Heim > Betrieb und Instandhaltung > Betrieb und Wartung von Linux > Software-Firewall iptables unter Linux – Regeln anzeigen und löschen, Standardrichtlinie definieren

Software-Firewall iptables unter Linux – Regeln anzeigen und löschen, Standardrichtlinie definieren

齐天大圣
Freigeben: 2020-11-18 15:33:46
Original
3792 Leute haben es durchsucht

Eine Firewall ist eine Möglichkeit für Benutzer, den Zugriff auf bestimmte IPs oder Benutzer auf ihre Hosts einzuschränken. Firewalls werden in zwei Kategorien unterteilt: Hardware-Firewalls und Software-Firewalls. Software-Firewalls werden hauptsächlich zum Filtern von Datenpaketen verwendet, während Hardware-Firewalls hauptsächlich zum Schutz vor böswilligen Angriffen und zum Filtern von Datenpaketen, wie z. B. DDOS-Angriffen, eingesetzt werden. Hier erklären wir die Software-Firewall unter Linux-iptables.

iptables und firewalld

Unter CentOS6 ist die Standard-Software-Firewall iptables und in Centos7 Firewalld. Was ist die Verbindung zwischen ihnen? Tatsächlich handelt es sich bei firewalld um eine neu gepackte Software auf den ursprünglichen iptables.

Beim Erlernen von iptables wird empfohlen, zuerst Firewalld zu schließen und iptables zu aktivieren ) nat (Adressübersetzung) mangle raw

Verschiedene Tabellen haben ihre eigenen Regelketten:

Filter (INPUT/OUTPUT/FORWARD)

  • nat (Prerouting/Output/Postouting)

Die Bedeutungen Diese Ketten werden wie folgt dargestellt:

  • INPUT-Kette – eingehende Datenpakete wenden die Regeln in dieser Regelkette an.

  • OUTPUT-Kette – ausgehende Datenpakete wenden die Regeln in dieser Regelkette an.

FORWARD-Kette – gelten die Regeln in dieser Kette beim Weiterleiten von Datenpaketen

  • PREROUTING-Kette – wenden Sie die Regeln in dieser Kette an, bevor Sie die Datenpakete weiterleiten

  • POSTROUTING-Kette – führen Sie das Routing für Datenpakete durch. Regeln in dieser Kette werden nach dem Routing angewendet

  • Regelanzeige und -löschung von iptables
  • Regelanzeige

Anwendungsbeispiel: iptables [-t tables] -L [-nv] Optionen und Parameter:

- t befolgt nach Tabellentyp. Wenn diese Option weggelassen wird, ist die Standardeinstellung „Tabelle filtern“. -L listet die Regeln der aktuellen Tabelle auf

-n führt keine Domainnamen- und IP-Reverse-Prüfung durch

  • -v zeigt weitere Informationen an

  • yum install iptables-services
    systemctl stop firewalld
    systemctl start iptables
    Nach dem Login kopieren

    Die Bedeutung der Regeloptionen unter Die Kette lautet wie folgt:

  • Ziel: Stellt die ausgeführte Operation dar, ACCEPT-Freigabe, Drop-Discard, Ablehnung-Ablehnung.

  • Prot: Stellt das verwendete Datenpaketprotokoll dar, einschließlich TCP, UDP und ICMP. Opt: Beschreibung Information: Quelle: Beschränken Sie einen bestimmten Quellhost des Datenpakets ist RELATED, ESTABLISHED, beide Accept

Solange es sich um ein ICMP-Paket handelt, wird es akzeptiert

  • Solange es sich um eine lokale Loopback-Netzwerkkarte handelt, werden alle Daten akzeptiert

  • Solange es sich um ein aktives TCP-Verbindungspaket handelt, das an Port 22 gesendet wird, wird es akzeptiert.

  • Alle Pakete ablehnen

  • Löschen Sie die Regeln von iptables
  • Nach der Standardinstallation von centOS7 verfügt das System bereits über viele iptables-Regeln. Hier werde ich Ihnen beibringen, wie Sie diese Regeln löschen.

Verwendungsbeispiel: iptables [-t tables] [-FXZ]

    Optionen und Parameter:
  1. -F Bereinigen aller benutzerdefinierten Regeln
  2. -X Bereinigen aller benutzerdefinierten Regeln
  3. - Z Alle statistischen Zählungen auf Null setzen.
  4. # 查看filter表的规则
    # iptables -nvL
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
       67  4444 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
        2   286 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination         
        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    Chain OUTPUT (policy ACCEPT 38 packets, 4664 bytes)
     pkts bytes target     prot opt in     out     source               destination  
     
    # 查看nat表的规则
    iptables -t nat -L -nv
    Nach dem Login kopieren
  5. Spezifische Regeln anzeigen

Nachdem wir die Regeln geklärt haben, bleibt nur noch die Standardstrategie übrig. Die Standardrichtlinie besteht darin, dass die Standardregel verwendet wird, wenn eine unserer Regeln nicht erfüllt wird. Die Standardrichtlinien sind ACCEPT (Pakete akzeptieren) und DROP (Pakete verwerfen)Verwendung: iptables [-t tables] -P [INPUT|OUTPUT|FORWARD…] [ACCEPT|DROP]Jetzt versuchen wir die Standardänderung Die INPUT-Kette des Filters ist DROP, die OUTPUT- und FORWARD-Kette wurde in ACCETP geändert

# iptables -F
# iptables -X
# iptables -Z
Nach dem Login kopieren

Verwandte Empfehlungen: „

Linux-Kurs

Das obige ist der detaillierte Inhalt vonSoftware-Firewall iptables unter Linux – Regeln anzeigen und löschen, Standardrichtlinie definieren. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage