Software-Firewall iptables unter Linux – Regeln anzeigen und löschen, Standardrichtlinie definieren

Eine Firewall ist eine Möglichkeit für Benutzer, den Zugriff auf bestimmte IPs oder Benutzer auf ihre Hosts einzuschränken. Firewalls werden in zwei Kategorien unterteilt: Hardware-Firewalls und Software-Firewalls. Software-Firewalls werden hauptsächlich zum Filtern von Datenpaketen verwendet, während Hardware-Firewalls hauptsächlich zum Schutz vor böswilligen Angriffen und zum Filtern von Datenpaketen, wie z. B. DDOS-Angriffen, eingesetzt werden. Hier erklären wir die Software-Firewall unter Linux-iptables.

iptables und firewalld

Unter CentOS6 ist die Standard-Software-Firewall iptables und in Centos7 Firewalld. Was ist die Verbindung zwischen ihnen? Tatsächlich handelt es sich bei firewalld um eine neu gepackte Software auf den ursprünglichen iptables.

Beim Erlernen von iptables wird empfohlen, zuerst Firewalld zu schließen und iptables zu aktivieren ) nat (Adressübersetzung) mangle raw

Verschiedene Tabellen haben ihre eigenen Regelketten:

Filter (INPUT/OUTPUT/FORWARD)

• nat (Prerouting/Output/Postouting)

Die Bedeutungen Diese Ketten werden wie folgt dargestellt:

• INPUT-Kette – eingehende Datenpakete wenden die Regeln in dieser Regelkette an.

• OUTPUT-Kette – ausgehende Datenpakete wenden die Regeln in dieser Regelkette an.

FORWARD-Kette – gelten die Regeln in dieser Kette beim Weiterleiten von Datenpaketen

• PREROUTING-Kette – wenden Sie die Regeln in dieser Kette an, bevor Sie die Datenpakete weiterleiten

• POSTROUTING-Kette – führen Sie das Routing für Datenpakete durch. Regeln in dieser Kette werden nach dem Routing angewendet

Regelanzeige und -löschung von iptables

• Regelanzeige

Anwendungsbeispiel: iptables [-t tables] -L [-nv] Optionen und Parameter:

- t befolgt nach Tabellentyp. Wenn diese Option weggelassen wird, ist die Standardeinstellung „Tabelle filtern“. -L listet die Regeln der aktuellen Tabelle auf

-n führt keine Domainnamen- und IP-Reverse-Prüfung durch

• -v zeigt weitere Informationen an

• yum install iptables-services
  systemctl stop firewalld
  systemctl start iptables

  Die Bedeutung der Regeloptionen unter Die Kette lautet wie folgt:

• Ziel: Stellt die ausgeführte Operation dar, ACCEPT-Freigabe, Drop-Discard, Ablehnung-Ablehnung.

• Prot: Stellt das verwendete Datenpaketprotokoll dar, einschließlich TCP, UDP und ICMP. Opt: Beschreibung Information: Quelle: Beschränken Sie einen bestimmten Quellhost des Datenpakets ist RELATED, ESTABLISHED, beide Accept

Solange es sich um ein ICMP-Paket handelt, wird es akzeptiert

• Solange es sich um eine lokale Loopback-Netzwerkkarte handelt, werden alle Daten akzeptiert

• Solange es sich um ein aktives TCP-Verbindungspaket handelt, das an Port 22 gesendet wird, wird es akzeptiert.

• Alle Pakete ablehnen

Löschen Sie die Regeln von iptables
Nach der Standardinstallation von centOS7 verfügt das System bereits über viele iptables-Regeln. Hier werde ich Ihnen beibringen, wie Sie diese Regeln löschen.

Verwendungsbeispiel: iptables [-t tables] [-FXZ]

Optionen und Parameter:
-F Bereinigen aller benutzerdefinierten Regeln
-X Bereinigen aller benutzerdefinierten Regeln
- Z Alle statistischen Zählungen auf Null setzen.

4. # 查看filter表的规则
   # iptables -nvL
   Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target     prot opt in     out     source               destination         
      67  4444 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
       0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
       0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
       0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
       2   286 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
   Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    pkts bytes target     prot opt in     out     source               destination         
       0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
   Chain OUTPUT (policy ACCEPT 38 packets, 4664 bytes)
    pkts bytes target     prot opt in     out     source               destination  
    
   # 查看nat表的规则
   iptables -t nat -L -nv

5. Spezifische Regeln anzeigen

Nachdem wir die Regeln geklärt haben, bleibt nur noch die Standardstrategie übrig. Die Standardrichtlinie besteht darin, dass die Standardregel verwendet wird, wenn eine unserer Regeln nicht erfüllt wird. Die Standardrichtlinien sind ACCEPT (Pakete akzeptieren) und DROP (Pakete verwerfen)Verwendung: iptables [-t tables] -P [INPUT|OUTPUT|FORWARD…] [ACCEPT|DROP]Jetzt versuchen wir die Standardänderung Die INPUT-Kette des Filters ist DROP, die OUTPUT- und FORWARD-Kette wurde in ACCETP geändert

# iptables -F
# iptables -X
# iptables -Z

Verwandte Empfehlungen: „

Linux-Kurs

“

Das obige ist der detaillierte Inhalt vonSoftware-Firewall iptables unter Linux – Regeln anzeigen und löschen, Standardrichtlinie definieren. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!