iptables也叫netfilter，是Linux下自帶的一款免費(fèi)且優(yōu)秀的基于包過(guò)濾的防火墻工具，他的功能十分強(qiáng)大，使用也非常靈活，可以對(duì)流入、流出、流經(jīng)服務(wù)器的數(shù)據(jù)包進(jìn)行精細(xì)的控制。

但是iptables在CentOS7的版本上已經(jīng)被閹割掉了，我們需要自行安裝，以下是在CentOS7下安裝iptables和使用方式。

一、安裝iptables

1.1、查看是否安裝成功

命令：

systemctl status iptables

輸出結(jié)果表示沒(méi)有iptables的相關(guān)服務(wù)，我們需要安裝

1.2、安裝iptables

命令：

yum install iptables-services

1.3、檢查是否安裝成功

命令：

systemctl status iptables

輸出結(jié)果表示已經(jīng)安裝了iptables但是還沒(méi)有啟動(dòng)

1.4、啟動(dòng)iptables

命令：

systemctl start iptables.service

再次查看狀態(tài)，輸出結(jié)果表示已經(jīng)成功啟動(dòng)iptables

1.5、關(guān)閉SELINUX

這里需要關(guān)閉SELINUX，因?yàn)楫?dāng)SELINUX不關(guān)閉時(shí)，iptables不讀取配置文件，關(guān)于如何關(guān)閉SELINUX建議大家瀏覽我的其他Linux：CentOS7下關(guān)閉SELINUX

二、命令

2.1、系統(tǒng)命令

systemctl start iptables #啟動(dòng)

systemctl status iptables #查看運(yùn)行狀態(tài)

systemctl restart iptables.service #重啟

systemctl stop iptables.service #停止

systemctl enable iptables.service #設(shè)置開(kāi)機(jī)啟動(dòng)

systemctl disable iptables.service #禁止開(kāi)機(jī)啟動(dòng)

2.2、常用命令

iptables -h #查詢幫助

iptables -L -n #列出（filter表）所有規(guī)則

iptables -L -n --line-number #列出（filter表）所有規(guī)則，帶編號(hào)

iptables -L -n -t nat #列出（nat表）所有規(guī)則

iptables -F #清除（filter表）中所有規(guī)則

iptables -F -t nat #清除（nat表）中所有規(guī)則

service iptables save #保存配置（保存配置后必須重啟iptables）

systemctl restart iptables.service #重啟

三、語(yǔ)法

3.1、filter表解析

filter表是iptables默認(rèn)使用的表，負(fù)責(zé)對(duì)流入、流出本機(jī)的數(shù)據(jù)包進(jìn)行過(guò)濾，該表中定義了3個(gè)鏈，分別是：INPUT、OUTPUT、FORWARD

• INPUT：過(guò)濾進(jìn)入主機(jī)的數(shù)據(jù)包
• OUTPUT：處理從本機(jī)出去的數(shù)據(jù)包
• FORWARD：負(fù)責(zé)轉(zhuǎn)發(fā)流經(jīng)本機(jī)但不進(jìn)入本機(jī)的數(shù)據(jù)包，起到轉(zhuǎn)發(fā)作用

3.2、iptables常用語(yǔ)法

• -A：追加到規(guī)則的最后一條
• -D：刪除記錄
• -I：添加到規(guī)則的第一條
• -p：（proto）規(guī)定通信協(xié)議，常見(jiàn)的協(xié)議有：tcp、udp、icmp、all
• -j：（jump）指定要跳轉(zhuǎn)的目標(biāo)，常見(jiàn)的目標(biāo)有：ACCEPT（接收數(shù)據(jù)包）、DROP（丟棄數(shù)據(jù)包）、REJECT（重定向）三種，但是一般不適用重定向，會(huì)帶來(lái)安全隱患

四、常見(jiàn)案例

4.1、IP過(guò)濾

4.1.1、禁止192.168.1.3 IP地址的所有類型數(shù)據(jù)接入

iptables -A INPUT ! -s 192.168.1.3 -j DROP

4.2、開(kāi)放端口

4.2.1、開(kāi)放端口

iptables -A INPUT -p tcp --dport 80 -j ACCEPT #開(kāi)放80端口

4.2.2、開(kāi)放端口范圍

iptables -I INPUT -p tcp --dport 22:80 -j ACCEPT #開(kāi)發(fā)22-80范圍的端口

4.2.3、不允許80端口流出

iptables -I OUTPUT -p tcp --dport 80 -j DROP

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

最新評(píng)論