iptables防火墙

iptables防火墙

• 防火墙优先级
• 防火墙的几种策略

• 保存防火墙策略--配置完必须执行!!!
• 
  

防火墙优先级

iptables优先级最高，是内核级别的

firewalld 防火墙策略次之

tcpd服务器配置文件优先级最低

防火墙的几种策略

ACCEPT

放行

REJECT

拒绝

DROP

丢包，
直接删除流量，不给处任何响应

LOG

记录日志

iptanbles的表和链

显示当前已有的所有防火墙策略

# 显示所有当前已有的防火墙策略
iptables -L
或
iptables -L -n

清空现有的所有策略

# 清空现有的所有策略
iptables -F

配置防火墙的默认策略

• 默认拒绝所有，只添加允许策略
• 默认允许所有，只添加拒绝策略

设置默认拒绝策略，添加允许策略

1设置默认拒绝策略

# 先清空现有的所有策略
iptables -F

# 设置默认拒绝策略，会丢包不响应
iptables -P INPUT DROP
## 这里是固定写法，不能用REJECT，会报错

2添加允许策略

# 添加允许指定ip指定协议 策略，立即生效
## iptables -I INPUT -s 允许的ip -p 允许的协议名称 -j(下个请求生效) ACCEPT
iptables -I INPUT -s 192.168.10.1 -p icmp -j ACCEPT

# 添加允许指定ip指定端口 策略，立即生效
iptables -I INPUT -s 192.168.10.1 -p tcp --dport 22 -j ACCEPT

设置默认允许策略，添加拒绝策略

1设置默认允许策略

# 先清空现有的所有策略
iptables -F

# 设置默认允许策略
iptables -P INPUT ACCEPT

2添加拒绝策略

# 拒绝 指定ip 指定协议 ，立即生效
iptables -I INPUT -s 192.168.10.1 -p icmp -j REJECT

# 拒绝 指定ip 指定端口号 ，立即生效
iptables -I INPUT -s 192.168.10.1 -p tcp --dport 22 -j REJECT

## 拒绝 指定望断 指定端口号段 ,立即生效
iptables -I INPUT -s 192.168.0.0/24 -p tcp --dport 1000:1500 -j REJECT

保存防火墙策略–配置完必须执行!!!

# 保存防火墙策略
service iptables save