iptables詳解(1)
1、編輯配置網絡卡資訊方法:
1.1 編輯配置檔案:vim /etc/sysconfig/network-scripts/ifcfg-lo
1.2 nmtui命令:圖形化配置
1.3 nm-connection-editor命令:圖形化配置
1.4 桌面右上角圖形化工具配置
2、IPTABLES---操作篇
2.1 動作:
1)允許 ACCEPT
2) 拒絕 REJECT #會在拒絕流量後再回復一條“您的資訊已經收到,但是被扔掉了”資訊,從而讓流量傳送方清晰地看到資料被拒絕的響應資訊
3) 丟棄 DROP #直接將流量丟棄而且不響應
4)日誌 LOG
【注意】考試紅帽認證的時候,如果說要拒絕某個流量,那麼就一定要使用REJECT。
【詳細iptables參考這篇文件:http://www.zsythink.net/archives/1199】
2.2 命令:
-P 設定預設策略
-F 清空規則鏈
-L 檢視規則鏈
-A 在規則鏈的末尾加入新規則
-I num 在規則鏈的頭部加入新規則
-D num 刪除某一條規則
-s 匹配來源地址 IP/MASK,加歎號“!”表示除這個 IP 外
-d 匹配目標地址
-i 網絡卡名稱 匹配從這塊網絡卡流入的資料
-o 網絡卡名稱 匹配從這塊網絡卡流出的資料
-p 匹配協議,如 TCP、UDP、ICMP
-j 採用的動作,ACCEPT或者REJECT,DROP
--dport num 匹配目標埠號
--sport num 匹配來源埠號
【特別注意】使用 iptables 命令配置的防火牆規則預設會在系統下一次重啟時失效,如果 想讓配置的防火牆策略永久生效,還要執行儲存命令:service iptables save
例子:
iptables -I INPUT -p icmp -s 192.168.232.137 -j ACCEPT
#在處理流入的資料包時,允許源IP地址192.168.232.137的主機通過icmp協議連線伺服器。
iptables -I INPUT -p icmp -j REJECT
#拒絕所有以icmp協議流入的資料包。
iptables -I OUTPUT -p icmp -j REJECT
#拒絕本地所有以icmp協議出去的資料包。
iptables -D INPUT 1
#刪除規則鏈中INPUT位置的第一條,既使用iptables -L檢視規則鏈,找到INPUT位置,從上往下依次從1開始計數
【練習題】
(1)向INPUT規則鏈中新增拒絕所有人訪問本機12345埠的策略規則:
iptables -I INPUT -p tcp --dport 12345 -j REJECT
(2)向INPUT規則鏈中新增拒絕192.168.10.5主機訪問本機80埠(web服務)的策略規則:
iptables -I INPUT -p tcp -s 192.168.10.5 --dport 80 -j REJECT
(3)向INPUT規則鏈中新增拒絕所有主機訪問本機1000~1024埠的策略規則:
iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT