企業内のLinuxシステムの使用の増加によって、Linuxシステムのセキュリティは運用・保守要員の必要不可欠なスキルの一つとなっていることを確認します。
ファイアウォール:Linuxシステム自体は非常に強力な保護措置を持っています。それでは、どのようにファイアウォールが最優先課題となっています管理します。
7と、そこにCentOSのCentOSの8、より多くの人々がファイアウォールを管理するためにfirewalldのツールを使用することを好みます。それは、コマンドライン経由の設定は、グラフィカル介して設定することができないという理由だけで。Linuxファイアウォールを管理するためのツールの使用に関するFirewalld、参照しているLinuxシステムのセキュリティのファイアウォール管理ツールの使用はfirewalld確保
ここでは、iptablesのファイアウォールの管理ツールをご紹介します。
私が最初にiptablesのツール、どのような4表Vチェーン、心配明日の大きな頭の話を聞いたとき。しかし、一定の読み物を通してオンライン。iptablesのツールを見つけ、それは実際には非常に困難です。それは非常に簡単に把握することもあります。いくつかの初心者の友人は疑問であってもよく、今あなたがファイアウォールを管理するためにfirewalldのツールを使用することができ、その後、私はiptablesのツールを習得する必要がありません。一つの文章を覚えている:2をそれぞれ独自の利点を持って、誰が誰に取って代わることはできません。
iptablesの概要:
言及したiptablesのは、我々はpentachain 4つのテーブル、実行すべきアクションについて言わなければなりません。
4つのテーブルは以下のとおりです。
- 生:高度のような、特徴:URLフィルタリング。
- マングル:パケットの変更(QOS)、サービス品質を実行するため、
- ネット:アドレス変換、ゲートウェイルータ。
- フィルタ:パケットフィルタは、ファイアウォールのルールを使用します。
Pentachain彼らは以下のとおりです。
- INPUTチェーン:入力データパケットを処理します。
- OUTPUTチェーン:出力データ・パケットを処理します。
- PORWARD鎖:パケット転送処理;
- チェーンをPREROUTING:ターゲット・アドレス変換(DNAT)のために。
- POSTOUTING鎖:ソースアドレス(SNAT)を変換します。
実行されるアクションは以下のとおりです。
- 受け入れ:データパケットを受信します。
- DROP:データパケットを破棄する。
- REDIRECT:リダイレクト、マッピング、透過プロキシ。
- SNAT:ソースアドレス変換。
- DNAT:デスティネーション翻訳;
- MASQUERADE:IPマスカレード(NAT)、ADSLのために、
- LOG:ログ;
iptablesのは、一般的なオプションをされているコマンド:
- -t <TABLE>:操作するテーブルを指定します。
- -A:チェーン内のルールにエントリを追加します。
- -D:チェーン内のルールからエントリを削除します。
- -i:チェーン内のルールにエントリを挿入します。
- -R:エントリ置換ルールチェーン。
- -L:チェーンですでに表示ルールエントリを、
- -F:明確なルールエントリすでにチェーン。
- -Z:チェーン電卓パケットとバイトのカウンターで空のルール。
- -N:新しいユーザー定義ルールのチェーンを作成します。
- -P:チェーンのデフォルトターゲットが定義されたルール。
- -h:ディスプレイのヘルプ情報。
- -p:パケットタイプを指定一致するプロトコル。
- -s:指定したソースアドレスのIPと一致するパケット。
- -j <目標>:ジャンプに指定対象。
- -i <ネットワークインターフェイス>:指定したパケットは、マシンのネットワーク・インターフェースに入ります。
- -o <ネットワークインターフェイス>:指定のマシンが使用するネットワーク・インターフェースを残しデータパケットを、
iptablesのは、注文を入力するためのオプションをコマンド:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作iptablesのは、例のコマンドを実行します。
[root@localhost ~]#iptables -F // 清空所有的防火墙规则
[root@localhost ~]#iptables -F INPUT //清空指定链 INPUT 上面的所有规则
[root@localhost ~]#iptables -X // 删除用户自定义的空链
[root@localhost ~]#iptables -Z //清空计数
[root@localhost ~]#iptables -P INPUT DROP //配置默认的不让进
[root@localhost ~]#iptables -P FORWARD DROP //默认的不允许转发
[root@localhost ~]#iptables -P OUTPUT ACCEPT //默认的可以出去
将INPUT规则链设置为只允许指定网段的主机访问本机的22端口,拒绝来自其他所有主机的流量:
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables-save //保存配置
如果我只允许192.168.1.100和192.168.1.110 的PING命令,应该怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP
如果我只允许192.168.1.0/24网段的,但拒绝192.168.1.100和192.168.1.110 的PING命令,应该怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j DROP
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j DROP
向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则
[root@localhost ~]# iptables -I INPUT -p tcp --dport 12345 -j REJECT
[root@localhost ~]# iptables -I INPUT -p UDP --dport 12345 -j REJECT
向INPUT规则链中添加拒绝所有主机访问本机1000~1024端口的策略规则
[root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -A INPUT -p UDp --dport 1000:1024 -j REJECT注: iptablesのツールに基づいてポリシーをチェック:上から下へ、デフォルトの実行ポリシーが見つからない場合は、停止を見つけます!ルールを追加するときだから、それはまた、戦略の順序ことに留意すべきです!
期限の理由に、それがどんな質問を持って、あなたが参照することができ、詳細に記述されていないiptablesのツールの詳細を
--------この記事の最後に、これまで、読んでくれてありがとう--------