ch07iptables防火墙配置与管理

1、第7讲iptables防火墙配置与管理内容1.ip tables简介2.ip tables根底3.关闭系统防火墙4.ip tables命令格式iptablesiptables根底1 1规那么rules- 网络管理员预定义的条件- 规那么的一般定义为：如果数据包头符合这样的规那么，那 么就这样处理这个数据包- 配置防火墙的主要工作就是添加、修改和删除这些规那么链chains-数据包传播的路径，每条链实际上是众多规那么中的一个检 查清单，每条链中可以有一条或多条规那么当一个数据包到达一个链时，.tables就会从链中第一条规 那么开始检查iptablesiptables根底1 1表tables -

2、提供特定的功能 ip table内置了3个表，即Elter表、nat表和mangle表,分别用 于实现包过滤、网络地址转换和包重构的功能 flltei表主要用于包过滤是iptables的默认表 包含了INPUT链处理进入的数据包、FORWORD链 处理转发的数据包和OUTPUT链处理本地生成的数据包net表：用于网络地址转换managle表：对指定的包进行修改关闭系统防火墙在进行叩tables学习之前，应关闭系统中的防火墙iptablesiptables命令格式 一般格式如下 iptables -t表命令 匹配 操作注意：iptables对所有选项和参数区分大小写表选项： 用于指定哪个ipta

3、bles内置表Rltcr表、nat表、mangle表命令选项：用于指定iptables的执行方式，包括插入规 贝I、删除规那么和添加规那么等匹配选项：指定数据包与规那么匹配所应具有的特征， 包括源地址、口的地址、传输协议和端口号等动作选项：指定当数据包与规那么匹配时，应该做什么 操作，如接受、丢弃等命令选项命令选项-P或-policy V链名定义默认策略-L或一listV 链名查看ip table s规那么列表 A或-append V链名在规那么列表的最后增加1条规那么-I或-insectV 链名,在指定的位置插入1条规那么D或一deleteV 链名从规那么列表中删除1条规那么-R或repla

4、ce v链名,替换规那么列表中的某条规那么-F或HushV 链名,删除表中的所有规那么-Z或一ze2V 链名将表中的数据包计数器和流量计数器归零匹配选项匹配说明4网络接口名指定数据包从哪个网络接口进入，如ethO-。网络接口名指定数据包从哪个网络接口输出，如ethO-P协议类型指定数据包匹配的协议，如tcp、udp和icmp等-S源地址或子网,指定数据包匹配的源地址-sport源端口号?指定数据包匹配的源端口号，可以使用起始 端U号:结束端口号的格式指定一个端口范围-d椀:地力上和子网?指定数据包匹配的目的地址dport V-P V 链名V 动作?链名：可以使用INPUT、OUTPUT、FOR

5、WARD PREROUTING POSTROUTING将filter表INPUT链的默认策略定义为接受数据包 iptables -P INPUT ACCEPT将nat表OUTPUT链的默认策略定义为丢弃数据包 iptables -t nat -P INPUT DROP定义默认策略2 2创立一个具有很好灵活性、 可以抵御各种意外事件的 规那么需要大量的时间对于没有经验和时间的用户而言，最根本的原那么是：先拒绝所有的数据包，然后再允许需要的数据包所以，通常为filter表的链定义如下默认规那么 iptables -P INPUT DROP iptables -P FORWARD DROP ipta

6、bles -P OUTPUT ACCEPT查看iptablesiptables规那么命令格式 iptables -t表名V-LV-L 链名例1：查看nat表中的所有链的规那么 iptables -t nat -L增加、插入、删除和替换规那么1 1语法格式 iptables -t表名-AR 链名规那么编号-i |。网卡名称卜p协议类型-s源IP地址源子网-sport源端口号d目标IP地址|目标子网-dport目标端口号-j动作例1:为filter表的INPUT链添加条规那么，规那么的内 容是将来自IP地址为192.168.1.200这台主机的数据包 都予以丢弃，然后查看filter表的INPUT

7、链规那么列表 iptables -t filtei: -A INPUT -s 192.168.1.200 -j DROP iptables -t filter -L INPUT增加、插入、删除和替换规那么2 2例2：为filter表的INPUT链添加一条规那么，规那么的内 容是接受来自IP地址为192.168.1.200这台主机的数据 包，然后查看filter表的INPUT链规那么列表 iptables -t Glter -A INPUT -s 192.168.1.200 -j ACCEPT iptables -t filter -L INPUT注意：由于例1中已经添加了丢弃规那么，因此使用例

8、2的方 法，192.168.1.200这台主机还是被禁止访问的 iptables是按照顺序读取规那么的，以编号靠前的规那么为准增加、插入、删除和替换规那么3 3例3：在Rltcr表的TNPUT链规那么列表中的第2条规那么前 插入一条规那么，规那么的内容是禁止192.168.2.0这个子 网里所有主机访问TCP协议的80端口， 然后查看filter表的IN PUT链规那么列表 iptables -t filter -I INPUT 2 -s 192.168.2.0/24 -p tcp dport 80 -j DROP iptables -t filter -L INPUT例4：删除Rlter表的

9、INPUT链规那么列表中的第3条规贝IJ,然后查看filter表的INPUT链规那么列表 iptables -t filter -D INPUT 3 iptables -t filter -L INPUT增加、插入、删除和替换规那么4 4例5：替换丘13表的INPUT链规那么列表中的第2条规那么 为禁止192.168.3.0这个子网里所有主机访问TCP协议的80端口，然后查看filter表的INPUT链规那么列表ip tables -t filter R INPUT 2 -s 192.168.3.0/24 -p tcp dport 80 -jDROPiptables -t filter -L INPUT配置规那么的技巧 规那么力求简单 规那么顺序很重要同样的规那么，不同的顺序，可能会完全改变防火墙的运转 情况尽量优化规那么最常用和较特殊的规那么放在规那么集的前面做好笔记将每条规那么写道笔记中，并且还要注释规那么的作用去除规那么和计数器格式说明 iptables -t说明V F | Z例1:删除filter表中的所有规那么 iptables -F例2：将filter表中的数据包计数器和流量计数器归零 iptables -Z例3：删除nat表中的所有规那么iptables -t nat -F在线生成iptablesiptables防火墙脚本的网站Bi frost:/biti