网站建设与管理书,中山网页设计培训,建设部网站如何下载规范 标准,建设校园网站必要性目录
防火墙基本概念
什么是防火墙#xff1f;
Netfilter与iptables的关系
链的概念
表的概念
表链关系
规则的概念
查询规则
添加规则
删除iptables中的记录
修改规则
更详细的命令#xff08;5链4表#xff09; 防火墙基本概念
什么是防火墙#xff1f;
在…目录
防火墙基本概念
什么是防火墙
Netfilter与iptables的关系
链的概念
表的概念
表链关系
规则的概念
查询规则
添加规则
删除iptables中的记录
修改规则
更详细的命令5链4表 防火墙基本概念
什么是防火墙
在计算中防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描这样能够过滤掉一些攻击以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信封锁特洛伊木马。最后它可以禁止来自特殊站点的访问从而防止来自不明入侵者的所有通信。
防火墙分为软件防火墙和硬件防火墙他们的优缺点 硬件防火墙拥有经过特别设计的硬件及芯片性能高、成本高(当然硬件防火墙也是有软件的只不过有部分功能由硬件实现所以硬件防火墙其实是硬件软件的方式) 软件防火墙应用软件处理逻辑运行于通用硬件平台之上的防火墙性能比硬件防火墙低、成本低。
Netfilter与iptables的关系
Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架该框架既简洁又灵活可实现安全策略应用中的许多功能如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address TranslationNAT)以及基于用户及媒体访问控制(Media Access ControlMAC)地址的过滤和基于状态的过滤、包速率限制等。
Iptables/Netfilter的这些规则可以通过灵活组合形成非常多的功能、涵盖各个方面这一切都得益于它的优秀设计思想。
Netfilter是Linux操作系统核心层内部的一个数据包处理模块它具有如下功能 网络地址转换(Network Address Translate) 数据包内容修改 以及数据包过滤的防火墙功能
Netfilter平台中制定了数据包的五个挂载点(Hook Point我们可以理解为回调函数点数据包到达这些位置的时候会主动调用我们的函数使我们有机会能在数据包路由的时候改变它们的方向、内容)这5个挂载点分别是PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。
Netfilter所设置的规则是存放在内核空间中的而iptables是一个应用层的应用程序它通过Netfilter放出的接口来对存放在内核空间中的 XXtables(Netfilter的配置表)进行修改。这个XXtables由表tables、链chains、规则rules组成iptables在应用层负责修改这个规则文件类似的应用程序还有firewalld(CentOS7默认防火墙)。
所以Linux中真正的防火墙是Netfilter但由于都是通过应用层程序如iptables或firewalld进行操作所以我们一般把iptables或firewalld叫做Linux的防火墙。
注意以上说的iptables都是针对IPv4的如果IPv6则要用ip6tables至于用法应该是跟iptables是一样的。
注Linux系统运行时内存分内核空间和用户空间内核空间是Linux内核代码运行的空间它能直接调用系统资源用户空间是指运行用户程序的空间用户空间的程序不能直接调用系统资源必须使用内核提供的接口“system call”。
链的概念
iptables开启后数据报文从进入服务器到出来会经过5道关卡分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后) 每一道关卡中有多个规则数据报文必须按顺序一个一个匹配这些规则这些规则串起来就像一条链所以我们把这些关卡都叫“链” INPUT链当接收到防火墙本机地址的数据包(入站)时应用此链中的规则本机入站 OUTPUT链当防火墙本机向外发送数据包(出站)时应用此链中的规则本机出站 FORWARD链当接收到需要通过防火墙发送给其他地址的数据包(转发)时应用此链中的规则 PREROUTING链互联网进入局域网在对数据包作路由选择之前应用此链中的规则如DNAT POSTROUTING链局域网出互联网在对数据包作路由选择之后应用此链中的规则如SNAT。
其中中INPUT、OUTPUT链更多的应用在“主机防火墙”中即主要针对服务器本机进出数据的安全控制而FORWARD、PREROUTING、POSTROUTING链更多的应用在“网络防火墙”中特别是防火墙服务器作为网关使用时的情况。
表的概念
