iptables 延时 iptables 规则

转载

mob64ca1414c613 2024-02-22 15:07:03

文章标签 iptables 延时 linux 服务器网络运维 文章分类 云原生云计算

一、iptables

iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器，则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

二、iptables策略与规则链

1.策略

防火墙的策略规则是由上到下的顺序来进行匹配，当在规则库中找到相应的策略后就会立即执行策略中所制定的行为。（即允许或拒绝）
如若未匹配到相应的策略则会执行默认策略，所以比较重要的策略一定要放在最前面，前提是下面的策略不能和上面的策略存在冲突。
当默认规则是允许时，那么就需要设定相应的拒绝策略，否则什么流量都将能够进入，同理当默认规则是拒绝时，就要设定相应的允许策略，否则什么流量都不能进入。

2.规则链

iptables将策略设定为规则，多条规则组成一个规则链，并且将处理不同类型的规则链进行分类：
处理路由选择前的数据包为（PREROUTING）
处理路由选择后的数据包为（POSTROUTING）
处理流入的数据包为（INPUT）
处理流出的数据包为（OUTPUT）
处理转发的数据包为（FORWARO）
在Linux中默认的iptables规则链库中设定了处理流入、处理流出、处理转发。
通常内网出去的流量都是都是可控的，但是外网进入的流量是不可控的，可能会存在一些攻击流量的进入。

3.动作

在设定策略的时候会有4种动作：允许、拒绝、记录、丢弃，这些在iptables中对于的就是：ACCEPT（允许）、REJECT（拒绝）、LOG（记录）、DROP（丢弃）

从字面上来理解，允许与记录都比较好理解，但是拒绝与丢弃可能会存在一些理解上的问题，拒绝其实就是当匹配上策略后，拒绝流量进入并返回拒绝的信息，而丢弃是当匹配上策略的时候，直接把流量丢弃掉并且不会回复任何的信息，这样在有外来侵入的时候外来者比较难判断是设备不在线还是被拒绝了，间接性的隐藏了服务器的运行状态。

需要注意的是，在配置默认规则动作时，默认的只能配置DROP（丢弃）无法配置REJECT（拒绝）。

如下图：

DROP（丢弃）

iptables 延时 iptables 规则_iptables 延时

REJECT（拒绝）

iptables 延时 iptables 规则_linux_02

三、iptables的命令参数

参数	作用
-P	设置默认策略
-F	清空规则链
-L	查看规则链
-A num	在规则链的末尾加入新规则
-I num	在规则链的头部加入新规则
-D num	删除某一条规则
-s	匹配源IP/MASK，加“！”表示除了这个IP以外
-d	匹配目的地址
-i 网卡名称	匹配从此块网卡进入的流量
-o 网卡名称	匹配从此块网卡出去的流量
-p（小p）	匹配协议，如TCP
–dport num	匹配目的端口号
– sport num	匹配源端口号
-j	设定规则动作