马哥教育Linux面授37期第13周博客作业-iptables防火墙简单实验命令

实验前的准备工作：卸载虚拟网卡和禁用firewalld

卸载虚拟网卡：卸载前如图

 Yum命令：yum remove libvirt-daemon -y

 

 重启后效果：

 

 禁用firewalld:

 

 安装apache并启动：

 

 Iptables默认全是接受所以可以访问：

 

 可ping通可访问：

 

 拒绝centos6这台机器：

iptables –t filter –A INPUT –s 192.168.217.130 –j DROP

 

 可以看到centos6的访问都无反应：

 

 通过抓包可以看到有来无回：

 

 将DROP换成REJECT:

先清空策略：

 

 REJECT命令：

 

 此时centos6上的提示与之前不一样了：显示目标端口不可达

 

 在本机抓包看效果：

Curl包：

 

 Ping包：本机会回应一个拒绝报文给centos6：

 

 Iptables –vnL - -line-numbers:显示规则条数：

 

 删除指定条目命令：

 

 替换命令：-R

先查看规则：

 

 利用命令替换：第二条已经被替换

 

 插入命令：-I

可见插入第2条前面，而且因为是接受所以后面的规则已失效

  

 只禁止centos6的PING,可以访问网站：

 

 可以看出centos6可以

 

 允许ping，拒绝访问网站命令：

删除拒绝ping的，并执行下列命令：

 

 看效果：

 

 不允许centos6 ping本机，本机可以ping centos6：

Type 8/0 是ICMP的请求报文

 

 定义多端口命令：

Iptables –A INPUT –p tcp –m multiport –dports 139,445 –j ACCEPT

根据MAC地址访问：允许源mac访问

Iptables –I INPUT 5 –m mac –mac-source 00:33:54:32:67:43 –j ACCEPT

根据字符串定义：string命令 不允许访问带有“google”字样的内容

 

 Google字样已经不能访问：

 

定义时间模块：默认UTC时间，需要用当地时间减去8小时