扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
一、3表5链
创新互联公司专注为客户提供全方位的互联网综合服务,包含不限于做网站、成都网站制作、浦口网络推广、小程序设计、浦口网络营销、浦口企业策划、浦口品牌公关、搜索引擎seo、人物专访、企业宣传片、企业代运营等,从售前售中售后,我们都将竭诚为您服务,您的肯定,是我们大的嘉奖;创新互联公司为所有大学生创业者提供浦口建站搭建服务,24小时服务热线:18982081108,官方网址:www.cdcxhl.com4表(规则表):Filter、NAT、Mangle、Raw
filter: 数据包过滤
nat: 网络地址转换
mangle: 为数据包设置标签
raw: 对数据包进行状态跟踪
5链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
input: 发往本地运行的守护程序的数据包
forward: 来自远程主机,发往远程主机的数据包
output: 发源于本地运行的守护程序的数据包
Filter表(默认):INPUT、OUTPUT、FORWARD
NAT表:PREROUTING、POSTROUTING、OUTPUT
Mangle(破坏者):早期仅有PREROUTING及OUTPUT链,从kernel 2.4.18之后加入INPUT及FORWARD链
二、iptables语法
1、规则的查看与清除
iptables [-t table] [-L] [-nv]
-t :后接table,比如nat或filter,默认为filter
-L :列出table的规则
-n :不进行IP与HOSTNAME反查
-v :列出更多信息
2、列出完整防火墙规则
iptables-save [-t table]
3、清除规则
iptables [-t table] [-FXZ]
-F :清除所有的已制定的规则
-Z :清除掉所有自定义的tables
-X :将所有的chain的计数与流量统计都归零
4、定义默认的策略(policy)
iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP]
5、针对IP、网络及接口设备的设置
iptables [-AI 链名] [-io 网络接口] [-p 协议] [-s 来源IP/网络] [-d 目标IP/网络]
-j [ACCEPT|DROP|REJECT|LOG]
-A :新增一条规则
-I ;插入一条规则
-i :数据包进入的网络接口,如eth0,lo等。需与INPUT链结合
-o :数据包出去的网络接口,需与OUTPUT链结合
-p :协议
6、针对端口的设置
iptables [-AI 链] [-io 接口] [-p tcp,udp] [-s 来源IP/网络] [--sport 端口范围]
[-d 目标IP/网络] [--dport 端口范围] -j [ACCEPT|DROP|REJECT|LOG]
7、iptables外挂模块:mac与state
iptables -A INPUT [-m state] [--state 状态]
-m :iptables的外挂模块
state :状态模块
mac :网卡硬件地址
--mac-source :来源主机mac
--state :一些数据包的状态
INVALID :无效数据包
ESTABLISHED :已经连接成功的连接状态
NEW :新建立连接的数据包状态
RELATED :数据包是与主机发送出去的数据包有关
8、针对ICMP数据包规则设置
iptables -A INPUT [-p icmp] [--icmp-type 类型] -j ACCEPT
9、规则保存
/etc/init.d/iptables save
10、IPV4的内核管理功能:/proc/sys/net/ipv4/*
1)/proc/sys/net/ipv4/tcp_syncookies(阻挡SYN Flooding)
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
2)/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
3)/proc/sys/net/ipv4/conf/网络接口/*
rp_filter:逆向路径过滤
log_martians:记录不合法的IP来源
注:可以修改系统设置,即/etc/sysctl.conf
vi /etc/sysctl.conf
……
sysctl -P
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流