第十一章 Linux防火墙(1)
一、Linux防火墙基础
netfilter:内核状态的防火墙,即linux中防火墙功能的内核部分
itables:用户态防火墙,相当于控制netfilter的软件
1、表、链结构
(1)规则表
①filter:对数据包进行过滤
②nat:用于修改数据包的IP地址及端口信息
③mangle:修改数据包的TOS(服务类型),TTL
④raw:决定是否对数据包状态进行跟踪
(2)规则链
①INPUT:入站时(进入系统的用户端)
②OUTPUT:出站
③FORWARD:转发数据包时应用此链的规则
④PREROUTING:数据包做路由选择前
⑤POSTROUTING:数据包做路由选择后
2、数据包匹配流程
二、防火墙规则编写
1、格式:iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]
2、控制类型(-j)
(1)ACCEPT:允许通过
(2)DROP:丢弃数据包
(3)REJECT:拒绝通过(必要时会给数据发送一个响应信息)
(4)LOG:在/var/log/message文件中记录日志信息
3、管理选项
4、参数选项
三、实例
1、清空INPUT规则:iptbles -F INPUT
2、设置默认规则为拒绝
(1)iptables -P INPUT REJECT
(2)iptables -P OUTPUT REJECT
(3)iptables -P FORWARD REJECT
3、允许我ping外部,拒绝外部ping我
(1)iptables -A OUTPUT -p icmp -j ACCEPT
(2)iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
4、允许别人访问我的80/22/53/67端口
(1)iptables -A INPUT -p tcp -m multiport --dport 80,22,53 -j ACCEPT
(2)iptables -A OUTPUT -p tcp -m multiport --sport 80,22,53 -j ACCEPT
(3)iptables -A OUTPUT -p udp --sport 67 -j ACCEPT
(4)iptables -A INPUT -p udp --dport 67 -j ACCEPT
