主配置文件:vim /etc/sysconfig/iptables
想要自定义防火墙,需要把这里的规则清空并且权限设置成DROP
防火墙名字:netfilter,工具:iptables
防火墙有三个表filter,nat,mangle
每个表下面还有链:
filter表主要用于过滤包,系统预设的表。内建三个链INPUT、OUTPUT、FORWARD,INPUT作用于进入本机的包,OUTPUT作用于本机送出的包,FORWARD作用于跟本机无关的包。
nat表主要用处是网络地址转换,PREROUTING练的作用是在包刚刚到达防火墙是改变它的目的地址,POSTOUTING链在包就要离开防火墙之前改变其源地址
mangle表主要用于给数据包打标记,然后根据标记去操作哪些包。
-A/D:增加删除一条规则
-I:插入一条规则,其实跟-A的效果一样
-P:指定协议,可以是tcp,udp,icmp
--dport:跟-p一起使用,指定目标端口 //对于防火墙来说
--sport:跟-P一起使用,指定源端口
-s:指定源IP(可以是一个IP段) //对于防火墙来说
-d:指定目标IP(可以是一个IP段)
-j:后面跟动作,其中ACCEPT表示允许包,DORP表示丢掉包,REJECT表示拒绝包
规则按顺序生效,当两个规则相同时,第一个规则先生效,后面的规则直接忽视掉
防火墙源IP表示,一台主机要想远程服务器,那么这台主机就是源IP,它要发送数据包到服务器才想远程服务器,要是服务器不想被远程,可以直接把数据包DROP掉
iptables要理解防火墙的结构,它在本地网络和外部网络之间,这可以清楚的理解源IP和目标IP,也要搞清楚每个链,如INPUT的目标IP是本机IP源IP是外部IP
iptables -t filter -I INPUT -p tcp --dport80 -s 192.168.134.1 -j REJECT
iptables –F //清空防火墙规则
iptables –Z //把包以及流量清零
iptables-save > /etc/sysconfig/1.ipt //备份防火墙规则
iptables-restore /etc/sysconfig/1.ipt //恢复防火墙规则
iptables -P INPUT DROP //更改预设策略,对于每个链,安全性高
//实例:
针对filter表,预设策略INPUT链DROP,其他两个链ACCEPT,然后针对192.168.134.0/24开通22端口,对所有网段开放80端口,对所有网段开放21端口。脚本如下:
vim 1.ipt.sh
#!/bin/bash
ipt="/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -s 192.168.134.0/24 -p tcp--dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
本文出自 “11736718” 博客,请务必保留此出处http://11746718.blog.51cto.com/11736718/1876221
原文:http://11746718.blog.51cto.com/11736718/1876221