iptables基于包过滤的防火墙工具 ,Linux 内核集成的 IP 信息包过滤系统,对流入和流出服务器的数据包进行精细管理
规则是存储在专用信息包过滤表中 防火墙按照规则做出判断
而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则
这些过滤表是集成在linux内核中 ,在信息包过滤表中,规则被分组放在链(chain)中。
iptables规则链三种 输入 转发 输出
讲下filter表三种内建链 INPUT OUTPUT FORWARD
INPUT链 – 处理来自外部的数据;
OUTPUT链 – 处理向外发送的数据;
ORWARD链 – 将数据转发到本机的其他网卡设备上
iptables
-A 顺序添加
-I 插入一条新规则 后面加数字表示插入哪一行
-D 删除一条新规则 后面加数字表示删除哪一行
-L 查看
@1. iptables -L -n 以数字的方式显示
@2. iptables -L -v 显示详细信息
@3. iptables -L -x 显示精确信息
-F 清空链中所有规则
匹配条件
-p tcp udp icmp
--sport 指定源端口
--dport 指定目标端口
-s 源地址
-d 目的地址
-m state 模糊匹配一个状态
动作
-j
DROP 丢弃 无返回信息
ACCEPT 允许通过
REJECT 丢弃 返回信息
例子
-t filter 默认是filter 所以没有加
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
允许icmp包通过,也就是允许ping,
[root@www-jfedu-net ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)
将本机的8080端口转发至其他主机,主机IP:192.168.0.141,目标主机IP和端口:192.168.0.142:80,规则如下;
iptables -t nat -A PREROUTING -d 192.168.0.141/32 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 192.168.0.142:80
iptables -t nat -A POSTROUTING -d 192.168.0.142/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.0.141
echo 1 > /proc/sys/net/ipv4/ip_forward
同时开启iptables forward转发功能。
firewalld
被称为动态防火墙即修改其中一条规则不会重新加载全部规则,任何规则的变更都不需要对整个防火墙规则列表进行重新加载。
对应的iptables称为静态防火墙即首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,这个动作很可能对运行中的系统产生额外的不良影响,特别是在网络非常繁忙的系统中。firewalld的出现很好的解决这个问题。
firewalld与iptables的关系
firewalld替代了 iptables service 部分,其底层还是使用 iptables 作为防火墙规则管理入口。规则还是使用的iptables规则。
firewalld有需要的人,我再补充总结吧。