Linux的防火墙--IP Tables
| 导读 | IP Table已经集成在Linux 2.4及以上版本的内核中,同Windows下的众多“傻瓜”防火墙不同的是,IP Table需要用户自己定制相关规则。下面我就给大家简单介绍一下关于防火墙的基本操作。 |
废话不多说,先上一张表格:
| 选项 | 含义 |
| -F | 清除链中所有的规则 |
| -P | 为链添加一条默认策略(目标) |
| -A | 为链增加一条规则说明 |
| -D | 从链中删除一条规则 |
| -L | 查看当前表的链和规则 |
清空默认表(filter表)中的数据,只要简单的使用下面这条命令即可:
[root@localhost ~]# iptables -F
清除默认表中INPUT链的规则,可使用下面的命令:
[root@localhost ~]# iptables -F INPUT
命令执行完成后,使用iptables -L查看当前防火墙设置。 给链设置默认策略基本语法如下:
iptables -P archy target
其中archy是链的名称,target(目标)用于定义策略。 filter表中共有9个不同的策略可供使用,但最常用的只有4个,分别包括:ACCEPT表示允许包通过;DROP丢弃一个包;REJECT会在丢弃的同时返回一条ICMP错误消息;LOG则扮演了记事员的角色记录包的信息。 通常对服务器而言,将所有链设置为DROP是一个不错的选择,下面这条命令将所有的链的默认策略设置为DROP:
[root@localhost ~]# iptables -F INPUT DROP
执行完这条命令后,所有试图同本机建立连接的努力都会失败,因为所有从“外部”到达防火墙的包都会被丢弃,甚至连使用回环接口ping自己都不行。
使用iptables -A命令添加链规则,命令基本语法如下:
iptables -A archy -i interface -j target
其中,archy代表链的名称,interface指定该规则用于哪个网络接口,target用于定义策略。举一个很简单的例子,下面这条命令就是添加一条INPUT链的规则,允许所有通过lo接口的链接请求:
[root@localhost ~]# iptables -A INPUT -i lo -p ALL -j ACCEPT
其余有关防火墙规则的设置相关选项,如下表:
| 选项 | 含义 |
| -p proto | 匹配网络协议:tcp、udp、icmp |
| --icmp-type type | 匹配ICMP类型,和-p icmp配合使用。注意有两根短划线 |
| -s source-ip | 匹配来源主机(或网络)的IP地址 |
| --sport port# | 匹配来源主机的端口,和-s source-ip配合使用。 |
| -d dest-ip | 匹配目标主机的IP地址 |
| --dport port# | 匹配目标主机(或网络)的端口,和-d dest-ip配合使用。 |
iptables提供了-D选项来删除链规则,有两种不同的语法用于删除一条规则,这儿介绍最常用的方法: 首先使用带--line-numbers选项的iptables -L命令查看链规则的编号,命令如下:
[root@localhost ~]# iptables -L --line-numbers
当你查到规则编号后使用下面命令就可以删除连规则:
[root@localhost ~]# iptables -D 18
Linux的防火墙--IP Tables的更多相关文章
- Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-b1938128a963
报错信息:Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait ...
- 写了个Linux包过滤防火墙
花几天写了个so easy的Linux包过滤防火墙,估计实际意义不是很大.防火墙包括用户态执行程序和内核模块,内核模块完全可以用iptable代替.由于在编写的过程一开始写的是内核模块所以就直接用上来 ...
- linux配置防火墙详细步骤(iptables命令使用方法)
通过本教程操作,请确认您能使用linux本机.如果您使用的是ssh远程,而又不能直接操作本机,那么建议您慎重,慎重,再慎重! 通过iptables我们可以为我们的Linux服务器配置有动态的防火墙,能 ...
- linux下设置ip地址 gw网关,dns的方法
本文介绍下,在linux中设置IP地址.网关.dns的方法,有需要的朋友作个参考吧. 设置linux网络的方法有两种:第一种:使用命令修改(直接即时生效) 复制代码代码示例: ip and net ...
