IPTable已經整合在Linux2.4及以上版本的核心中,同Windows下的眾多“傻瓜”防火牆不同的是,IPTable需要使用者自己定製相關規則。下面yjbys小編就給大家簡單介紹一下關於防火牆的基本操作,希望對大家學習Linux系統知識有幫助!
防火牆的初始化
廢話不多說,先上一張表格:
選項含義
-F清除鏈中所有的規則
-P為鏈新增一條預設策略(目標)
-A為鏈增加一條規則說明
-D從鏈中刪除一條規則
-L檢視當前表的鏈和規則
清空預設表(filter表)中的資料,只要簡單的'使用下面這條命令即可:
[root@localhost~]#iptables-F
清除預設表中INPUT鏈的規則,可使用下面的命令:
[root@localhost~]#iptables-FINPUT
命令執行完成後,使用iptables-L檢視當前防火牆設定。給鏈設定預設策略基本語法如下:
iptables-Parchytarget
其中archy是鏈的名稱,target(目標)用於定義策略。filter表中共有9個不同的策略可供使用,但最常用的只有4個,分別包括:ACCEPT表示允許包通過;DROP丟棄一個包;REJECT會在丟棄的同時返回一條ICMP錯誤訊息;LOG則扮演了記事員的角色記錄包的資訊。通常對服務器而言,將所有鏈設定為DROP是一個不錯的選擇,下面這條命令將所有的鏈的預設策略設定為DROP:
[root@localhost~]#iptables-FINPUTDROP
執行完這條命令後,所有試圖同本機建立連線的努力都會失敗,因為所有從“外部”到達防火牆的包都會被丟棄,甚至連使用迴環介面ping自己都不行。
新增規則
使用iptables-A命令新增鏈規則,命令基本語法如下:
iptables-Aarchy-iinterface-jtarget
其中,archy代表鏈的名稱,interface指定該規則用於哪個網路介面,target用於定義策略。舉一個很簡單的例子,下面這條命令就是新增一條INPUT鏈的規則,允許所有通過lo介面的連結請求:
[root@localhost~]#iptables-AINPUT-ilo-pALL-jACCEPT
其餘有關防火牆規則的設定相關選項,如下表:
選項含義
-pproto匹配網路協議:tcp、udp、icmp
--icmp-typetype匹配ICMP型別,和-picmp配合使用。注意有兩根短劃線
-ssource-ip匹配來源主機(或網路)的IP地址
--sportport#匹配來源主機的埠,和-ssource-ip配合使用。
-ddest-ip匹配目標主機的IP地址
--dportport#匹配目標主機(或網路)的埠,和-ddest-ip配合使用。
刪除鏈規則
iptables提供了-D選項來刪除鏈規則,有兩種不同的語法用於刪除一條規則,這兒介紹最常用的方法:首先使用帶--line-numbers選項的iptables-L命令檢視鏈規則的編號,命令如下:
[root@localhost~]#iptables-L--line-numbers
當你查到規則編號後使用下面命令就可以刪除連規則:
[root@localhost~]#iptables-D18
