Centos防火墙iptables详解
在计算机网络技术飞速发展的今天,网络安全问题日益突出,防火墙技术也越来越受到人们关注。在一些信息敏感场所,需要自行设计与开发符合特定需求的防火墙系统。下面是學習啦小編收集整理的Centos防火墙iptables详解,希望對大家有幫助~~
Centos防火墙iptables详解
方法/步骤
Centos防火墙iptables是在kernel层实现的,工作在2至4层,iptables根本就没有服务,我们经常在系统中使用的命令servie iptables只是客户端的一个脚本或者工具,只是告诉kernel帮忙加个参数修改参数等交互,再次强调iptables没有服务的概念。
普通用户是不能用Ping命令的
当我们使用命令su – testing,从超级用户切换到普通用户testing的时候,通过id可以看到已经切换到普通用户,普通用户是没有权限执行ping命令,但实际是可以的,如下图箭头所指的地方,用户权限这里增加s的意思是任何用户在执行ping命令的时候进行身份切换用该文件的宿主权限执行,也就是超级用户。
包进入防火墙处理过程
PREROUTING:数据包进入路由表之前的状态,当进入路由表后,发现目的地不在本地的时候进入转发状态FOWARDING,通过命令查看head /etc/sysctl.conf可以发现箭头2的位置net.ipv4.ip.forward=0,设置为0的意思是发现目的地不在本地的时候直接丢弃,不再转发包,设置为1的时候目的地不在本地的时候进行转发。
Iptables有3张表,分别是filter表、nat表、mangle表,filter是做包过滤的,nat是做地址转换的,mangel是给第3方做开发的。Filter过滤表可以对INPUT、OUTPUT、FORWARD进行过滤。在检查点input这个地方是对进入本地的数据包进行检查,在检查点output这个地方是本地要发出的数据包进行检查,在检查点forward这个地方是当数据包进入路由表后,发现目的地不在本地的时候需要转发的数据包进行检查。Iptables –t filter -A INPUT –s 10.0.0.1/24 –j DROP,指定对filter表进行过滤,默认类型就是-t filter,可以不写,-A是追加的意思,-s是源为10.0.0.0/24的包进行drop。
删除iptables条目,通过iptables –L查看iptables条目,看到有多条重复的Iptables条目,我们可以通过iptables -D INPUT –s 10.0.0.1/24 –j DROP进行删除一个条目,通过iptables –L再次查看,发现iptables条目已经成功删除了。
由于iptables条目都是从上往下逐条匹配,一旦匹配就不会往下匹配,当我们增加一条规则的时候,是放在规则的最下面,很可能还没有匹配到想要的条目是就已经被其他条目匹配上,为了避免出现这种情况,我们可以用iptables –F先清空iptables规则表现,再次通过iptables –L发现刚刚建立的规则已经清空了,可以建立自己新建的规则了,我们还需要保存刚刚建立的iptables规则,否则下次重启后,所有建立的规则都没有保存,通过service iptables save永久保存iptables规则条目。当我们想要通过端口号进行精确设置iptables条目,又记不清端口号,我们可以通过命令vim /etc/services进入配置文件,可以查看需要的端口号。
Linux防火墙的配置方法相关文章: