鱼C论坛

 找回密码
 立即注册
查看: 2614|回复: 0

iptables防火墙配置 1

[复制链接]
发表于 2011-5-9 19:28:04 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x
   作为隔离内外网络,过滤非法数据的有力屏障,防火墙通常按实现环境的不同分为硬件和软件防火墙这分,防火墙是专一的硬件设备,比较全面的功能,它的工作效率高,但是价格太贵,通常只用于非常重要的主干网络节点上,而软件防火墙的功能是由操作系统或软件程序实现,可以在linux和windows等平台构建软件防火墙。软件防火墙的价格相对便谊,配置也相对灵活,internet中大量的企业网络使用linux系统构建软件防火墙。
      按照防火墙策略的不同,iptables 管理着4个不同的规则表
filter表,包含三个规则链 INPUT FORWARD  OUTPUT
filter表主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包。
filter表对应的内核模块:iptable_filter.

nat表,包含三个规则链 PREROUTING  POSTROUTING  OUTPUT
nat表主要用于修改数据包的IP地址、端口号等信息。
nat表对应的内核模块:iptable_nat

mangle表,包含五个规则链  PREROUTING  PSTROUTING  INPUT  PUTPUT   FORWARD
mangle表主要用于修改数据包的TOS  、TTL 值以及为数据包设置MARK标记。以实现QOS,调整以及策略路由,由于需要相应的路由设备支持。
mangle表对应的内核模块:iptable_mangle


raw表,包含两条规则链 OUTPUT  PREROUTING
raw表主要用于决定数据包是否被状态跟踪机制处理。在配数据包时,raw 表的规则要优先它的表。
raw表对应内核模块:iptable_raw.


当数据包抵达防火墙时,将依次应用于raw   mangle    nat    filter 表中对应链内的规则

iptables的语法格式

iptables [-t  表名]  命令选项 [链名]  [条件匹配]    [-j  目标动作或跳转]

iptables 命令的管理选项

-A  在指定链的末尾添加一条新规则
-D  删除指定链中的某一条规则
-I   在指定链中插入一条新规则
-R 修改替换指定链中的某一条规则
-L列出指定链中所有的规则进行查看
-F 清空指定链中的所有规则
-N新建一条用户自己定义的规则链
-X删除指定表中用户自定义的规则链
-P设置指定链的默认策略
-n使用数字形式显示输出的结果,如显示主机的IP地址而不是主机名
-V查看iptales命令工具的版本
-v查看规则列表时显示详细信息
-h查看命令帮助
                                           //其中  添加  插入  删除   清空规则和查看规则是最最常用的选项//


例:
a在filter表的INPUT链的末尾添加一条防火墙规则

[root@byu~]#iptables -t filter -A INPUT -p tcp -j ACCEPT

b在filter表的INPUT链中插入一条防火墙规则

[root@byu~]#iptables -I INPUT -p udp  -j  ACCEPT

c在filter表的INPUT插入一条防火墙规则   作为第二条规则

[root@byu~]#iptables  -I INPUT 2 -p icmp -j  ACCEPT

d查看filter表INPUT链中的所有规则   同时显示各条规则的顺序号

[root@byu~]#iptables -L INPUT --line-numbers

e查看filter表各链中所有规则的详细信息,并以数字形式显示地址和端口信息。

[root@byu~]#iptables -vnL            // 把"-L"放在最后//


f删除filter表INPUT链中的第3条规则

[root@byu~]#iptables -D INPUT 3

g清空filter表  nat表  mangle表中所有规则

[root@byu~]#iptables -F
[root@byu~]#iptables -t  nat  -F
[root@byu~]#iptables -t  mangle -F


h把filter表中FORWARD规则链的默认策略设为DROP

[root@byu~]#iptables -t filter -p FORWARD   DROP

j把filter表中OUTPUT规则链的默认策略设为ACCEPT

[root@byu~]#iptables -p OUTPUT ACCEPT

k查看iptables命令中关于icmp协议的帮助

[root@byu~]#iptables -p icmp -h

l在raw表中增加一条自定义规则链,其名为TCP_PACKET

[root@byu~]#iptables -t raw -N  TCP_PACKET
[root@byu~]#iptables -t raw -L         //查看raw表中所有规则链的相关信息//

s清空raw表中用户的自定义所有规则链

[root@byu~]#iptables -t  raw  -x
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2024-3-28 23:11

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表