在线介绍一些基本的命令参数,好在對於日常的防火墻


 iptables是一款基於命令行的防火墻策略管理工具,具有大量參數,學習難度較大。好在對於日常的防火墻策略配置來講,大家無需深入了解諸如“四表五鏈”的理論概念,只需要掌握常用的參數並做到靈活搭配即可,這就足以應對日常工作了。

 iptables命令可以根據流量的源地址、目的地址、傳輸協議、服務類型等信息進行匹配,一旦匹配成功,iptables就會根據策略規則所預設的動作來處理這些流量。另外,再次提醒一下,防火墻策略規則的匹配順序是從上至下的,因此要把較為嚴格、優先級較高的策略規則放到前面,以免發生錯誤。表8-1總結歸納了常用的iptables命令參數。再次強調,我們無需死記硬背這些參數,只需借助下面的實驗來理解掌握即可。

 如前面所提到的防火墻策略設置無非有兩種方式,一種是“通”,一種是“堵”,當把INPUT鏈設置為默認拒絕後,就要往裏面寫入允許策略了,否則所有流入的數據包都會被默認拒絕掉,同學們需要留意規則鏈的默認策略拒絕動作只能是DROP,而不能是reject。

 向INPUT鏈中添加允許ICMP流量進入的策略規則:

 在日常運維工作中,經常會使用ping命令來檢查對方主機是否在線,而向防火墻的INPUT規則鏈中添加一條允許ICMP流量進入的策略規則就默認允許了這種ping命令檢測行為。

 再次重申,防火墻策略規則是按照從上到下的順序匹配的,因此一定要把允許動作放到拒絕動作前面,否則所有的流量就將被拒絕掉,從而導致任何主機都無法訪問我們的服務。另外,這裏提到的22號端口是ssh服務使用的(有關ssh服務,請見下一章),劉遄老師先在這裏挖坑,等大家學完第9章後可再驗證這個實驗的效果。

 在設置完上述INPUT規則鏈之後,我們使用ip地址在192.168.10.0/24網段內的主機訪問服務器(即前面提到的設置了INPUT規則鏈的主機)的22端口。

 有關iptables命令的知識講解到此就結束了,大家是不是意猶未盡?考慮到Linux防火墻的發展趨勢,大家只要能把上面的實例吸收消化,就可以完全搞定日常的iptables配置工作了。但是請特別註意,使用iptables命令配置的防火墻規則默認會在系統下一次重啟時失效,如果想讓配置的防火墻策略永久生效,還要執行保存命令。

相关内容