linux防墙iptables详细介绍、配置方法与案例

Linux防墙iptables详细介绍、配置方法与案例

iptables简介

iptables是Linux系统中的一个防火墙工具，它可以实现对网络数据包的过滤、转发和NAT等功能，iptables工作在内核层面，因此具有较高的性能和安全性，iptables支持多种表（table）和链（chain），用户可以通过配置不同的表和链来实现对网络数据包的不同处理。

iptables基本概念

1、表（Table）：iptables中的数据结构，用于存储规则，常见的表有：filter表（默认表）、nat表、mangle表、raw表和security表。

2、链（Chain）：表中的数据处理逻辑，用于实现对数据包的处理，常见的链有：INPUT链（处理进入本机的数据包）、OUTPUT链（处理本机发出的数据包）、FORWARD链（处理经过本机的数据包）和PREROUTING链（处理路由之前的数据包）。

3、规则（Rule）：链中的一条具体指令，用于描述如何处理数据包，规则由匹配条件和目标动作组成。

iptables配置方法

1、查看当前iptables规则：

sudo iptables -L -n -v

2、清空当前iptables规则：

sudo iptables -F

3、设置默认策略：

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

4、允许来自特定IP的数据包：

sudo iptables -A INPUT -s IP地址 -j ACCEPT

5、禁止来自特定IP的数据包：

sudo iptables -A INPUT -s IP地址 -j DROP

6、允许本机访问特定端口：

sudo iptables -A INPUT -p tcp --dport 端口号 -j ACCEPT

7、禁止本机访问特定端口：

sudo iptables -A INPUT -p tcp --dport 端口号 -j DROP

iptables案例

假设我们需要实现以下需求：允许本机访问外部网络，但禁止外部网络访问本机的22端口（SSH服务），我们可以按照以下步骤进行配置：

1、允许所有数据包通过：

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

2、禁止外部网络访问本机的22端口：

sudo iptables -A INPUT -p tcp --dport 22 -j DROP

相关问题与解答

问题1：如何查看当前系统中已安装的防火墙软件？

答案：可以使用以下命令查看当前系统中已安装的防火墙软件：rpm -qa | grep firewall，如果输出结果为空，则表示系统中没有安装防火墙软件，如果输出结果包含firewalld、iptables等关键词，则表示系统中安装了相应的防火墙软件。

问题2：如何在iptables中添加一条新规则？

答案：可以使用以下命令添加一条新规则：sudo iptables -A chain名称 rule编号 -p 协议类型 --dport 端口号 -j target动作，chain名称表示要添加到的链的名称，rule编号表示该规则在链中的序号，协议类型表示数据包使用的协议，端口号表示要限制的端口，target动作表示对该数据包的处理方式，要添加一条允许本机访问外部网络的新规则，可以使用以下命令：sudo iptables -A INPUT -p tcp --dport any -j ACCEPT。