iptables防火墙..docx

iptables防火墙CentOS6：service iptables {start|stop|restart|status}start：读取事先保存的规则，并应用到netfilter上stop：清空netfilter上的规则，以及还原默认策略等status：显示生效的规则restart：清空netfilter上的规则，再读取事先保存的规则，并应用到netfilter上；CentOS7：systemctl start|status|stop|restart|disable firewalld.service装完系统一定最好关掉，禁止开机启动，用iptables管理，这个太麻烦最后启动的脚本/etc/rc.d/rc.local[root@yph7 ~]# iptables -N mychain 添加链[root@yph7 ~]# iptables -L –n 查看[root@yph7 ~]# iptables -X mychain 删除链-F：默认清空整张表的所有链清空nat表的prerouting链[root@yph7 ~]# iptables -t nat -F PREROUTING禁止访问，用filter表，IP为网段的话用/16[root@yph7 ~]# iptables -t filter -A INPUT -s 0 -d 0 -j DROP[root@yph7 ~]# iptables -t filter -L -n[root@yph7 ~]# iptables -t filter -L -n --line-numbers -vChain INPUT (policy ACCEPT 293 packets, 22875 bytes)num pkts bytes target prot opt in out source destination1 0 0 DROP all -- * * 0 0policy ACCEPT：表示默认就算不指明也是允许的num：规则编号pkts：规则匹配到的报文个数bytes：所有报文大小target：处理动作prot：协议opt：选项in：从哪个网卡进来out：从哪个网卡出去source：源IPdestination：目的地[root@yph7 ~]# watch -n1 iptables -t filter -L -n -v然后拿0主机ping此主机，会发现pkts一直增加[root@y7-2 ~]# hping --faster 0修改链，修改序列号为1的链为：[root@yph7 ~]# iptables -t filter -R INPUT 1 -s 0 -d 0 -p icmp -j REJECT只拒收来自0的IP的icmp协议，但tcp协议正常功能：filter：过滤，防火墙；nat：netword address translation：用于修改源IP或目标IP，也可以改端口mangle：拆解报文，作出修改，并重新封装raw：关闭nat表上启用的连接追踪功能功能--链raw： PREROUTING OUTPUTmangle： PREROUTING INPUT FORWARD OUTPUT POSTROUTINGnat： PREROUTING [INPUT] OUTPUT POSTROUTINGfilter： INPUT FORWARD OUTPUT链---功能PREROUTING：raw mangle natINPUT: mangle filterFORWARD: mangle filterOUTPUT: raw mangle nat filterPOSTROUTING: mangle nat报文流向：流入本机：PREROUTING -- INPUT由本机流出：OUTPUT -- POSTROUTING转发：PREROUTING -- FORWARD -- POSTROUTING添加规则时的考量点1、要实现的功能：判断添加到哪张表上2、报文流经的路径：判断添加到哪条链上链上的规则次序，即为检查次序；1、同类规则（访问同一应用），匹配范围小的放上面2、不同类的规则（访问不同应用），匹配到的报文频率较大的放在上面3、将那些可由一条规则描述的多个规则合并起来4、设置默认策略-t table:raw ,mangle,nat，[filter]为默认COMMAND:链管理：-N：new，自定义一条新规则连-X：delete