虽然每一条链上有多条规则但有些规则的作用(功能)很相似多条具有相同功能的规则合在一起就组成了一个“表”iptables提供了四种“表” – filter表主要用于对数据包进行过滤根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG)所谓的防火墙其实基本上是指这张表上的过滤规则对应内核模块iptables_filter – nat表network address translation网络地址转换功能主要用于修改数据包的IP地址、端口号等信息(网络地址转换如SNAT、DNAT、MASQUERADE、REDIRECT)。属于一个流的包(因为包的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次如果第一个包被允许做NAT或Masqueraded那么余下的包都会自动地被做相同的操作也就是说余下的包不会再通过这个表。对应内核模块iptables_nat – mangle表拆解报文做出修改并重新封装主要用于修改数据包的TOS(Type Of Service服务类型)、TTL(Time To Live生存周期)指以及为数据包设置Mark标记以实现Qos(Quality Of Service服务质量)调整以及策略路由等应用由于需要相应的路由设备支持因此应用并不广泛。对应内核模块iptables_mangle应用少 – raw表是自1.2.9以后版本的iptables新增的表主要用于决定数据包是否被状态跟踪机制处理在匹配数据包时raw表的规则要优先于其他表对应内核模块iptables_raw。应用少 我们最终定义的防火墙规则都会添加到这四张表中的其中一张表中。
表链关系
重点的两个链input post
重要的一个表filter1
5条链(即5个关卡)中并不是每条链都能应用所有类型的表事实上除了Ouptput链能同时有四种表其他链都只有两种或三种表
实际上由上图我们可以看出无论在哪条链上raw表永远在mangle表上边而mangle表永远在nat表上边nat表又永远在filter表上边这表明各表之间是有匹配顺序的。
前面说过数据报文必须按顺序匹配每条链上的一个一个的规则但其实同一类(即属于同一种表)的规则是放在一起的不同类的规则不会交叉着放按上边的规律每条链上各个表被匹配的顺序为raw→mangle→nat→filter。
前面说过我们最终定义的防火墙规则都会添加到这四张表中的其中一张表中所以我们实际操作是对“表”进行操作的所以我们反过来说一下每种表都能用于哪些链
表名能应用的链rawpreroutingoutputmanglepreroutinginputforwardoutputpostroutingnatpreroutinginput(仅centos7)outputpostroutingfilterinputforwardoutput
综上数据包通过防火墙的流程可总结为下图
规则的概念
iptables规则主要包含“条件动作”即匹配出符合什么条件(规则)后对它采取怎样的动作。
匹配条件(五元组) S_IPsource ip源ip S_PORTsource port源端口 D_IP: destination ip目标ip D_PORT: destination port目标端口 TCP/UDP第四层(传输层)协议
处理的动作 ACCEPT允许数据包通过 DROP直接丢弃数据包不回应任何信息客户端只有当该链接超时后才会有反应 REJECT拒绝数据包会给客户端发送一个数据包被丢弃的响应的信息 SNATS指Source源NAT(源地址转换)。在进入路由层面的route之后出本地的网络栈之前改写源地址目标地址不变并在本机建立NAT表项当数据返回时根据NAT表将目的地址数据改写为数据发送出去时候的源地址并发送给主机。解决私网用户用同一个公网IP上网的问题 MASQUERADE是SNAT的一种特殊形式适用于动态的、临时会变的IP上 DNATD指Destination目的NAT解决私网服务端接收公网请求的问题。和SNAT相反IP包经过route之前重新修改目标地址源地址不变在本机建立NAT表项当数据返回时根据NAT表将源地址修改为数据发送过来时的目标地址并发给远程主机。可以隐藏后端服务器的真实地址 REDIRECT在本机做端口映射 LOG在/var/log/messages文件中记录日志信息然后将数据包传递给下一条规则。 除去最后一个LOG前3条规则匹配数据包后该数据包不会再往下继续匹配了所以编写的规则顺序极其关键。
其中REJECT和DROP有点类似以下是服务器设置REJECT和DROP后ping这个服务器的响应的区别
REJECT动作
PING 10.37.129.9 (10.37.129.9): 56 data bytes
92 bytes from centos-linux-6.5.host-only (10.37.129.9): Destination Port Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst4 5 00 5400 29a3 0 0000 40 01 3ab1 10.37.129.2 10.37.129.9
Request timeout for icmp_seq 0
92 bytes from centos-linux-6.5.host-only (10.37.129.9): Destination Port Unreachable
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst4 5 00 5400 999d 0 0000 40 01 cab6 10.37.129.2 10.37.129.9
DROP动作
