iptables的4表5链的处理流程
一:业务地址请求服务时,首先经过iptables服务,iptables通过校验规则,通过校验是否同意业务访问,规则从上到下,匹配规则都失败了的话,走默认规则
(1)Accept 允许通过访问
(2)DROP 拒绝服务
二:iptables的4表5链
1.filter表(过滤器的意思)安全组
2.nat表
3.raw表
4.mangle表
伍链
INPUT (防火墙规则,控制请求能否访问服务)
OUTPUT (请求完服务出去)
FORWARD (路过)
PREROUTING (请求到达这个服务之前)
POSTROUTING (数据包离开防火墙)
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state
iptables -nL 查看filter表的规则
iptables -t nat -nL 查看nat表的规则
实际操作
1.创建一个规则,禁止192.168.21.131这个源地址访问目的主机
iptables -t filter -I INPUT -s 192.168.21.131 -j DROP
删除第一条规则
iptables -D INPUT 1
返回无法到达
iptables -t filter -I INPUT -s 192.168.21.131 -j REJECT
禁止某个IP访问某个端口
iptables -t filter -I INPUT -s 192.168.21.131 -p tcp --dport 22 -j DROP
允许192.168.21.131通过访问
iptables -t filter -I INPUT ! -s 192.168.21.131 -j DROP
禁止ping
禁止某个IP的ping
iptables -t filter -I INPUT -s 192.168.21.131 -p icmp -j DROP
禁止所有的ping
iptables -t filter -I INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dport 80,433 -j ACCEPT
iptables -A INPUT -s 192.168.21.0/24 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP