8.2 iptables
8.2.1 策略与规则链
防火墙会从上至下的顺序来读取配置的策略规则,找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(放行或阻止)
一般处理从外到内的流量,即INPUT规则链
iptables服务的术语分为:
ACCEPT(允许流量通过)
REJECT(拒绝流量通过)
LOG(记录日志信息)
DROP(拒绝流量通过)
REJECT与DROP的区别:
REJECT:将流量拒绝且回复信息,
DROP:直接将流量丢弃且不响应
规则链的默认拒绝动作只能是DROP,而不能是REJECT
iptables中常用的参数及作用
参数
作用
-P(大写)
设置默认策略
-F
清空规则链
-L
查看规则链
-A
在规则链的末尾加入新规则
-I num
在规则链的头部加入新规则
-D num
删除一条规则
-s
匹配来源地址IP/MASK,加叹号“!”表示除这个IP外
-d
匹配目标地址
-i 网卡名称
匹配从这块网卡流入的数据
-o 网卡名称
匹配从这块网卡流出的数据
-p(小写)
匹配协议,如TCP、UDP、ICMP
--dport num
匹配目标端口号
--sport num
匹配来源端口号
-L参数查看已有的防火墙规则链
使防火墙配置永久生效,执行保存命令
查找所有规则(带序号)
根据序号,删除一条规则
最后更新于