PING 10.37.129.9 (10.37.129.9): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Request timeout for icmp_seq 3
Request timeout for icmp_seq 4
对iptables进行操作其实就是对它的四种“表”进行“增删改查”操作。
查询规则
命令格式iptables [选项] [参数]
常用选项
-L: list的缩写list我们通常翻译成列表意思是列出每条链上的规则因为多条规则就是一个列表所以用-L来表示。
-L后面还可以跟上5条链(POSTROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING)的其中一条链名注意链名必须全大写如查看“INPUT链”上的规则:
iptables -L INPUT 这里默认就是-t filter
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited 不指定的话就是默认查看所有链上的规则列表:
iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination Chain INPUT: INPUT链上的规则同理后面的“Chain FORWARD”、“Chain OUTPUT”分别是FORWARD链和OUTPUT链上的规则 (policy ACCEPT): 表示默认策略是接受即假如我没设置那就是允许只有我设置哪个不允许才会不允许示例中是安装iptables后的默认规则由于默认是ACCEPT你规则也设置为ACCEPT按道理来说是没什么意义的因为你不设置也是ACCEPT呀但事实上是为了方便修改为REJECT/DROP等规则说白了就是放在那要设置的时候我们就可以直接修改 target: 英文意思是“目标”但该列的值通常是动作比如ACCEPT(接受)、REJECT(拒绝)等等但它确实可以是“目标”比如我们创建 一条链iptables -N July_filter然后在INPUT链上添加一条规则让它跳转到刚刚的新链-A INPUT -p tcp -j July_filter再用iptables -L查看可以看到target此时已经是真正的“target(July_filter)”而不再是动作了
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
July_filter tcp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain July_filter (1 references)
target prot opt source destination prot: protocol协议 opt: option选项 source: 源地址(ip(可以是网段)/域名/主机名) destination: 目标地址(ip(可以是网段)/域名/主机名) 末列: 一些额外的信息 -t前面-L不是列出所有链的规则列表吗为什么没有PREROUTING和POSTROUTING链呢
因为有默认参数-tt是table的缩写意思是指定显示哪张“表”中的规则(前面说过iptables有四种表)iptables -L其实就相当于iptables -t filter -L即相当于你查看的是“filter”表中的规则。而根据前面的讲解filter表只可用于INPUT、FORWARD、OUTPUT三条链中这就是为什么iptables -L不显示PREROUTING链和POSTROUTING链的原因。 -n: numeric的缩写numeric意思是数字的数值的意思是指定源和目标地址、端口什么的都以数字/数值的方式显示否则默认会以域名/主机名/程序名等显示该选项一般与-L合用因为单独的-n是没有用的(没有-L列表都不显示所以用-n就没有意义了)。
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT)
target prot opt source destination
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
其中dpt:22中的dpt是指destination port(目标端口)同理spt就是source port(源端口)。 -v: 基本上有点Linux常识的童鞋就应该知道-v在Linux命令里一般都是指“verbose”这个词的意思是是“冗余的啰嗦的”即输出更加详细的信息在iptables这里也是这个意思一般可以跟-L连用
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination
13627 1033K ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED0 0 ACCEPT icmp -- any any anywhere anywhere0 0 ACCEPT all -- lo any anywhere anywhere2 128 ACCEPT tcp -- any any anywhere anywhere state NEW tcp dpt:ssh275 53284 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibitedChain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination0 0 REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibitedChain OUTPUT (policy ACCEPT 12506 packets, 1485K bytes)pkts bytes target prot opt in out source destination
