感谢支持
我们一直在努力
当前位置:服务器评测 > 教程资讯 > Linux运维 > 正文

iptables访问策略

2012-09-02 分类:Linux运维 阅读(223) 评论(0)

iptables由3个表filter,nat,mangle组成,主要实验了filter表,这个表是用来过滤数据包的,有三个链INPUT,OUTPUT,FORWARD。


配置防火墙策略有固定的格式



Iptables  表名   链名    匹配条件  动作


-t 表名 (默认为filter)


-A 链名(在该链末尾append追加策略)


-I 链名 数字


-I (insert)插入链,如果不加数字,默认是将写的策略添加到表中所有策略的前面,但是我们要指定插入到相应的行,我们可以这样


Iptables –t filter –I INPUT 2 ……  这里就是插到第二个


匹配条件:



-i   网卡    数据包进入的网卡


-o  网卡   出去的


-s   ip   源ip


-d   ip    目的ip


-p   协议


–dport  端口号   目的端口号


–sport   端口号   源端口号


动作:



ACCEPT:对满足策略的数据包允许通过


DROP:丢弃数据包,且不返回任何信息


REJECT:丢弃数据包,但是会返回拒绝的信息


LOG:把通过的数据包写到日志中(相当于一个门卫对进去的人进行登记)


iptables   -t filter  -A INPUT –s 192.168.0.0/24  -p tcp  –dport 80 –j REJECT


上面这句的意思是:对filter表的INPUT链,追加一条策略,策略是,源地址在192.168.0.0/24网段内,使用tcp协议,目标端口为80的所有输入包都执行REJECT动作(拒绝)
实验室完成了filter表的INPUT链的基本操作和增加删除一条链,过程如下:


[root@mail ~]# iptables -L  #查看当前内存中iptables策略,默认是filter表 
Chain INPUT (policy ACCEPT) 
target     prot opt source               destination          
 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination          
 
Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination          
[root@mail ~]# iptables -t filter -vnL  #加vn参数,有更多选项 
Chain INPUT (policy ACCEPT 31471 packets, 4322K bytes) 
 pkts bytes target     prot opt in     out     source               destination          
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 
 pkts bytes target     prot opt in     out     source               destination          
 
Chain OUTPUT (policy ACCEPT 37490 packets, 3056K bytes) 
 pkts bytes target     prot opt in     out     source               destination        
  
#策略格式:iptables 表名 链名 匹配条件 动作 
#下面这句话的意思是,对于filter表的INPUT链,源地址为192.169.1.0/24网段内的使用tcp 
#协议80端口的输入包,都执行REJECT(拒绝)动作 
[root@mail ~]# iptables -t filter -A INPUT -s 192.169.1.0/24 -p tcp –dport 80 -j REJECT 
[root@mail ~]# iptables -L  #需要注意的是,该策略目前只在内存中,/etc/sysconfig/iptables配置文件中是没有的 
Chain INPUT (policy ACCEPT) 
target     prot opt source               destination          
 
 
 
REJECT     tcp  —  192.169.1.0/24       anywhere            tcp dpt:http reject-with icmp-port-unreachable  
 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination          
 
Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination          
[root@mail ~]# iptables -vnL    #看的更详细点 
Chain INPUT (policy ACCEPT 88 packets, 8188 bytes) 
 pkts bytes target     prot opt in     out     source               destination          
    4   240 REJECT     tcp  —  *      *       192.169.1.0/24       0.0.0.0/0           tcp dpt:80 reject-with icmp-port-unreachable  
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) 
 pkts bytes target     prot opt in     out     source               destination          
 
Chain OUTPUT (policy ACCEPT 131 packets, 11625 bytes) 
 pkts bytes target     prot opt in     out     source               destination          
[root@mail ~]# vim /etc/sysconfig/iptables  #iptables中没有 
 
 
# Firewall configuration written by system-config-firewall 
# Manual customization of this file is not recommended. 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
COMMIT 
 
 
#执行save后会将这条策略写入/etc/sysconfig/iptables,在保存的时候,是执行覆盖式的保存 
#内存中有的保存下来,内存中没有的,这个文件中有的将会被删除。 
[root@mail ~]# service iptables save     
iptables:将防火墙规则保存到 /etc/sysconfig/iptables:     [确定] 
[root@mail ~]# vim /etc/sysconfig/iptables 
 
 
# Generated by iptables-save v1.4.7 on Wed Aug 15 17:28:53 2012 
*filter 
:INPUT ACCEPT [4:352] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [4:298] 
-A INPUT -s 192.169.1.0/24 -p tcp -m tcp –dport 80 -j REJECT –reject-with icmp-port-unreachable  
COMMIT 
# Completed on Wed Aug 15 17:28:53 2012 
 
