1、什麼是防火牆?
從廣義來說,只要能夠分析與過濾進出我們管理之網域的封包數據,就可以稱爲防火牆2、iptables的表格table與鏈chain
linux預設的三個表格:filter管理本機進出的,nat管理後端主機(防火牆內部的其他計算機),mangle管理特殊旗標使用filter:
INPUT->:與進入Linux本機的封包有關
OUTPUT->:本機所要送出的封包有關
FORWARD->:與linux本機比較沒有關係,他可以轉遞包到後端的計算機中,與nat table相關性較高
3、列出filter table三條鏈的規則
iptables -L -n參數解析:
-L:列出目前的table規則 -n:不進行IP與HOSTNAME的反查,顯示訊息的速度會快很多 -t:哪個表格,如
列出nat table三條鏈的規則 iptables -t nat -L -n
4、結果集列代表的意思
target:代表進行的動作,accept是放行,而reject則是拒絕,drop爲丟棄prot:代表使用的封包協議,主要有tpc,udp,icmp三種封包格式
opt:額外的選項說明
source:代表些規則是針對哪個來源ip進行限制
destination:代表此規則是針對哪個目標ip進行限制
5、清除本機防火牆filter的所有規則
iptables -F :清除所有的已訂定的規則iptables -X :殺掉所有使用者‘自定義’的chain
iptables -Z:將所有的chain的計數與流量統計都歸零
6、iptables設定基礎語法
iptables [-AI 鏈名] [-io 網絡接口] [-p 協議] [--sport 限制來源的端口號碼] [--dport 限制目標的端口號碼] [-s 來源IP/網域] [-d 目標IP/網域] -j [ACCEPT|DROP|REJECT|LOG]選項與參數 -P[定義Policy] -m [一些iptables的外掛模塊] [--state 一些封包的狀態]其中,
-p 協定:設定此規則適用於哪種封包格式,主要的封包格式有:tcp,udp,icmp及all
-P(大寫):定義政策(Policy),有三種DROP,ACCEPT,REJECT
-AI鏈名:針對某的鏈進行規則的“插入”或“累加”
-A:新增加一條規則,該規則增加在原本規則的最後面
-I:插入一條規則。如果沒有指定此規則的順序,默認是插入變成第一條規則
-io網絡接口:設定封包進出的接口規範
-i:封包所進入的那個網絡接口,例如:eth0,lo等接口,需與INPUT鏈配合
-o:封包所傳出的那個網絡接口,需與OUTPUT鏈配合
-s來源IP/網域:設定此規則之封包的來源項目,可指定單純的IP或包括網域,例如:
IP:192.168.0.100
網域:192.168.0.0/24,192.168.0.0/255.255.255.0 均可
若規範爲 不許 時,則加上!即可,例如:
-s ! 192.168.100.0/24 表示不允許192.168.100.0/24之封包來源;
-d目標IP/網域:同-s,只不過這裏指的是目標的ip或網域
-j:後面接動作,主要的動作有接受ACCEPT、丟棄DROP、拒絕REJECT及記錄LOG
--sport 端口範圍:限制來源的端口號碼,端口號碼可以是連續的,例如1024:65535
--dport 端口範圍:限制目標的端口號碼
-m:一些iptables的外掛模塊,主要常見的有:
state:狀態模塊
mac:網絡卡硬件地址
--state:一些封包的狀態,主要有:
INVALID 無效的封包,例如數據破損的封包狀態
ESTABLISHED 已經聯機成功的聯機狀態
NEW:想要新建立聯機的封包狀態;
RELATED:這個最常用!表示這個封包是與我們主機發送出去的封包有關
7、實戰參考
http://liubin.blog.51cto.com/282313/750318http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html
《鳥哥linux私房菜服務器架設篇第三版》