可以看到多了四列 pkts: packets包的数量 bytes: 流过的数据包的字节数 in: 入站网卡 out: 出站网卡。
当然还可以跟前面的-n合用
iptables -n -v -L
-n:以数字的形式展示
-v详细的输出
-L指定查看的表不指定则全部输出
这样source和destination中用域名或者字符串表示的方式就换成ip了
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination
13642 1034K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/00 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/02 128 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22275 53284 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)pkts bytes target prot opt in out source destination0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 12516 packets, 1489K bytes)pkts bytes target prot opt in out source destination
稍微了解Linux命令的童鞋应该都知道在很多情况下Linux的选项是可以合并的比如前面的iptables -n -v -L其实是可以合并成iptables -nvL的并且参数顺序一般情况下是无关紧要的比如iptables -vnL也是一样的。
但是-L一定要写在最后原因是-L是要接收参数的选项(虽然可以不传参数)而-v和-n是不需要接收参数的假如你写成iptables -Lvn那就表示是用-n来接收参数了这肯定是不行的。 -x: 加了-v后Policy那里变成了“(policy ACCEPT 0 packets, 0 bytes)”即多了过滤的数据包数量和字节数其中的字节数如果数据大了之后会自动转换单位比如够KB不够MB它会显示“xxxk”够了MB它显示“MB”但单位转换之后就不完全精确了因为它没有小数如果还是想要看以“字母”即“byptes”为单位查看的话加个-x就行了“x”来自于“exact”意思是“精确的准确的”不取首字母应该是太多选项首字母是e了。 --line-numbers: 如果你想列表有序号可以加上该选项
iptables -nvL --line-numbers
结果中多了一列“num”就是序号
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 14739 1123K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
4 2 128 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
5 305 55948 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
6 0 0 July_filter tcp -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 310 packets, 42772 bytes)
num pkts bytes target prot opt in out source destination
Chain July_filter (1 references)
num pkts bytes target prot opt in out source destination
其实--line-numbers并不用写全不然也太长了其实写成--line就行了甚至你不写最后一个e即写成--lin都行。
合并使用各选项的命令示例
iptables --line -t filter -nvxL INPUT --list-number
n数字的形式展示
v展示详情
L指定要查看的表不指定则显示全部
x精准的
--line-number增加列表 添加规则
我们可以向某条链中的某个表的最前面添加记录(我们叫“插入”会用到-I选项I表示Insert指定插入的位置)也可以向某条链中的某个表的最后面添加记录(我们叫“追加”会用到-A选项A表示Append插入到末尾)熟悉vi/vim的童鞋会对这个“I”和“A”感觉到熟悉因为在vi/vim的命令模式下按I是在光标所行的行首插入按A是在光标所在行的行尾插入跟这个在表头跟表尾插入非常像。
