Centos防火墙iptables详解

　　在计算机网络技术飞速发展的今天,网络安全问题日益突出,防火墙技术也越来越受到人们关注。在一些信息敏感场所,需要自行设计与开发符合特定需求的防火墙系统。下面是學習啦小編收集整理的Centos防火墙iptables详解，希望對大家有幫助~~

　　Centos防火墙iptables详解

　　方法/步骤

　　Centos防火墙iptables是在kernel层实现的，工作在2至4层，iptables根本就没有服务，我们经常在系统中使用的命令servie iptables只是客户端的一个脚本或者工具，只是告诉kernel帮忙加个参数修改参数等交互，再次强调iptables没有服务的概念。

　　普通用户是不能用Ping命令的

　　当我们使用命令su – testing,从超级用户切换到普通用户testing的时候，通过id可以看到已经切换到普通用户，普通用户是没有权限执行ping命令，但实际是可以的，如下图箭头所指的地方，用户权限这里增加s的意思是任何用户在执行ping命令的时候进行身份切换用该文件的宿主权限执行，也就是超级用户。

　　包进入防火墙处理过程

　　PREROUTING:数据包进入路由表之前的状态，当进入路由表后，发现目的地不在本地的时候进入转发状态FOWARDING，通过命令查看head /etc/sysctl.conf可以发现箭头2的位置net.ipv4.ip.forward=0,设置为0的意思是发现目的地不在本地的时候直接丢弃，不再转发包，设置为1的时候目的地不在本地的时候进行转发。

　　Iptables有3张表，分别是filter表、nat表、mangle表，filter是做包过滤的，nat是做地址转换的，mangel是给第3方做开发的。Filter过滤表可以对INPUT、OUTPUT、FORWARD进行过滤。在检查点input这个地方是对进入本地的数据包进行检查，在检查点output这个地方是本地要发出的数据包进行检查，在检查点forward这个地方是当数据包进入路由表后，发现目的地不在本地的时候需要转发的数据包进行检查。Iptables –t filter -A INPUT –s 10.0.0.1/24 –j DROP,指定对filter表进行过滤，默认类型就是-t filter，可以不写，-A是追加的意思，-s是源为10.0.0.0/24的包进行drop。

　　删除iptables条目，通过iptables –L查看iptables条目，看到有多条重复的Iptables条目，我们可以通过iptables -D INPUT –s 10.0.0.1/24 –j DROP进行删除一个条目，通过iptables –L再次查看，发现iptables条目已经成功删除了。

　　由于iptables条目都是从上往下逐条匹配，一旦匹配就不会往下匹配，当我们增加一条规则的时候，是放在规则的最下面，很可能还没有匹配到想要的条目是就已经被其他条目匹配上，为了避免出现这种情况，我们可以用iptables –F先清空iptables规则表现，再次通过iptables –L发现刚刚建立的规则已经清空了，可以建立自己新建的规则了，我们还需要保存刚刚建立的iptables规则，否则下次重启后，所有建立的规则都没有保存，通过service iptables save永久保存iptables规则条目。当我们想要通过端口号进行精确设置iptables条目，又记不清端口号，我们可以通过命令vim /etc/services进入配置文件，可以查看需要的端口号。