Iptables-包过滤 网络层 防火墙.docxVIP

Iptables-包过滤 网络层 防火墙 Iptables-包过滤lpar;网络层rpar;防火墙 二：编写防火墙规则： iptables 的基本语法、控制类型： 语法构成： iptables [ -t 表名] 选项 [链名] [条件] [ -j 控制类型] 不指定表名时，默认指filter表 不指定链名时，默认指表内的所有链 除非设置链的默认策略，否则必须指定匹配条件 选项、链名、控制类型使用大写字母，其余均为小写 数据包的常见控制类型： ACCEPT：允许通过 DROP：直接丢弃，不给出任何回应 REJECT：拒绝通过，必要时会给出提示 LOG：在/var/log/messages文件中记录日志信息，然后传给下一条规则继续匹配（匹配即停止对LOG操作不起作用，因为LOG只是一种辅助动作，并没有真正的处理数据包） eg：在filter表（-t filter）的INPUT链中插入（-I）一条拒绝（-jREJECT）发给本机的使用ICMP协议的数据包（-picmp）： 在测试PC上ping 设置防火墙主机，查看结果是无法连接到端口： 添加、查看、删除规则等基础操作： 1、添加新的规则： -A：在链的末尾追加一条规则；“-p协议名” eg：在filter表INPUT链的末尾添加一条防火墙规则： -I：在链的开头（或指定序号）插入一条规则 eg：添加两条规则分别位于filter表的第1条、第2条（其中省略了“-tfilter”选项，默认使用filter表） 2、查看规则列表： -L：列出所有的规则条目 eg：查看filter表INPUT链中的所有规则，并显示规则序号： -n：以数字形式显示地址、端口等信息 eg：以数字地址形式查看filter表INPUT链中的所有规则： -v：以更详细的方式显示规则信息 --line-numbers：查看规则时，显示规则的序号 删除、清空规则： -D：删除链内指定序号（或内容）的一条规则 eg：删除filter表INPUT链中的第2条规则： -F：清空所有的规则 eg：清空filter表INPUT链中的所有规则： 设置默认策略： 当找不到任何一条能够匹配的数据包的规则时，则执行默认策略（默认策略的控制类型为ACCEPT（允许）、DROP（丢弃）两种。 -P：为指定的链设置默认规则 -X：删除自定义的规则链 eg：将filter表中FORWARD链中的默认策略设为丢弃，OUTPUT链的默认策略设为允许 [root@iptables ~]# iptables -t filter -P FORWARD DROP [root@iptables ~]# iptables -P OUTPUT ACCEPT 注意：当使用管理选项“-F”清空链，默认策略不受影响。因此若要修改默认策略，必须通过管理选项“-P”重新进行设置。默认策略并不参与链内规则的顺序编排，因此在其他规则之前或之后设置并无区别。 3、规则的匹配条件： a：通用匹配： 可直接使用，不依赖于其他条件或扩展 包括网络协议、IP地址、网络接口等条件 常见的通用匹配条件： 协议匹配：-p 协议名 （eg：tcp、udp、icmp、all(针对所有IP数据包)），可用的协议类型存放于Linux系统的/etc/procotols文件中； eg：丢弃通过icmp协议访问防火墙本机的数据包、允许转发经过防火墙的除icmp协议以外的数据包： [root@iptables ~]# iptables -I INPUT -p icmp -j DROP [root@iptables ~]# iptables -A FORWARD -p ! icmp -j ACCEPT 地址匹配：-s 源地址、 -d 目的地址 可以是IP地址、网段地址，但不建议使用主机名、域名地址，因为解析过程会影响效率 eg：拒绝转发源地址为00的数据、允许转发源地址位于/24网段的数据： [root@iptables ~]# iptables -A FORWARD -s 00 -j REJECT [root@iptables ~]# iptables -A FORWARD -s /24 -j ACCEPT 当遇到小规模的网络扫描或攻击时，封IP地址是比较有效