Iptables

Iptables
netfilter:安全框架(内核空间)
功能:
数据包过滤
网络地址转换
数据包修改
优先级:raw-mangle-nat-filter
filter:
INPUT
OUTPUT
FORWARD
nat:
PREROUTING
OUTPUT
POSTROUTING
mangle:
PREROUTING
POSTROUTING
INPUT
OUTPUT
FORWARD
raw:
OUTPUT
PREROUTING
iptables:命令行工具(用户空间)
参数:
iptables [first] [second] [third]
first:
--line-number:显示规则序号
second:
-t:指定表名(默认filter表)
third:
-L 链名:查看当前表的规则配置,后加链名查看链上规则
-F 链名:清空指定链上规则(未指定链名则清空当前表规则)
-A 链名:插入规则(尾部)
-D 链名[n]:删除指定链上匹配规则
-P 链名 动作:修改该链上指定默认动作
-I 链名 [n]:插入规则为第n条(默认首部)
-s:源地址(多个可用,分隔)
-p:协议(默认所有协议)
tcp udp icmp udplite icmpv6 esp ah sctp mh
-d:目标地址
-m:指定扩展模块
tcp udp multiport(端口离散)
--sport:源端口(需先指定扩展模块)
:n 从0到n
n:从n到65535
n1:n1 从n1n2
--dport:目标端口(需先指定扩展模块)
-i:入口网卡
-o:出口网卡
-j:执行动作
DROP:丢弃
REJECT:拒绝
ACCEPT:接收
SNAT:源地址转换
--to-source:指定源地址
DNAT:目标地址转换
--to-destination:指定目标地址
REDIRECT:重定向
RETURN:自定义规则执行完毕后返回原规则链

-n:不解析IP地址
-v:显示详细信息
yum install -y iptables-services
systemctl stop firewalld
systemctl disable firewalld
systemctl start iptables
systemctl enable iptables
iptables-save >/etc/sysconfig/iptables保存规则至配置文件中
iptables-restore< /etc/sysconfig/iptables从配置文件中重载规则
扩展:
防火墙分类:
逻辑分类:
主机防火墙:作用单个主机
网络防火墙:部署于网络边缘,作用局域网
物理分类:
硬件防火墙:半硬件半软件实现功能,性能成本双高
软件防火墙:依赖于软件进行数据过滤,性能成本双低