一、iptables基礎(chǔ)：

茅箭網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站設(shè)計(jì)等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營維護(hù)。創(chuàng)新互聯(lián)于2013年創(chuàng)立到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

1、了解iptables防火墻。

（1）iptables的表：按照功能的不同表分為raw(狀態(tài)跟蹤)、mangle(標(biāo)記)、nat(地址修改)、filter(過濾)。

（2）iptables規(guī)則鏈：按照不同時(shí)機(jī)鏈分為INPUT(入站)、OUTPUT(出站)、FORWARD(轉(zhuǎn)發(fā))、PREROUTING(路由前)、POSTROUTING(路由后)；

 在鏈中存放規(guī)則：

 filter: INPUT/FORWARD/OUTPUT

 nat: PREROUTING/POSTROUTING/OUTPUT

 mangle: PREROUTING/INPUT/FORWARD/OUTPUT/POSTROUTING

 raw: PREROUTING/OUTPUT

2、iptables匹配流程：根據(jù)數(shù)據(jù)流的方向確定匹配順序;

 入站數(shù)據(jù)流向：PREROUTING --> INPUT

 出戰(zhàn)數(shù)據(jù)流向：OUTPUT --> POSTROUTING

 轉(zhuǎn)發(fā)數(shù)據(jù)流向：PREROUTING --> FORWARD --> POSTROUTING;

（1）表的匹配順序：

 raw --> mangle --> nat --> filter

（2）鏈的匹配順序：根據(jù)數(shù)據(jù)流的方向確定匹配順序。

（3）鏈內(nèi)規(guī)則匹配順序：從上到下，匹配即停止未匹配使用默認(rèn)規(guī)則。

二、編寫iptables規(guī)則：

 語法：iptables -t 表名 選項(xiàng) 鏈名 條件 -j 動(dòng)作

1、編寫iptables語法注意：

（1）省略表名，表示filter表，省略鏈名，表示表內(nèi)所有鏈

（2）除非設(shè)置默認(rèn)規(guī)則，否則必須設(shè)置匹配的規(guī)則

（3）選項(xiàng)，鏈名，動(dòng)作必須大寫，其他小寫

2、動(dòng)作：對匹配條件進(jìn)行處理，常見有：

ACCEPT:允許； DROP:丟棄； REJECT:拒絕； LOG:日志；

3、選項(xiàng)：

 對鏈進(jìn)行的規(guī)則的增、刪、改、查操作。

（1）增加：-A鏈的末尾添加、-I鏈的制定位置添加。

（2）刪除：-D刪除一條規(guī)則、-F清空鏈內(nèi)所有規(guī)則

（3）查看：-L -n 查看規(guī)則、-L -n -V 顯示更詳細(xì)的信息、-L -n --line-number顯示規(guī)則序號(hào)。

（4）設(shè)置默認(rèn)規(guī)則：-P 鏈名 DROP或者ACCEPT

4、匹配條件：

（1）通用的匹配條件：

 -P 協(xié)議  ##常用ICMP/UDP/TCP

 -s 源地址，-d 目的地址  ##能確認(rèn)的地址

 -i 入站接口， -o 出戰(zhàn)接口  ##注意數(shù)據(jù)流向，如INPUT只能用-i

（2）隱含匹配條件：

 端口：-p 協(xié)議  --dport 目的端口 或 --sport 源端口

 ICMP類型：-p icmp --icmp-type 8請求 或 0返回 或 3網(wǎng)絡(luò)不可達(dá)

 TCP標(biāo)識(shí)：-p tcp --tcp-flags 范圍 標(biāo)記 （syn,ack,fin,rst）

（3）顯示匹配條件：

 多端口：-m multiport -p tcp或udp --dports 端口1，端口2，端口：端口

 ip地址范圍：-m --iprange --src-range ip1-ip2

 mac地址：-m mac --source-mac MAC地址

 狀態(tài)：-m state --state NEW,ESTABLISHED,RELATED (NEW新建，ESTABLISHED已經(jīng)建立連接，RELATED和已經(jīng)建立的任務(wù)已經(jīng)相關(guān))

三、企業(yè)服務(wù)器防火墻設(shè)置實(shí)戰(zhàn)：

 /etc/init.d/iptables stop  ##清空規(guī)則，包括默認(rèn)

 iptables -A INPUT -i lo -j ACCEPT  ##允許本地所有訪問

 iptables -A INPUT -p tcp -m -multiport --dports 80,443,20,21,45000:50000 -j ACCEPT  ##開放本地所有端口

 iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  ##本機(jī)可以訪問其他主機(jī)

 iptables -p INPUT DROP  ##設(shè)置INPUT的默認(rèn)規(guī)則

 iptables -p FORWARD DROP  ##禁止轉(zhuǎn)發(fā)

 /etc/init.d/iptables save  ##保存規(guī)則

 chkconfig iptables on  ##開機(jī)啟動(dòng)

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站名稱：iptables防火墻基礎(chǔ)-創(chuàng)新互聯(lián)
當(dāng)前地址：http://weahome.cn/article/desosj.html