Linux的防火墻最新解讀--IP Tables

時間：2024-07-17 14:36:12 Linux認(rèn)證我要投稿

相關(guān)推薦

　　IPTable已經(jīng)集成在Linux2.4及以上版本的內(nèi)核中，同Windows下的眾多“傻瓜”防火墻不同的是，IPTable需要用戶自己定制相關(guān)規(guī)則。下面yjbys小編就給大家簡單介紹一下關(guān)于防火墻的基本操作，希望對大家學(xué)習(xí)Linux系統(tǒng)知識有幫助！

　　防火墻的初始化

　　廢話不多說，先上一張表格：

　　選項含義

　　-F 清除鏈中所有的規(guī)則

　　-P 為鏈添加一條默認(rèn)策略（目標(biāo)）

　　-A 為鏈增加一條規(guī)則說明

　　-D 從鏈中刪除一條規(guī)則

　　-L 查看當(dāng)前表的鏈和規(guī)則

　　清空默認(rèn)表（filter表）中的數(shù)據(jù)，只要簡單的使用下面這條命令即可：

　　[root@localhost~]#iptables-F

　　清除默認(rèn)表中INPUT鏈的規(guī)則，可使用下面的命令：

　　[root@localhost~]#iptables-FINPUT

　　命令執(zhí)行完成后，使用iptables-L查看當(dāng)前防火墻設(shè)置。給鏈設(shè)置默認(rèn)策略基本語法如下：

　　iptables-Parchytarget

　　其中archy是鏈的名稱，target（目標(biāo)）用于定義策略。filter表中共有9個不同的策略可供使用，但最常用的只有4個，分別包括：ACCEPT表示允許包通過；DROP丟棄一個包；REJECT會在丟棄的同時返回一條ICMP錯誤消息；LOG則扮演了記事員的角色記錄包的信息。通常對服務(wù)器而言，將所有鏈設(shè)置為DROP是一個不錯的選擇，下面這條命令將所有的鏈的默認(rèn)策略設(shè)置為DROP：

　　[root@localhost~]#iptables-FINPUTDROP

　　執(zhí)行完這條命令后，所有試圖同本機建立連接的努力都會失敗，因為所有從“外部”到達(dá)防火墻的包都會被丟棄，甚至連使用回環(huán)接口ping自己都不行。

　　添加規(guī)則

　　使用iptables-A命令添加鏈規(guī)則，命令基本語法如下：

　　iptables-Aarchy-iinterface-jtarget

　　其中，archy代表鏈的名稱，interface指定該規(guī)則用于哪個網(wǎng)絡(luò)接口，target用于定義策略。舉一個很簡單的例子，下面這條命令就是添加一條INPUT鏈的規(guī)則，允許所有通過lo接口的鏈接請求：

　　[root@localhost~]#iptables-AINPUT-ilo-pALL-jACCEPT

　　其余有關(guān)防火墻規(guī)則的設(shè)置相關(guān)選項，如下表：

　　選項含義

　　-pproto 匹配網(wǎng)絡(luò)協(xié)議：tcp、udp、icmp

　　--icmp-typetype 匹配ICMP類型，和-picmp配合使用。注意有兩根短劃線

　　-ssource-ip 匹配來源主機（或網(wǎng)絡(luò)）的IP地址