Linux——防火墙管理工具

本节着重讲解iptables
操作系统：centos7

一、iptables

iptables是一款基于命令行的防火墙管理工具，也是RHEL6之前的工具。

by XiaoGua

可以根据流量的源地址，目的地址，传输协议，服务类型等信息进行匹配。

1、iptables的常用参数及作用

-P：设置默认策略
-F: 清空规则链
-L：查看规则链
-I num：在规则链头部加入新规则
-A:在规则末尾加入新规则
-D num:删除某一条规则
-p:匹配协议，如TCP,UDP,ICMP
-s:匹配来自源地址IP/MASK，加！表示出这个IP之外
--dport num:匹配目标端口号
1)、查看已有的防火墙链
iptables -L

by XiaoGua

2)、清空已有的防火墙规则链
iptables -F
然后查看 iptables -L

by XiaoGua
3)、把input规则链的默认策略设置为拒绝
iptables -P input drop
by XiaoGua
4)、向INPUT链中添加允许ICMP流量进入的策略规则
iptables -I INPUT -p
by XiaoGua
ping 10.13.8.9
by XiaoGua
5)、删除INPUT规则链中刚刚加入的那条策略（允许ICMP流量），并把默认策略设置为允许
iptables -D INPUT 1//删除新加的策略
iptables -P INPUT ACCEPT//修改默认策略为ACCEPT
iptables -L //查看修改情况
by XiaoGua

6)、将INPUT规则链设置为只允许指定网段的主机访问本机的22端口，拒绝来自其他所有的主机的流量
iptables -I INPUT　-s 10.130.8.9 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp INPUT ACCEPT

by XiaoGua
放火墙规则是按照从上到下的顺序匹配，因此一定是接受放在拒绝前面，否则导致任何主机都无法访问我们的服务。
7)、向INPUT规则链中添加拒绝所有人访问本机12345端口的策略规则
by XiaoGua
8)、向INPUT规则链中添加10.130.8.8 主机访问本机80端口（Web服务）的策略规则
iptables -I INPUT　-p tcp -s 10.130.8.8 --dport 80 -j REJECT
iptables -L
by XiaoGua
9)、向INPUT规则链中添加拒绝所有主机访问本机1000-1024端口规则
iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
iptables -A INPUT -p udp --dport 1000:1024 -j REJECT
iptables -L
by XiaoGua
使用iptables命令配置的防火墙规则默认会在系统下一次重启时失效，如果想让配置的防火墙策略永久生效，还要执行保存命令：
service　iptables save