前言
在早期的 Linux 系统中,默认使用的是 iptables 配置防火墙。尽管新型 的 firewalld 防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptables。考虑到 iptables 在当前生产环境中还具有顽强的生命力,我觉得还是有必要再好好地讲解一下这项技术。
iptables 是基于内核的防火墙,功能非常强大;iptables 内置了filter,nat和mangle三张表。所有规则配置后,立即生效,不需要重启服务。
配置文件:
/etc/sysconfig/iptables
iptables 命令基本语法
“iptables [-t table] command [链名] [条件匹配] [-j 目标动作]
command参数
指定iptables 对我们提交的规则要做什么样的操作,以下是command常用参数:
-A
Append,追加一条规则(放到最后)
举例:iptables -A INPUT -j DROP #拒绝所有人访问服务器(作为最后一条规则)
-I
Insert,在指定的位置插入规则(忽略序号,放在最前面)
举例:iptables -I INPUT 2 -s 10.0.0.10 -j DROP #拒绝10.0.0.10访问服务器(作为第二条规则)
列出所有规则:
举例:iptables -nL --line-number #带序号的规则列表
删除一条规则:
举例:iptables -D INPUT 6 #删除序号为6的一条规则
允许一个IP访问:
举例:iptables -A INPUT -s 192.168.1.1 -j ACCEPT #允许192.168.1.1访问所有协议的所有端口
允许一组IP访问:
举例:iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT #允许192.168.1.0/24网段访问所有协议的所有端口
允许访问某个端口:
举例:iptables -A INPUT -p tcp --dport 8000 -j ACCEPT #开启8000端口
允许一个IP访问某个端口:
举例:iptables -I INPUT -s 10.0.0.10 -p tcp --dport 8075 -j ACCEPT
允许一组IP访问某个端口:
举例:iptables -I INPUT -s 10.0.0.0/24 -p tcp --dport 8075 -j ACCEPT
自定义分组:
举例:iptables -N white #创建一个分组叫whit
iptables -A white -s 10.0.0.10 -j ACCEPT #在这个分组中加入10.0.0.10的允许权限
其实就是把INPUT改成自定义的分组名,常用的有whitelist,blacklist,黑白名单。
查看自定义分组的规则:
举例:iptables -nL white --line-number #带序号的white分组的规则
删除自定义分组的规则:
举例:iptables -D white 1 #带序号的white分组的规则
删除自定义分组:
举例:iptables -X #删除规则为空的自定义分组
删除所有规则:
举例:iptables -F #删除规则为空的自定义分组(慎用,万一敲了,重启,别保存)
删除自定义分组规则:
举例:iptables -F white #删除规则为空的自定义分组
保存规则:
虽然及时生效,但是重启就没了,测试正常后,保存一下。
举例:service iptables save