马哥教育Linux面授37期第13周博客作业-iptables防火墙简单实验命令
实验前的准备工作:卸载虚拟网卡和禁用firewalld
卸载虚拟网卡:卸载前如图
Yum命令:yum remove libvirt-daemon -y
重启后效果:
禁用firewalld:
安装apache并启动:
Iptables默认全是接受所以可以访问:
可ping通可访问:
拒绝centos6这台机器:
iptables –t filter –A INPUT –s 192.168.217.130 –j DROP
可以看到centos6的访问都无反应:
通过抓包可以看到有来无回:
将DROP换成REJECT:
先清空策略:
REJECT命令:
此时centos6上的提示与之前不一样了:显示目标端口不可达
在本机抓包看效果:
Curl包:
Ping包:本机会回应一个拒绝报文给centos6:
Iptables –vnL - -line-numbers:显示规则条数:
删除指定条目命令:
替换命令:-R
先查看规则:
利用命令替换:第二条已经被替换
插入命令:-I
可见插入第2条前面,而且因为是接受所以后面的规则已失效
只禁止centos6的PING,可以访问网站:
可以看出centos6可以
允许ping,拒绝访问网站命令:
删除拒绝ping的,并执行下列命令:
看效果:
不允许centos6 ping本机,本机可以ping centos6:
Type 8/0 是ICMP的请求报文
定义多端口命令:
Iptables –A INPUT –p tcp –m multiport –dports 139,445 –j ACCEPT
根据MAC地址访问:允许源mac访问
Iptables –I INPUT 5 –m mac –mac-source 00:33:54:32:67:43 –j ACCEPT
根据字符串定义:string命令 不允许访问带有“google”字样的内容
Google字样已经不能访问:
定义时间模块:默认UTC时间,需要用当地时间减去8小时