之所以有向前添加和向后添加是因为如果前面规则的是丢弃或拒绝那么后面的规则是不会起作用的而如果前面的是接受后面的是丢弃或拒绝则接受之后后面的丢弃或拒绝也是不会生效的。
向INPUT链的filter表中添加一条规则
iptables -t(指定表) filter -I指定插入 INPUT -s匹配源ip 10.37.129.2 -j跳转 DROP -t: 是指定插入到哪个表中不写的话默认为“filter”表 -I: 指定插入到哪条链中并且会在该链指定表(在这里是filter表)中的最前面插入(I:Input)如果用-A则是在最后插入(A:Append)。 -s: 匹配源ips: source源。 -j: jump跳转的意思后面可指定跳转的target(目标)比如自定义的链当然更多的是跳转到“action(动作)”中比如ACCEPT、DROP、REJECT等等。 整个意思就是向iptables中的“INPUT”链(-I INPUT)的“filter”表(-t filter)的最前面(-I)添加一条记录这次记录会匹配源地址为“10.39.129.2”的请求(-s 10.39.129.2)并把该请求丢弃掉(-j DROP)。
例如
iptables -t filter -I INPUT -s 192.168.159.0/24 -j DROP
如果敲完命令后自己所连接的ip是该网段那么远程连接会断开 需要在虚拟机中删除这条记录然后才能正常的远程登录
删除iptables中的记录
1、根据编号删除 前面说过查询iptables规则列表时添加--line-numbers简写成--line即可显示记录编号我们现在就可以根据这个编号来删除了
iptables -t filter -D INPUT 2
-t filter指定操作的表为filter表-D表示delete后面跟的两个参数第一个是链名第二个是要删除的规则的编号。
例如
iptables -t filter -D input 1
这样执行完成后远程连接功能就会可以恢复了
2、根据条件删除
iptables -t filter -D INPUT -s 10.37.129.2 -j DROP
删除INPUT链中的filter表中源地址为“10.37.129.2”并且动作为“DROP”的规则。
3、清空-F -F: flush的缩写flush是“冲洗、冲掉”的意思在这里是清空的意思iptables -t filter -F INPUT代表清空“INPUT”链中“filter”表中的所有规则如果不指定链不指定表即直接用iptables -F则清空所有链中所有表的规则。
注在生产环境中轻易不要使用这个方法
修改规则
事实上用“替换”来描述会更好一点因为所谓的修改其实就是把整个规则替换成新的规则
iptables -t filter -Rreplace INPUT 1 -s 10.37.129.3 -j ACCEPT
其中的-R就是replace即替换的意思整句命令意思是从INPUT链中的filter表中替换编号为1的规则编号1后面的-s 10.37.129.3 -j ACCEPT就是要替换成的新规则。
修改策略(policy):
iptables -Ppolicy FORWARD DROP
-P: policy即策略。
整个意思是把FORWARD链的默认规则设置为DROPiptables [-t table] -P chain target这个说明表示可以根据不同的表设置不同的限制
iptables -t raw -P OUTPUT ACCEPT
iptables -t filter -P OUTPUT DROP
例如
//防止自己的终端被禁止
iptables -t filter -I INPUT -s 192.168.159.0/24 -j ACCEPT
//将默认规则修改为DROP
iptables -P INPUT DROP
更详细的命令5链4表
-ddestination用于匹配报文的目标地址可以同时指定多个ip(逗号隔开逗号两侧都不允许有空格)也可指定ip段
iptables -t filter -I OUTPUT -d 192.168.1.111,192.168.1.118 -j DROP
iptables -t filter -I INPUT -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -I INPUT ! -d 192.168.1.0/24 -j ACCEPT -p用于匹配报文的协议类型,可以匹配的协议类型tcp、udp、udplite、icmp、esp、ah、sctp等centos7中还支持icmpv6、mh
iptables -t filter -I INPUT -p tcp -s 192.168.1.146 -j ACCEPT
# 感叹号表示“非”即除了匹配这个条件的都ACCEPT但匹配这个条件不一定就是REJECT或DROP这要看是否有为它特别写一条规则如果没有写就会用默认策略
iptables -t filter -I INPUT ! -p udp -s 192.168.1.146 -j ACCEPT 上面的规则中使用”! -s 192.168.1.146″表示对 -s 192.168.1.146这个匹配条件取反 -s 192.168.1.146表示报文源IP地址为192.168.1.146即可满足匹配条件使用 “!” 取反后则表示报文源地址IP只要不为192.168.1.146即满足条件那么上例中规则表达的意思就是只要发往本机的报文的源地址不是192.168.1.146就接受报文。
