标签:
进入图形化界面的防火墙命令 system-config-firewall
查看防火墙配置 vi /etc/sysconfig/iptables
1、iptables的组成结构
iptables将防火墙的功能分成多个表(tables)
filter:用于一般的数据包过滤
NAT:Network Address Translation/网络地址转换
tables又包含多个链(chains),例如包过滤表中就包含了下面三个链:
1)INPUT //在此链中可添加对进来的数据包过滤的规则
2)OUTPUT//在此链中可添加对出去的数据包过滤规则
3)FORWARD//在此链中可添加要转发的数据包过滤规则
4)每一个链中又包括了很多规则(rule)。
2、保存与启动iptables
当用户添加了新的规则到链中时,应当保存防火墙的规则以便下次启动计算机时也能生效。
service iptables save 保存后的防火墙配置文件放在/etc/sysconfig/iptables
启动防火墙 service iptables start
关闭防火墙 service iptables stop
设置防火墙开机自启动 chkconfig iptables on
3、iptables配置语法(表、命令)
iptables [-t table] command [match] [target]
常见的两个表即:“filter”与“nat”
常用command选项
-A chain:在chain中增添一条规则
-D chain:在chain中删除一条规则
-I chain:在指定的位置插入1条规则
-R chain:替换规则列表中的某条规则
-L [chain]:列出chain中的规则
-F [chain]:清空chain中的规则
-X chain:清除预设表filter中使用者自定链中的规则
-P chain:为chain指定新的默认策略 ACCEPT:未经禁止全部许可 DROP:未经许可全部禁止
4、iptables配置语法(match匹配)
iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源地址、目的地址、协议等)。
匹配选项包括:
-s <ip地址|网段|域名>:来源地址
-d <ip地址|网段|域名>:目标地址
-p <协议>:指定协议,可以是tcp/udp/icmp
--dport <端口> :目标端口,前面需先指定-p
--sport <端口>:来源端口,前面需先指定-p
-i :是指进入的方向的网卡设备
-o:代表出去的方向的网卡设备
5、iptables配置语法(target目标)
target目标是由规则指定的操作,对与那些规则相匹配的数据包执行这些操作。
目标选项由选项“-j”指定,包括以下目标:
REJECT:拒绝
DROP:忽略
ACCEPT:许可
例1:拒绝192.168.0.1主机Ping本机。
iptables -t filter -A INPUT –s 192.168.0.1 –p icmp -j REJECT
例2:只充许192.168.0.0/24网段的主机可以通过telnet远程登录本机。
iptables -A INPUT –s ! 192.168.0.0 -p tcp --dport 23 -j REJECT
标签:
原文地址:http://www.cnblogs.com/cancanzhixing/p/4743181.html
