ファイアウォールは、ユーザーが特定の IP へのアクセスを制限したり、ユーザーのホストへのアクセスを制限したりする方法です。ファイアウォールは、ハードウェア ファイアウォールとソフトウェア ファイアウォールの 2 つのカテゴリに分類されます。ソフトウェア ファイアウォールは主にデータ パケットのフィルタリングに使用され、ハードウェア ファイアウォールは主に DDOS 攻撃などの悪意のある攻撃から保護し、データ パケットをフィルタリングするために使用されます。ここでは、Linux-iptables 上のソフトウェア ファイアウォールについて説明します。
iptables と firewalld
centOS6 では、デフォルトのソフトウェア ファイアウォールは iptables で、centos7 では firewalld です。それらの間にはどのような関係があるのでしょうか? 実際、firewalld はオリジナルの iptables 上に新たにパッケージ化されたソフトウェアです。
iptables を学習するときは、まず firewalld を閉じて iptables を有効にすることをお勧めします
yum install iptables-services systemctl stop firewalld systemctl start iptables
iptables テーブルとチェーン
iptables異なるテーブルは異なる関数を表します。デフォルトでは 4 つのテーブルがあります
filter (フィルター) nat (アドレス変換) mangle raw
異なるテーブルの下
という独自のルール チェーンがあります。
iptables のルールの表示とクリア
Rule View
使用例: iptables [-t tables] -L [-nv]オプションとパラメータ:
# 查看filter表的规则
# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
67 4444 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
2 286 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 38 packets, 4664 bytes)
pkts bytes target prot opt in out source destination
# 查看nat表的规则
iptables -t nat -L -nvcentOS7 をデフォルトでインストールすると、システムにはすでに多くの iptables ルールが設定されていますが、ここではこれらのルールをクリアする方法を説明します。 使用例: iptables [-t tables] [-FXZ]
オプションとパラメーター:
-F すべてのカスタマイズされたルールをクリーンアップします
-X すべてのユーザー定義ルールをクリアします
-Z すべての統計をゼロに設定します
# iptables -F # iptables -X # iptables -Z
iptables-save を使用して特定のルールを表示する使用法: iptables-save [-t tables ]
# iptables-save -t filter # Generated by iptables-save v1.4.21 on Sat Nov 14 21:51:56 2020 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [56:7196] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited # Completed on Sat Nov 14 21:51:56 2020
デフォルトの戦略を定義する
##ルールをクリアすると、デフォルトの戦略だけが残ります。デフォルトのポリシーとは、ルールのいずれかが満たされない場合にデフォルトのルールが使用されるというものです。デフォルトのポリシーは ACCEPT (パケットの受け入れ) と DROP (パケットのドロップ) です。 使用法: iptables [-t tables] -P [INPUT|OUTPUT|FORWARD……] [ACCEPT|DROP]
ここで、フィルターのデフォルトの INPUT チェーンを DROP、OUTPUT、FORWARD チェーンを ACCETPiptables -t filter -P INPUT DROP # 注意,该命令敲完后,你的终端就可能会断开连接了 iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
linux course
"以上がLinux でのソフトウェア ファイアウォール iptables - ルールの表示とクリア、デフォルト ポリシーの定義の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