 
#表的每条链后面都有一个默认动作,Chain INPUT (policy ACCEPT),默认动作意思是 
#没有匹配所以策略的匹配条件时(按序匹配),就执行的动作,可以修改链的默认动作 
[root@mail ~]# iptables -t filter -P INPUT DROP     #修改filter表的INPUT链的默认动作 
[root@mail ~]# iptables -L 
Chain INPUT (policy DROP) 
target     prot opt source               destination          
REJECT     tcp  —  192.169.1.0/24       anywhere            tcp dpt:http reject-with icmp-port-unreachable  
 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination          
 
Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination   
 
[root@mail ~]# iptables -t filter -P INPUT ACCEPT   #暂时改回来 
 
#可以删除一条策略,策略是有序的,从1开始,要删除一条策略,需要知道它的序号 
[root@mail ~]# iptables -L –line-numbers   #查看策略的序号 
Chain INPUT (policy ACCEPT) 
num  target     prot opt source               destination          
1    REJECT     tcp  —  192.169.1.0/24       anywhere            tcp dpt:http reject-with icmp-port-unreachable  
 
Chain FORWARD (policy ACCEPT) 
num  target     prot opt source               destination          
 
Chain OUTPUT (policy ACCEPT) 
num  target     prot opt source               destination          
[root@mail ~]# iptables -D INPUT 1  #删除INPUT链的序号为1的策略 
[root@mail ~]# vim /etc/sysconfig/iptables  #和前面一样,这只是删除内存中的,/etc/sysconfig/iptables中仍然存在 
 
# Generated by iptables-save v1.4.7 on Wed Aug 15 17:28:53 2012 
*filter 
:INPUT ACCEPT [4:352] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [4:298] 
-A INPUT -s 192.169.1.0/24 -p tcp -m tcp –dport 80 -j REJECT –reject-with icmp-port-unreachable 
COMMIT 
# Completed on Wed Aug 15 17:28:53 2012 
 
 
[root@mail ~]# service iptables save    #执行保存,配置文件中也被删除了 
iptables:将防火墙规则保存到 /etc/sysconfig/iptables:     [确定] 
[root@mail ~]# vim /etc/sysconfig/iptables 
 
# Generated by iptables-save v1.4.7 on Wed Aug 15 17:45:03 2012 
*filter 
:INPUT ACCEPT [0:0] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [0:0] 
COMMIT 
# Completed on Wed Aug 15 17:45:03 2012 
 
 
#除了INPUT,FORWARD,OUTPUT链,可以定义自己的链 
[root@mail ~]# iptables -N chen     #定义一个chen链,相当于多了一扇门 
 
#拒绝通过chen链,地址为192.169.1.99,协议为tcp端口为80的数据包 
[root@mail ~]# iptables -t filter -A chen -s 192.169.1.99 -p tcp –dport 80 -j REJECT    
[root@mail ~]# iptables -t filter -A INPUT -j chen  #把经过INPUT链的数据引入到chen这个链上 
[root@mail ~]# iptables -L –line-numbers    
Chain INPUT (policy ACCEPT) 
num  target     prot opt source               destination          
1    chen       all  —  anywhere             anywhere    #INPUT链的target变为chen了         
 
Chain FORWARD (policy ACCEPT) 
num  target     prot opt source               destination          
 
Chain OUTPUT (policy ACCEPT) 
num  target     prot opt source               destination          
 
Chain chen (1 references)   #可以看到多了一个链,下面的策略也存在 
num  target     prot opt source               destination          
 
1    REJECT     tcp  —  192.169.1.99         anywhere            tcp dpt:http reject-with icmp-port-unreachable  
[root@mail ~]#  
[root@mail ~]# service iptables save 
iptables:将防火墙规则保存到 /etc/sysconfig/iptables:     [确定] 
[root@mail ~]# vim /etc/sysconfig/iptables 
 
 
# Generated by iptables-save v1.4.7 on Wed Aug 15 18:11:28 2012 
*filter 
:INPUT ACCEPT [1:125] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [1:71] 
:chen – [0:0] 
-A INPUT -j chen  
-A chen -s 192.169.1.99/32 -p tcp -m tcp –dport 80 -j REJECT –reject-with icmp-port-unreachable  
COMMIT 
# Completed on Wed Aug 15 18:11:28 2012 
 
 
[root@mail ~]# iptables -X chen     #删除chen这条链 
iptables: Too many links. 
[root@mail ~]# iptables -F      #删除前需要清空策略,否则删除不掉 
[root@mail ~]# iptables -X chen 
[root@mail ~]# iptables -L 
Chain INPUT (policy ACCEPT) 
target     prot opt source               destination          
 
Chain FORWARD (policy ACCEPT) 
target     prot opt source               destination          
 
Chain OUTPUT (policy ACCEPT) 
target     prot opt source               destination          
[root@mail ~]#  

赞(0) 打赏
转载请注明出处:服务器评测 » iptables访问策略
分享到: 更多 (0)
标签:

相关推荐

分类

听说打赏我的人,都进福布斯排行榜啦!

支付宝扫一扫打赏

微信扫一扫打赏