防火墙iptables

防火墙

主配置文件：vim /etc/sysconfig/iptables

想要自定义防火墙，需要把这里的规则清空并且权限设置成DROP

防火墙名字：netfilter，工具：iptables

防火墙有三个表filter,nat,mangle

每个表下面还有链：

filter表主要用于过滤包，系统预设的表。内建三个链INPUT、OUTPUT、FORWARD，INPUT作用于进入本机的包，OUTPUT作用于本机送出的包，FORWARD作用于跟本机无关的包。

nat表主要用处是网络地址转换，PREROUTING练的作用是在包刚刚到达防火墙是改变它的目的地址，POSTOUTING链在包就要离开防火墙之前改变其源地址

mangle表主要用于给数据包打标记，然后根据标记去操作哪些包。

-A/D：增加删除一条规则

-I：插入一条规则，其实跟-A的效果一样

-P：指定协议，可以是tcp,udp,icmp

--dport：跟-p一起使用，指定目标端口 //对于防火墙来说

--sport：跟-P一起使用，指定源端口

-s：指定源IP（可以是一个IP段） //对于防火墙来说

-d：指定目标IP（可以是一个IP段）

-j：后面跟动作，其中ACCEPT表示允许包，DORP表示丢掉包，REJECT表示拒绝包

规则按顺序生效，当两个规则相同时，第一个规则先生效，后面的规则直接忽视掉

防火墙源IP表示，一台主机要想远程服务器，那么这台主机就是源IP，它要发送数据包到服务器才想远程服务器，要是服务器不想被远程，可以直接把数据包DROP掉

iptables要理解防火墙的结构，它在本地网络和外部网络之间，这可以清楚的理解源IP和目标IP，也要搞清楚每个链，如INPUT的目标IP是本机IP源IP是外部IP

1、命令

iptables -t filter -I INPUT -p tcp --dport80 -s 192.168.134.1 -j REJECT

iptables -F //清空防火墙规则

iptables -Z //把包以及流量清零

iptables-save > /etc/sysconfig/1.ipt //备份防火墙规则

iptables-restore /etc/sysconfig/1.ipt //恢复防火墙规则

iptables -P INPUT DROP //更改预设策略，对于每个链，安全性高

//实例：

针对filter表，预设策略INPUT链DROP，其他两个链ACCEPT，然后针对192.168.134.0/24开通22端口，对所有网段开放80端口，对所有网段开放21端口。脚本如下：

vim 1.ipt.sh

#!/bin/bash

ipt="/sbin/iptables"

$ipt -F

$ipt -P INPUT DROP

$ipt -P OUTPUT ACCEPT

$ipt -P FORWARD ACCEPT

$ipt -A INPUT -s 192.168.134.0/24 -p tcp--dport 22 -j ACCEPT

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT

$ipt -A INPUT -p tcp --dport 21 -j ACCEPT