iptables防火墙..docxVIP

下载本文档

13
0
约1.64万字
约 12页
2016-12-31 发布于重庆
举报
版权申诉

iptables防火墙..docx

1、本文档共12页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
5、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
6、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
7、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
8、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

iptables防火墙CentOS6：service iptables {start|stop|restart|status}start：读取事先保存的规则，并应用到netfilter上stop：清空netfilter上的规则，以及还原默认策略等status：显示生效的规则restart：清空netfilter上的规则，再读取事先保存的规则，并应用到netfilter上；CentOS7：systemctl start|status|stop|restart|disable firewalld.service装完系统一定最好关掉，禁止开机启动，用iptables管理，这个太麻烦最后启动的脚本/etc/rc.d/rc.local[root@yph7 ~]# iptables -N mychain 添加链[root@yph7 ~]# iptables -L –n 查看[root@yph7 ~]# iptables -X mychain 删除链-F：默认清空整张表的所有链清空nat表的prerouting链[root@yph7 ~]# iptables -t nat -F PREROUTING禁止访问，用filter表，IP为网段的话用/16[root@yph7 ~]# iptables -t filter -A INPUT -s 0 -d 0 -j DROP[root@yph7 ~]# iptables -t filter -L -n[root@yph7 ~]# iptables -t filter -L -n --line-numbers -vChain INPUT (policy ACCEPT 293 packets, 22875 bytes)num pkts bytes target prot opt in out source destination1 0 0 DROP all -- * * 0 0policy ACCEPT：表示默认就算不指明也是允许的num：规则编号pkts：规则匹配到的报文个数bytes：所有报文大小target：处理动作prot：协议opt：选项in：从哪个网卡进来out：从哪个网卡出去source：源IPdestination：目的地[root@yph7 ~]# watch -n1 iptables -t filter -L -n -v然后拿0主机ping此主机，会发现pkts一直增加[root@y7-2 ~]# hping --faster 0修改链，修改序列号为1的链为：[root@yph7 ~]# iptables -t filter -R INPUT 1 -s 0 -d 0 -p icmp -j REJECT只拒收来自0的IP的icmp协议，但tcp协议正常功能：filter：过滤，防火墙；nat：netword address translation：用于修改源IP或目标IP，也可以改端口mangle：拆解报文，作出修改，并重新封装raw：关闭nat表上启用的连接追踪功能功能--链raw： PREROUTING OUTPUTmangle： PREROUTING INPUT FORWARD OUTPUT POSTROUTINGnat： PREROUTING [INPUT] OUTPUT POSTROUTINGfilter： INPUT FORWARD OUTPUT链---功能PREROUTING：raw mangle natINPUT: mangle filterFORWARD: mangle filterOUTPUT: raw mangle nat filterPOSTROUTING: mangle nat报文流向：流入本机：PREROUTING -- INPUT由本机流出：OUTPUT -- POSTROUTING转发：PREROUTING -- FORWARD -- POSTROUTING添加规则时的考量点1、要实现的功能：判断添加到哪张表上2、报文流经的路径：判断添加到哪条链上链上的规则次序，即为检查次序；1、同类规则（访问同一应用），匹配范围小的放上面2、不同类的规则（访问不同应用），匹配到的报文频率较大的放在上面3、将那些可由一条规则描述的多个规则合并起来4、设置默认策略-t table:raw ,mangle,nat，[filter]为默认COMMAND:链管理：-N：new，自定义一条新规则连-X：delete