本文摘自PHP中文网,作者齐天大圣,侵删。
防火墙是用户限制某些ip或用户对其主机的访问。防火墙从种类上分为两大类,硬件防火墙以及软件防火墙。软件防火墙主要是对数据包进行过滤,硬件防火墙主要用来对恶意攻击的防护以及数据包的过滤,比如DDOS攻击。这里,我们来讲解linux下的软件防火墙――iptables。iptables与firewalld
在centOS6下,默认的软件防火墙是iptables,而到了centos7,则是firewalld。它们之间有什么联系了,其实firewalld就是在原iptables上新封装成的一个软件。
学习iptables时,建议先关闭firewalld,并开启iptables
1 2 3 |
|
iptables的表和链
iptables的不同的表代表着不同的功能,默认有4个表
filter(过滤器) nat(地址转换) mangle raw
不同的表下面,有着自己的规则链:
filter(INPUT/OUTPUT/FORWARD)
nat(prerouting/output/postouting)
这些链代表的意义如下:
INPUT链――进来的数据包应用此规则链中的规则
OUTPUT链――外出的数据包应用此规则链中的规则
FORWARD链――转发数据包时应用此规则链中的规则
PREROUTING链――对数据包作路由选择前应用此链中的规则
POSTROUTING链――对数据包作路由选择后应用此链中的规则
iptables的规则查看与清除
规则查看
用法示例:iptables [-t tables] -L [-nv]
选项与参数:
-t后接表类型,省略该选项,则默认为filter表。
-L列出当前表的规则
-n 不进行域名与ip反查
-v 显示更多信息
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
|
链下的规则选项的含义如下:
target:代表进行的操作,ACCEPT放行、drop丢弃、reject拒绝
prot:代表使用的数据包协议,有tcp、udp以及icmp
opt:说明信息
source:对某来源主机进行限制
destination:对某目标主机进行限制
上面显示的INPUT链的5条规则含义如下:
只要数据包的状态为RELATED,ESTABLISHED,都接受
只要是icmp包都接受
只要是本地回环网卡,所有数据都接受
只要是发送给22端口的主动式连接的TCP数据包都接受。
拒绝所有的数据包
清楚iptables的规则
相关阅读 >>
更多相关阅读请进入《Linux》频道 >>