zoukankan      html  css  js  c++  java
  • Linux(十)___iptables防火墙

    一、防火墙的作用

    三、防火墙的分类

     

    三、iptables基本语法:

     表:

    常用filter,nat用于地址映射转换。

     

    配置文件:

    /etc/sysconfig/iptables

    过滤表信息

     

    查看iptables状态

    service iptables status

     

    命令(注意参数都要大写):

    -L:查看规则

    iptables -L  查看策略信息

    iptables -L -n  按地址信息查看

    iptables -L -n --line-number  显示行号

    -P:修改默认规则

    iptables -P INPUT DROP     为链设置默认的target(可用的是禁止DROP和允许ACCEPT)作为最后一条规则被执行

    iptables -L   可以看见INPUT的策略改变

    但是这种配置只是临时的,在配置文件中并不会改变

     

    关于chain

    INPUT  从外面到主机

    FORWARD 针对其他设备,作转向

    OUTPUT     从主机出去

     

    -A:追加规则

    -F:清空规则

    最好不要用

    -D:删除规则   -R:修改规则

     

    匹配条件:

    1.按网络接口编程

    我们执行第一条限制流出,不允许当前主机访问外围任何机器,当然外面机器也无法访问主机:

    iptables -A OUTPUT -o eno16777736 -j DROP

    这时putty远程登录被禁止,ping 操作都不通。

     

    我们再把它删掉:

     

    2.按地址匹配

     

     3.按协议类型匹配

     4.按端口匹配

     

    首先查找是否有远程连接工具telnet

    rpm -qa |grep telnet    一般linux好像不默认安装

    yum install telnet   

    yum install telnet-server     

    安装后就可以使用:

    在putty中: 

    telnet 192.168.8.129 22

    现在可以正常访问22端口

    iptables -A INPUT -s 192.168.8.1 -p tcp --dport 22 -j DROP

    这样指定的远程设备就不能访问22端口

     

    80端口的限制:

    首先安装web服务器httpd

    yum install httpd

    安装完成后我们可以看80端口的进程、状态信息

    ps -ef |grep httpd

    netstat -apn |grep 80

     

    在浏览器中访问服务器ip可以看见测试页面

    这时我们对指定ip禁止访问80端口

    iptables -A INPUT -s 172.********  -p tcp --dport 80 -j DROP

     

    处理方式:

    ACCEPT

    DROP

     

    规则的匹配方式

     如果想要永久将规则生效:

    1.在/etc/sysconfig/iptables中设置

    2.用service iptables save 将目前命令的设置保存到文件当中

     

     

  • 相关阅读:
    find实现特殊功能示例
    shell脚本之流程控制语句
    批量kill java进程方法-引出子shell和反引用
    一些shell默认的变量
    打印脚本执行进度条
    设置shell脚本静默方式输入密码方法
    shell监控之列出1小时内cpu占用最多的10个进程
    shell之使用paste命令按列拼接多个文件
    shell技巧之以逆序形式打印行
    shell之使用cut切割文本文件
  • 原文地址:https://www.cnblogs.com/xiangkejin/p/6120099.html
Copyright © 2011-2022 走看看