skill——iptables(五)

黑白名单

黑名单:即默认策略为 ACCEPT,链中规则对应的动作应该为 DROP 或 REJECT ,表示只有匹配到规则的报文才会被拒绝,没有匹配到规则的报文默认被放行
白名单:即默认策略为 DROP 或 REJECT,链中规则对应的动作应该为 ACCEPT ,表示只有匹配到规则的报文才会被放行,没有匹配到规则的报文默认被拒绝
也就是说:
白名单时,默认所有人是坏人,只放行好人
黑名单时,默认所有人是好人,只拒绝坏人
案例一:
简单的黑名单(默认策略为 ACCEPT,链中规则对应的动作为 DROP 或 REJECT)

案例二:
简单的白名单(默认策略为 DROP 或 REJECT,链中规则对应的动作为 ACCEPT )
先添加规则动作为 ACCEPT 的链使端口 22 可以被访问,然后使用 -P 把默认策略改为 DROP
如下图:

注意:但是上图的设置有个问题,就是如果误操作把这这条规则删掉了或执行了 iptables -F INOUT 清空了链,正在连接的 ssh 就会 的断开,这个显然不是我们想要的
可以做以下修改:
让默认策略继续为:ACCEPT,在需要放行的规则后面添加一条拒绝所有请求的规则
意思是:如果报文符合放行规则,则会被放行规则匹配到,得以通过,如果没有,则会被最后一条拒绝规则禁止通行

这样做的目的是在误操作的情况下(iptables -F INOUT 清空了链),也可以保证连接是畅通的

自定义链

用于解决默认链中规则非常多时,方便我们分类管理,比如定义一条链,只存放针对 80 端口的入站规则
案例三

  1. 创建一条自定义链
    注意:前面说过,-t filter 可以省略,为默认值

  2. 向 IN_WEB 中添加并查看规则
    注意:操作自定义链与默认链没什么不同
  3. 使用默认链来引用自定义链
    注意:没有默认链引用时,之前定义的规则是无法被正常使用的,被哪条默认链引用取决于实际工作场景(自定义链也可以引用其他自定义链)
    注意:此时的 “-j 动作” 表示访问本机的 80 端口的 tcp 报文将由自定义链来处理,我们也可以发现 IN_WEB 中的 references 数值变为了 1,表示该自定义链被引用了一次

  4. 重命名自定义链

  5. 删除自定义链
    注意:删除自定义链需满足两个条件
    1)自定义链中没有任何规则,即自定义链为空
    2)自定义链没有被任何默认链引用,即自定义链的引用计数为 0

原文地址:http://blog.51cto.com/12384628/2307872

时间: 2024-10-12 01:26:41

skill——iptables(五)的相关文章

skill——iptables(二)

iptabls 查.增.删.改,保存 一:查 参数 说明 -t 指定要查看的表,默认为 filter 表 -L 列出表中规则 -v 查看详细信息 -x 显示计数器的精确值 -n 不对 IP 地址进行名称反解,直接显示 IP --line-number 显示规则的行号,可缩写为 --line 案例一:查询 fileter 表 INPUT 链中中的规则丢弃 ip:192.168.8ptables -t filter -vL INPUT下面介绍下每列的含义 列明 说明 pkts 匹配到的报文的个数 b

skill——iptables(三)

匹配条件 一:-s 源地址:指定 ip 时可用 "," 隔开,指定多个:也可以指定网段,用 "!" 取反注意:取反表示报文源地址 IP 不为 192.168.1.103 即满足条件,执行相应的动作实例如下: 二:-d 目标地址注意:1. 源地址表示报文从哪里来,目标地址表示报文要到哪里去,当目标主机有两块或以上网卡时,示例如下2. 上面说到 -s 的使用方法 -d 同样适用 案例一:指定来 80.174 网卡拒绝接收来自 80.138 的报文接着我们在 192.16

skill——iptables(六)

相关动作 REJECTLOGSNATDNATMASQUERADEREDIRECT详情请仔细阅读此博主文章 iptables 小结 1. 规则的顺序非常重要因为链中规则的顺序是自上而下的,当报文已经被前面的规则匹配到,iptables 会执行对应的动作,而后面即使有可以匹配到刚才已经执行过相应的动作的报文,也不会再执行相应的动作了(第一次匹配到规则的动作为 LOG 除外),所以,针对相同的服务规则,更严格的规则应该放在前面2.当规则中有多个匹配条件时,条件之间默认存在 "与" 的关系,即

skill——iptables(四)

扩展匹配条件 一:udp 扩展模块 选项 说明 --sport 匹配报文的源端口 --dport 匹配报文的目标端口 和 tcp模块中的名称一样,不同的是, udp 模块中的 --sport 与 --dport 是用来匹配 UDP 协议报文的源端口与目标端口的udp 模块与 tcp 模块类似,适用于 tcp 模块的使用方式同样适用于 udp 模块,multiport 也同样适用 udp 模块指定多个离散的端口案例一:udp 模块用法举例二:icmp 扩展模块如下图:icmp报文类型案例二:icm

第十五章 iptables

15.1 iptables简介 iptables是与最新的3.5版本Linux内核集成的IP信息包过滤系统.如果Linux系统连接到因特网或LAN.服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置. 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中.在信息包过滤表中,规则被分组放在我们所谓的链(chain)中.而netfilter/iptables IP信息包过滤系统

iptables基础知识详解

iptables防火墙可以用于创建过滤(filter)与NAT规则.所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙.如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单. 首先介绍iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组

iptables 命令介绍

http://www.cnblogs.com/wangkangluo1/archive/2012/04/19/2457072.html iptables 防火墙可以用于创建过滤(filter)与NAT规则.所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有 效地管理Linux防火墙.如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单. 首先介绍iptables的结构:iptables ->

iptables详细教程:基础、架构、清空规则、追加规则、应用实例

iptables防火墙可以用于创建过滤(filter)与NAT规则.所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有效地管理Linux防火墙.如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单. 姊妹篇:linux防火墙iptables常用规则(屏蔽IP地址.禁用ping.协议设置.NAT与转发.负载平衡 首先介绍iptables的结构:iptables -> Tables -> Ch

iptables和sudo

1.详述iptables五链 防火墙 硬件防火墙 软件防火墙 iptables服务是firewalld iptables -Lnv查看规则 本机防火墙和网路防火墙两种 5个表,全大写 PREROUTING INPUT FORWARD OUTPUT POSTROUTING 4个其他功能 raw:关闭连接追踪 mangle:修改其他信息,打标 nat:网络地址转换 filter:过滤 优先级从高到低 4个其他功能表的位置 raw:PREROUTING OUTPUT mangle:全 nat:PRER