四表五链:
ptables规则链(ipchains)
规则链:规则的集合体
规则的作用:对数据包进行过滤或处理。
链的作用:容纳各种防火墙的规则
链的分类依据:处理数据包的不同时机
默认的5种规则链(分类依据按照时机来划分的)
1、PREROUTING:在进行路由选择前处理数据包
2、INPUT:处理入站数据包
3、OUTPUT:处理出站数据包
4、FORWORD:处理转发数据包
5、POSTROUTING:在进行路由选择后处理数据包
规则表:容纳各种规则链
功能表:
filter:过滤,确认是否放行该数据包。
nat:network address translation 网络地址转换(修改数据包中的源、目标IP地址或端口。)
mangle:拆解报文,做出修改,封装报文,主要为数据包设置标记
raw:关闭nat表上启用的连接追踪机制,确定是否对该数据包进行状态跟踪
规则链之间的顺序
流入:PREROUTING---> INPUT
流出:OUTPUT ---> POSTROUTING
转发:PREROUTING ---> FORWARD ---> POSTROUTING
优先级次序:Raw(跟踪)>mangle(标记)>nat(修改)>fliter(过滤)
================================================================================================================================
增:
追加:
iptables -A INPUT/OUTPUT(链名) -p (协议) tcp/udp 可以指定网卡(用-i 和-o 参数),可以指定源地址/目标地址(-d -s ) --dport (指定端口号) -j ACCEPT
插入:
iptables -I(默认第一)可以指定序号
实例:iptables -I INPUT -p tcp --dport 80 -j ACCEPT
删:
表名默认是fitler可以省略,但是链名一定要加(如:INPUT )
iptables -t 表名(可以省略不计) -D链序号 (第几条策略,从上往下 )
改:
iptables -R INPUT/OUTPUT 7(一定要跟对应链的序号) -p tcp --dport 80 -j ACCEPT
查:
service iptables status
iptables -t 接想要查询的表名(有四个) -L
iptables -L -v -n
iptables -vnL (有参数顺序的要求)
备注:
drop是丢弃
reject是拒绝
================================================================================================================================
实例:
故障录波服务器:192.168.202.170
出方向:
iptables -I OUTPUT -p tcp -d 192.168.202.100 -m multiport --dports 2181,9092 -j ACCEPT
入方向:
iptables -I INPUT -p tcp -s 192.168.202.100 -m multiport --sports 2181,9092 -j ACCEPT
网安服务器:192.168.202.100
出方向:
iptables -I OUTPUT -p tcp -d 192.168.202.170 -m multiport --sports 2181,9092 -j ACCEPT
入方向:
iptables -I INPUT -p tcp -s 192.168.202.170 -m multiport --dports 2181,9092 -j ACCEPT