处理动作 处理动作在iptables中被称为target(这样说并不准确,我们暂且这样称呼),动作也可以分为基本动作和扩展动作。
此处列出一些常用的动作,之后的文章会对它们进行详细的示例与总结:
ACCEPT:允许数据包通过。
DROP:直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应。
REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。
SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。
MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。
DNAT:目标地址转换。
REDIRECT:在本机做端口映射。
LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配。
############################################################################### iptables 查看规则 #查看某个表的某个链规则 iptables -t filter -L INPUT
#查看某个表的某个链的规则,不采用地址解析 iptables -t filtre -nL INPUT
#查看某个表的某个链的规则,不采用地址解析,查看详细信息 iptables -t filter -nvL INPUT
#查看某个表的某个链的规则,不采用地址解析,查看详细信息,并显示规则编号 iptables -t filter -nvL INPUT --line
####其他表的查询也是如此 ############################################################################## iptables的增删改查 不指定表默认是filter:INPUT FORWARD OUTPUT
添加规则 iptables -I INPUT -s jack6 -j DROP (插入规则,默认在前) iptables -A INPUT -s jack6-2 -j DROP(插入规则,默认在后)
查看规则以及编号 iptables -nL INPUT --line
删除指定规则 iptables -D INPUT 1 (规则编号) 删除所有规则 iptables -F 指定表或链清除规则 iptables -t filter -F INPUT
指定规则位置,插入规则 iptables -I INPUT 2 -s jack6 -p tcp --dport 80 -j DROP
更改规则(必须跟上匹配条件,谨记) iptables -R INPUT 3 -s jack6 -p tcp --dport 80 -j REJECT 更改默认规则(默认为ACCEPT) iptables -t filter -P INPUT DROP
############################################################################### centos6的iptables防火墙规则有配置文件:/etc/sysconfig/iptables 加载服务即可更改和添加规则并生效: /etc/init.d/iptables reload
centos7的iptables不再是服务而是规则机制: 保存防火墙规则:iptables-save > /etc/sysconfig/iptables 加载防火墙规则:iptables-restore < /etc/sysconfig/iptables
注意加载防火墙规则,会覆盖之前生效的规则
centos7配置iptables #配置好yum源以后安装iptables-service # yum install -y iptables-services #停止firewalld # systemctl stop firewalld #禁止firewalld自动启动 # systemctl disable firewalld #启动iptables # systemctl start iptables #将iptables设置为开机自动启动,以后即可通过iptables-service控制iptables服务 # systemctl enable iptables