此刻你猜猜按照上例中的配置如果此时从146主机上向防火墙所在的主机发送ping请求146主机能得到回应吗此处不考虑其他链只考虑filter表的INPUT链
答案是能也就是说按照上例的配置146主机仍然能够ping通当前主机为什么呢我们来分析一下。
上例中filter表的INPUT链中只有一条规则这条规则要表达的意思就是
只要报文的源IP不是192.168.1.146那么就接受此报文但是某些小伙伴可能会误会把上例中的规则理解成如下含义
只要报文的源IP是192.168.1.146那么就不接受此报文这种理解与上述理解看似差别不大其实完全不一样这样理解是错误的上述理解才是正确的。
换句话说就是报文的源IP不是192.168.1.146时会被接收并不能代表报文的源IP是192.168.1.146时会被拒绝。
上例中因为并没有任何一条规则指明源IP是192.168.1.146时该执行怎样的动作所以当来自192.168.1.146的报文经过INPUT链时并不能匹配上例中的规则于是此报文就继续匹配后面的规则可是上例中只有一条规则这条规则后面没有其他可以匹配的规则于是此报文就会去匹配当前链的默认动作(默认策略)而上例中INPUT链的默认动作为ACCEPT所以来自146的ping报文就被接收了如果把上例中INPUT链的默认策略改为DROP那么146的报文将会被丢弃146上的ping命令将得不到任何回应但是如果将INPUT链的默认策略设置为DROP当INPUT链中没有任何规则时所有外来报文将会被丢弃包括我们ssh远程连接。
-i用于匹配报文是从哪个网卡接口流入本机的由于匹配条件只是用于匹配报文流入的网卡所以在OUTPUT链与POSTROUTING链中不能使用此选项
iptables -t filter -I INPUT -p icmp -i eth0 -j DROP
iptables -t filter -I INPUT -p icmp ! -i eth0 -j DROP -o用于匹配报文将要从哪个网卡接口流出本机于匹配条件只是用于匹配报文流出的网卡所以在INPUT链与PREROUTING链中不能使用此选项。
iptables -t filter -I OUTPUT -p icmp -o eth0 -j DROP
iptables -t filter -I OUTPUT -p icmp ! -o eth0 -j DROP
以上就是iptables中一些常见词的详解和规则的简单用法下一篇将会对一些扩展模块的使用详细介绍 文章转载自: http://www.morning.fbqr.cn.gov.cn.fbqr.cn http://www.morning.mjmtm.cn.gov.cn.mjmtm.cn http://www.morning.kqkmx.cn.gov.cn.kqkmx.cn http://www.morning.mpscg.cn.gov.cn.mpscg.cn http://www.morning.nwbnt.cn.gov.cn.nwbnt.cn http://www.morning.gwsfq.cn.gov.cn.gwsfq.cn http://www.morning.pbgnx.cn.gov.cn.pbgnx.cn http://www.morning.yfcbf.cn.gov.cn.yfcbf.cn http://www.morning.rbknf.cn.gov.cn.rbknf.cn http://www.morning.jcbjy.cn.gov.cn.jcbjy.cn http://www.morning.c7493.cn.gov.cn.c7493.cn http://www.morning.tfrmx.cn.gov.cn.tfrmx.cn http://www.morning.rzjfn.cn.gov.cn.rzjfn.cn http://www.morning.shawls.com.cn.gov.cn.shawls.com.cn http://www.morning.wmfny.cn.gov.cn.wmfny.cn http://www.morning.xysdy.cn.gov.cn.xysdy.cn http://www.morning.snrbl.cn.gov.cn.snrbl.cn http://www.morning.rdlxh.cn.gov.cn.rdlxh.cn http://www.morning.rhfbl.cn.gov.cn.rhfbl.cn http://www.morning.byjwl.cn.gov.cn.byjwl.cn http://www.morning.wgkz.cn.gov.cn.wgkz.cn http://www.morning.wgrl.cn.gov.cn.wgrl.cn http://www.morning.qnlbb.cn.gov.cn.qnlbb.cn http://www.morning.jcffp.cn.gov.cn.jcffp.cn http://www.morning.tpfny.cn.gov.cn.tpfny.cn http://www.morning.pqfbk.cn.gov.cn.pqfbk.cn http://www.morning.fcftj.cn.gov.cn.fcftj.cn