- SpringCloud的应用发布(四)vmvare+linux,防火墙和selinux
一.vmvare网络配置为nat模式 二.vmvare的网络设置为桥接bridge模式 1.linux 网卡的ip获取方式dhcp 三.关闭linux的防火墙和selinux 1.临时关闭防火墙 sy ...
- Linux firewalld 防火墙
Linux firewalld 防火墙 简介 RHEL 7 系统中集成了多款防火墙管理工具,其中 firewalld(Dynamic Firewall Manager of Linux system ...
- 使用 firewalld 构建 Linux 动态防火墙
firewalld 是新一 Linux 代防火墙工具,它提供了支持网络 / 防火墙区域 (zone) 定义网络链接以及接口安全等级的动态防火墙管理工具.它也支持允许服务或者应用程序直接添加防火墙规则的 ...
- Linux 能PING IP 但不能PING 主机域名的解决方法 vim /etc/nsswitch.conf hosts: files dns wins
Linux 能PING IP 但不能PING 主机域名的解决方法 转载 2013年12月25日 10:24:27 13749 . vi /etc/nsswitch.conf hosts: files ...
- linux IPtable防火墙 禁止和开放端口(转)
linux IPtable防火墙 禁止和开放端口源:http://hi.baidu.com/zplllm/item/f910cb26b621db57c38d5983评: 1.关闭所有的 INPUT F ...
随机推荐
- 用Wireshark抓包分析超过70秒的请求
超过70秒的请求是通过分析IIS日志发现的: 10.159.63.104是SLB的内网IP. 通过Wireshark抓包分析请求是9:22:21收到的(tcp.stream eq 23080): 09 ...
- Java数组的--遍历
(I)标准for循环遍历数组 例如代码片段: int [] nums = new int [] {0,1,2,3,4,5,6,7,8,9}; for(int i=0;i<11;i++){ Sys ...
- 嘻哈帮天通苑_poppin——张锋
l click_me
- 图解Android - Android GUI 系统 (5) - Android的Event Input System
Android的用户输入处理 Android的用户输入系统获取用户按键(或模拟按键)输入,分发给特定的模块(Framework或应用程序)进行处理,它涉及到以下一些模块: Input Reader: ...
- 【CodeForces 504A】Misha and Forest
题 题意 有n个点,代号分别为0到n-1,然后这n个点有d个相连点,相连点的XOR sum 为s,求所有的边. 分析 知识:a^b^a=b,a^b^b=a. 把相连点为1的i存进队列,i的唯一相连点就 ...
- shopex商城的部署和安装
1.在网站上下载最新的压缩包: 2.shopex是商业软件,不开源,且源代码是加密的! 3.如果你出现zend的错误,是因为你的php环境没有安装此插件,推荐使用phpstudy最新版本,我使用的ph ...
- [NOIP2011] 提高组 洛谷P1003 铺地毯
题目描述 为了准备一个独特的颁奖典礼,组织者在会场的一片矩形区域(可看做是平面直角坐标系的第一象限)铺上一些矩形地毯.一共有 n 张地毯,编号从 1 到n .现在将这些地毯按照编号从小到大的顺序平行于 ...
- junit加载
Run as junit 不会出现,把junit 包倒入lib文件夹中,在类的后面加上extends TestCase,此时上方会导入一个包:import junit.framework.TestCa ...
- jsp学习(四)
JavaBean是一个可重复使用的软件组件,是遵循一定标准.用java语言编写的一个类,该类的一个实例称为一个JavaBean,简称bean. 它必须符合如下规范:1.必须有一个零参数的默认构造函数2 ...
- 软件开发过程中的审查 (Review)
http://blog.csdn.net/horkychen/article/details/5035769 软件开发过程中的审查 (Review) 希望别人做些什么->定义出流程 希望别人 ...