Eine Firewall ist eine Möglichkeit für Benutzer, den Zugriff auf bestimmte IPs oder Benutzer auf ihre Hosts einzuschränken. Firewalls werden in zwei Kategorien unterteilt: Hardware-Firewalls und Software-Firewalls. Software-Firewalls werden hauptsächlich zum Filtern von Datenpaketen verwendet, während Hardware-Firewalls hauptsächlich zum Schutz vor böswilligen Angriffen und zum Filtern von Datenpaketen, wie z. B. DDOS-Angriffen, eingesetzt werden. Hier erklären wir die Software-Firewall unter Linux-iptables.
iptables und firewalld
Unter CentOS6 ist die Standard-Software-Firewall iptables und in Centos7 Firewalld. Was ist die Verbindung zwischen ihnen? Tatsächlich handelt es sich bei firewalld um eine neu gepackte Software auf den ursprünglichen iptables.
Beim Erlernen von iptables wird empfohlen, zuerst Firewalld zu schließen und iptables zu aktivieren ) nat (Adressübersetzung) mangle raw
Verschiedene Tabellen haben ihre eigenen Regelketten:
Filter (INPUT/OUTPUT/FORWARD)
nat (Prerouting/Output/Postouting)
Die Bedeutungen Diese Ketten werden wie folgt dargestellt:
INPUT-Kette – eingehende Datenpakete wenden die Regeln in dieser Regelkette an.
OUTPUT-Kette – ausgehende Datenpakete wenden die Regeln in dieser Regelkette an.
FORWARD-Kette – gelten die Regeln in dieser Kette beim Weiterleiten von Datenpaketen
PREROUTING-Kette – wenden Sie die Regeln in dieser Kette an, bevor Sie die Datenpakete weiterleiten
POSTROUTING-Kette – führen Sie das Routing für Datenpakete durch. Regeln in dieser Kette werden nach dem Routing angewendet
Regelanzeige
Anwendungsbeispiel: iptables [-t tables] -L [-nv] Optionen und Parameter:
- t befolgt nach Tabellentyp. Wenn diese Option weggelassen wird, ist die Standardeinstellung „Tabelle filtern“. -L listet die Regeln der aktuellen Tabelle auf
-n führt keine Domainnamen- und IP-Reverse-Prüfung durch
-v zeigt weitere Informationen an
yum install iptables-services systemctl stop firewalld systemctl start iptables
Die Bedeutung der Regeloptionen unter Die Kette lautet wie folgt:
Ziel: Stellt die ausgeführte Operation dar, ACCEPT-Freigabe, Drop-Discard, Ablehnung-Ablehnung.
Prot: Stellt das verwendete Datenpaketprotokoll dar, einschließlich TCP, UDP und ICMP. Opt: Beschreibung Information: Quelle: Beschränken Sie einen bestimmten Quellhost des Datenpakets ist RELATED, ESTABLISHED, beide Accept
Solange es sich um ein ICMP-Paket handelt, wird es akzeptiert
Solange es sich um eine lokale Loopback-Netzwerkkarte handelt, werden alle Daten akzeptiert
Solange es sich um ein aktives TCP-Verbindungspaket handelt, das an Port 22 gesendet wird, wird es akzeptiert.
Alle Pakete ablehnen
Verwendungsbeispiel: iptables [-t tables] [-FXZ]
# 查看filter表的规则 # iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 67 4444 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 2 286 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 38 packets, 4664 bytes) pkts bytes target prot opt in out source destination # 查看nat表的规则 iptables -t nat -L -nv
Spezifische Regeln anzeigen
Nachdem wir die Regeln geklärt haben, bleibt nur noch die Standardstrategie übrig. Die Standardrichtlinie besteht darin, dass die Standardregel verwendet wird, wenn eine unserer Regeln nicht erfüllt wird. Die Standardrichtlinien sind ACCEPT (Pakete akzeptieren) und DROP (Pakete verwerfen)Verwendung: iptables [-t tables] -P [INPUT|OUTPUT|FORWARD…] [ACCEPT|DROP]Jetzt versuchen wir die Standardänderung Die INPUT-Kette des Filters ist DROP, die OUTPUT- und FORWARD-Kette wurde in ACCETP geändert
# iptables -F # iptables -X # iptables -Z
Verwandte Empfehlungen: „
Linux-Kurs“
Das obige ist der detaillierte Inhalt vonSoftware-Firewall iptables unter Linux – Regeln anzeigen und löschen, Standardrichtlinie definieren. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!