CentOS7下iptables設定過程

2020-06-16 17:23:29

在紅帽RHEL7系統中firewalld服務取代了iptables服務，但依然可以使用iptables命令來管理核心的netfilter。

iptables命令中則常見的控制型別有：

規則鏈則依據處理封包的位置不同而進行分類：

　　PREROUTING:在進行路由選擇前處理封包

　　INPUT:處理入站的封包

　　OUTPUT:處理出站的封包

　　FORWARD:處理轉發的封包

　　POSTROUTING:在進行路由選擇後處理封包

Iptables中的規則表：

　　　　　　規則表的先後順序:raw→mangle→nat→filter

規則鏈的先後順序:

入站順序:PREROUTING→INPUT

出站順序:OUTPUT→POSTROUTING

轉發順序:PREROUTING→FORWARD→POSTROUTING

iptables的基本引數：

引數	作用
-P	設定預設策略:iptables -P INPUT (DROP\|ACCEPT)
-F	清空規則鏈
-L	檢視規則鏈
-A	在規則鏈的末尾加入新規則
-I num	在規則鏈的頭部加入新規則
-D num	刪除某一條規則
-s	匹配來源地址IP/MASK，加嘆號"!"表示除這個IP外。
-d	匹配目標地址
-i 網絡卡名稱	匹配從這塊網絡卡流入的資料
-o 網絡卡名稱	匹配從這塊網絡卡流出的資料
-p	匹配協定,如tcp,udp,icmp
--dport num	匹配目標埠號
--sport num	匹配來源埠號

範例：iptables的filter的設定：

--關閉firewall：

[root@localhost ~]# systemctl stop firewalld.service #停止firewall
[root@localhost ~]# systemctl disable firewalld.service #禁止firewall開機啟動

--安裝安裝iptables防火牆

[root@localhost ~]# yum install iptables-services #安裝

--清空已有的規則：

iptables -F
iptables -X
iptables -Z

--設定允許SSH登陸埠進入

iptables -A INPUT -p tcp -s 192.168.0.0/24 -j ACCEPT

--允許所有的ping操作

iptables -A INPUT -p tcp -s 192.168.0.0/24 -j ACCEPT

--允許本機lo通訊

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

--設定預設的存取規則

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

--允許關聯??狀態包通過

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

--開放特定的埠，以80為例

iptables -A INPUT -p tcp --dport 80 -j ACCEP

--儲存設定

service iptables save

--重新啟動

systemctl restart iptables.service

--設定開機自啟動

 systemctl enable iptables.service

更多iptables相關教學見以下內容：

iptables的備份、恢復及防火牆指令碼的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm