己有特點,從安全角度看 個人偏向于第二種,就是默認拒絕,允許特別的.但iptalbes 默認是第一種 默認允許,拒絕特別的,你可以用命令改變默認值來達到我們的要求 命令如下
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
你再用iptables -L查看一下就會覺得默認值以改了
先來談炎幾個參數XZFL
-F 清除規則
-X 清除鏈
-Z 將鏈的記數的流量清零
一般來說 再創建訪問規則時 都會將原有的規則清零 這是一個比較好的習慣,因為某些規則的存在會影響你建的規則.
基本語法:
iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD] [-io interface]
[-p tcp,udp.icmp,all] [-s ip/nerwork] [--sport ports]
[-d ip/netword] [--dport ports] [-j ACCEPT DROP]
以上是iptables的基本語法
A 是添加的意思
I 是播入的意思
io 指的是數據要進入或出去所要經過的端口 如eth1 eth0 pppoe等
p 你所要指定的協議
-s 指源地址 可是單個IP如192.168.2.6 也可以是一個網絡 192.168.2.0/24 還可以 是一個域名 如163.com 如果你填寫的域名系統會自動解析出他的IP并在iptables里 顯示
--sport 來源端口
-d 同-s相似 只不過他指的是目標地址 也可以是IP 域名 和網絡
--dport 目標端口
-j 執行參數 ACCEPT DROP
注意:如果以有參數存在 則說明全部接受
1 如我要來自己l0接口的數據全部接受,我們可以寫成這樣:
iptables -A INPUT -i lo -j ACCEPT
2 如果我們想接受192.168.2.6這個IP地址傳來的數據我們可以這樣寫
iptablse -A INPUT -i eth1 -p tcp -s 192.168.2.6 -j ACCEPT
3 如果我們要拒絕來自己192.168.2.0/24這個網的telnet連接
iptablse -A INPUT -i eth1 -p udp -s 192.168.2.0/24
--sport 23 -j DROP
以上就是對Linux防火墻iptables的知識的介紹。
【編輯推薦】
