网络防火墙iptables

防火墙简单介绍

概念:

是一种能够限制所转发的流量类型的路由器

类型:

1. 代理防火墙

本质上是运行一个或多个应用层网关的主机

1.1 HTTP代理防火墙

只能用于HTTP和HTTPS协议(Web)。
可以提供web缓存功能,加速防火墙内用户加载网页的速度
提供黑名单功能,阻止用户访问某些web网站

1.2 SOCKS防火墙

可以用于web之外的其他服务。
正在使用的SOCKS防火墙有4和5两个版本,第4版本支持基础的代理传输
第5版支持认证UDP传输IPv6寻址

2. 包过滤防火墙

能够根据一定条件过滤流过的数据包

防火墙管理工具

如iptables、firewalld,这里介绍iptables。
防火墙管理工具用来定义防火墙策略,并不是真正起到防火墙作用的工具,iptables下发的配置由内核层的netfilter网络过滤器来处理。

的规则

用于处理或过滤流量的策略条目称为规则。
PREROUNTING在进行路由选择前处理数据包
INPUT处理流入的数据包
OUTPUT处理流出的数据包
FORWARD处理转发的数据包
POSTROUTING在进行路由选择后处理数据包

策略

ACCEPT允许流量通过
REJECT拒绝流量通过
LOG记录日志信息
DROP丢弃

REJECT和DROP的区别:

REJECT会告知发送方信息已收到,但是被扔掉;DROP则是直接丢弃,不回复。
服务器的防火墙策略设置为REJECT后,客户端ping会出现目标端口不可达
服务器的防火墙策略设置为DROP后,客户端的ping会出现超时

iptables常用参数及命令

参数 说明
-P 设置默认策略
-F 清空规则链
-L 查看规则链
-A 在规则链的末尾加入新规则
-I num 在规则链的头部加入新规则
-D num 删除某一条规则
-s 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如TCP、UDP、ICMP
--dport num 匹配目标端口号
--sport num 匹配来源端口号

查看已有的防火墙规则链

iptables -L

清除、添加规则:

清除已有的规则iptables -F
清除某条规则,清除流入的第一条规则iptables -D INPUT 1
在规则链的尾部添加规则iptables -A INPUT -s 192.168.0.0/24 -p tcp -j ACCEPT
在规则链的头部加入规则iptables -I INPUT -p tcp -j REJECT

拒绝某个ip访问本机某个端口

iptables -I INPUT -p tcp -s 192.168.0.33 --dport 33 -j REJECT匹配协议字段-p不能少
端口可以指定范围,如下所示,禁止访问33到100端口
iptables -I INPUT -p tcp -s 192.168.0.33 --dport 33:100 -j REJECT

永久保存对规则的修改

iptables-save
或者service iptables save

posted @ 2023-04-05 15:58  菠萝超级酸  阅读(39)  评论(0编辑  收藏  举报