http://www.morning.krrjb.cn.gov.cn.krrjb.cn http://www.morning.klcdt.cn.gov.cn.klcdt.cn http://www.morning.qtzqk.cn.gov.cn.qtzqk.cn http://www.morning.lxdbn.cn.gov.cn.lxdbn.cn http://www.morning.zpyxl.cn.gov.cn.zpyxl.cn http://www.morning.hslgq.cn.gov.cn.hslgq.cn http://www.morning.lqrpk.cn.gov.cn.lqrpk.cn http://www.morning.zycll.cn.gov.cn.zycll.cn http://www.morning.rtkz.cn.gov.cn.rtkz.cn http://www.morning.xflwq.cn.gov.cn.xflwq.cn http://www.morning.jcyrs.cn.gov.cn.jcyrs.cn http://www.morning.gkxyy.cn.gov.cn.gkxyy.cn http://www.morning.frxsl.cn.gov.cn.frxsl.cn http://www.morning.dtnjr.cn.gov.cn.dtnjr.cn http://www.morning.srbsr.cn.gov.cn.srbsr.cn http://www.morning.sjwzl.cn.gov.cn.sjwzl.cn http://www.morning.tnwgc.cn.gov.cn.tnwgc.cn http://www.morning.lnwdh.cn.gov.cn.lnwdh.cn http://www.morning.gjcdr.cn.gov.cn.gjcdr.cn http://www.morning.ffksr.cn.gov.cn.ffksr.cn http://www.morning.xhrws.cn.gov.cn.xhrws.cn http://www.morning.dydqh.cn.gov.cn.dydqh.cn http://www.morning.rpkg.cn.gov.cn.rpkg.cn http://www.morning.jbxd.cn.gov.cn.jbxd.cn http://www.morning.rmxgk.cn.gov.cn.rmxgk.cn http://www.morning.cjsrg.cn.gov.cn.cjsrg.cn http://www.morning.hxftm.cn.gov.cn.hxftm.cn http://www.morning.qxljc.cn.gov.cn.qxljc.cn http://www.morning.msmtf.cn.gov.cn.msmtf.cn http://www.morning.gbsby.cn.gov.cn.gbsby.cn http://www.morning.xzjsb.cn.gov.cn.xzjsb.cn http://www.morning.pqbkk.cn.gov.cn.pqbkk.cn http://www.morning.fdmfn.cn.gov.cn.fdmfn.cn http://www.morning.cnfjs.cn.gov.cn.cnfjs.cn http://www.morning.lddpj.cn.gov.cn.lddpj.cn http://www.morning.qhrlb.cn.gov.cn.qhrlb.cn http://www.morning.dfygx.cn.gov.cn.dfygx.cn http://www.morning.rxlck.cn.gov.cn.rxlck.cn http://www.morning.tkzqw.cn.gov.cn.tkzqw.cn http://www.morning.qcsbs.cn.gov.cn.qcsbs.cn http://www.morning.mqwnp.cn.gov.cn.mqwnp.cn http://www.morning.lcwhn.cn.gov.cn.lcwhn.cn http://www.morning.ptmch.com.gov.cn.ptmch.com http://www.morning.wtdhm.cn.gov.cn.wtdhm.cn http://www.morning.fcpjq.cn.gov.cn.fcpjq.cn http://www.morning.tsmcc.cn.gov.cn.tsmcc.cn http://www.morning.knsmh.cn.gov.cn.knsmh.cn http://www.morning.ykxnp.cn.gov.cn.ykxnp.cn http://www.morning.rqjfm.cn.gov.cn.rqjfm.cn http://www.morning.lsnhs.cn.gov.cn.lsnhs.cn http://www.morning.nxfuke.com.gov.cn.nxfuke.com http://www.morning.qddtd.cn.gov.cn.qddtd.cn http://www.morning.yfphk.cn.gov.cn.yfphk.cn
