Linux系統中如何使用iptables工具管理防火墻，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

讓客戶滿意是我們工作的目標，不斷超越客戶的期望值來自于我們對這個行業的熱愛。我們立志把好的技術通過有效、簡單的方式提供給客戶，將通過不懈努力成為客戶在信息化領域值得信任、有價值的長期合作伙伴，公司提供的服務項目有：國際域名空間、虛擬空間、營銷軟件、網站建設、蘭陵網站維護、網站推廣。

隨著企業中使用Linux系統的增加，保證Linux系統安全成為運維人員的必備技能之一。

Linux系統本身有很強大的防護措施：防火墻。那么如何管理防火墻就成為重中之重。

隨著CentOS 7、CentOS 8的出現，越來越多的人喜歡使用firewalld工具來管理防火墻。因為它不僅可以通過命令行設置，也可以通過圖形化設置。關于使用firewalld工具管理Linux防火墻，可參考保證Linux系統安全之使用firewalld工具管理防火墻

下面我們主要介紹iptables工具管理防火墻。

iptables概述：

提到iptables，那么就不得不說一下四表五鏈、執行的動作。

四表分別是：

• raw：高級功能，如：網址過濾；

• mangle：數據包修改（QOS），用于實現服務質量；

• net：地址轉換，用于網關路由器；

• filter：包過濾，用于防火墻規則；

五鏈分別是：

• INPUT鏈：處理輸入數據包；

• OUTPUT鏈：處理輸出數據包；

• PORWARD鏈：處理轉發數據包；

• PREROUTING鏈：用于目標地址轉換（DNAT）；

• POSTOUTING鏈：用于源地址轉換（SNAT）；

執行的動作分別是：

• accept：接收數據包；

• DROP：丟棄數據包；

• REDIRECT：重定向、映射、透明代理；

• SNAT：源地址轉換；

• DNAT：目標地址轉換；

• MASQUERADE：IP偽裝（NAT），用于ADSL；

• LOG：日志記錄；

iptables命令常用的選項有：

• -t<表>：指定要操縱的表；

• -A：向規則鏈中添加條目；

• -D：從規則鏈中刪除條目；

• -i：向規則鏈中插入條目；

• -R：替換規則鏈中的條目；

• -L：顯示規則鏈中已有的條目；

• -F：清楚規則鏈中已有的條目；

• -Z：清空規則鏈中的數據包計算器和字節計數器；

• -N：創建新的用戶自定義規則鏈；

• -P：定義規則鏈中的默認目標；

• -h：顯示幫助信息；

• -p：指定要匹配的數據包協議類型；

• -s：指定要匹配的數據包源ip地址；

• -j<目標>：指定要跳轉的目標；

• -i<網絡接口>：指定數據包進入本機的網絡接口；

• -o<網絡接口>：指定數據包要離開本機所使用的網絡接口；

iptables命令選項輸入順序：

iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網卡名> -p 協議名 <-s 源IP/源子網> --sport 源端口 <-d 目標IP/目標子網> --dport 目標端口 -j 動作

iptables命令示例：

[root@localhost ~]#iptables -F               // 清空所有的防火墻規則
[root@localhost ~]#iptables -F INPUT    //清空指定鏈 INPUT 上面的所有規則
[root@localhost ~]#iptables -X               // 刪除用戶自定義的空鏈
[root@localhost ~]#iptables -Z               //清空計數
[root@localhost ~]#iptables -P INPUT DROP              //配置默認的不讓進
[root@localhost ~]#iptables -P FORWARD DROP        //默認的不允許轉發
[root@localhost ~]#iptables -P OUTPUT ACCEPT        //默認的可以出去
將INPUT規則鏈設置為只允許指定網段的主機訪問本機的22端口，拒絕來自其他所有主機的流量：
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p tcp  --dport 22 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 22 -j REJECT
[root@localhost ~]# iptables-save                //保存配置
如果我只允許192.168.1.100和192.168.1.110 的PING命令，應該怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p icmp -j DROP
如果我只允許192.168.1.0/24網段的，但拒絕192.168.1.100和192.168.1.110 的PING命令，應該怎么添加
[root@localhost ~]# iptables -I INPUT -s 192.168.1.0/24 -p icmp -j ACCEPT
[root@localhost ~]# iptables -I INPUT -s 192.168.1.100 -p icmp -j DROP 
[root@localhost ~]# iptables -I INPUT -s 192.168.1.110 -p icmp -j DROP
向INPUT規則鏈中添加拒絕所有人訪問本機12345端口的策略規則
[root@localhost ~]# iptables -I INPUT -p tcp --dport 12345  -j REJECT
[root@localhost ~]# iptables -I INPUT -p UDP --dport 12345  -j REJECT
向INPUT規則鏈中添加拒絕所有主機訪問本機1000～1024端口的策略規則
[root@localhost ~]# iptables -A INPUT -p tcp --dport 1000:1024 -j REJECT
[root@localhost ~]# iptables -A INPUT -p UDp --dport 1000:1024 -j REJECT

注意：iptables工具檢查策略時按照：從上到下，找到即停，如果沒有找到則執行默認的策略！所以在添加規則時，應注意策略的添加順序！

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注創新互聯行業資訊頻道，感謝您對創新互聯的支持。

另外有需要云服務器可以了解下創新互聯cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業上云的綜合解決方案，具有“安全穩定、簡單易用、服務可用性高、性價比高”等特點與優勢，專為企業上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

分享文章：Linux系統中如何使用iptables工具管理防火墻-創新互聯
鏈接URL：http://vcdvsql.cn/article40/csieho.html

成都網站建設公司_創新互聯，為您提供網站營銷、用戶體驗、關鍵詞優化、標簽優化、企業建站、App設計

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