linux中如何iptables
第一个里程:确认filter表中所有链默认策略
链上默认规则为允许: 配置了黑名单功能 连上默认规则为阻止: 配置了白名单功能
第二个里程: 按照流程配置防火墙规则信息(INPUT链配置)
在配置防火墙之前先做一个定时任务重启防火墙服务,防止配置错误把自己挡在防火墙外面(配置的防火墙规则会立即生效)
crontab -e */15 * * * * systemctl restart iptables.service 服务重启所配置的规则会清楚
iptables -A INPUT -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT ---指定一个而网段的ip可以从22端口访问 iptables -P INPUT DROP ---配置默认的流量进入拒绝规则 iptables -P FORWARD DROP ---配置默认的流量拒绝经过防火墙 iptables -P OUTPUT ACCEPT ---配置默认的流量出去允许规则
设置换回接口可以进行通讯 逻辑接口: loopback 01. 系统中作用: 可以自己ping自己网卡地址 02. 在网络环境: 可以作为管理接口进行远程连接使用 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT 上面默认出去流量为允许,这里不用配置
允许访问的白名单主机地址信息
iptables -A INPUT -s 124.43.62.96/27 -p all -j ACCEPT ---允许124.43.62.96这个ip的所有端口 iptables -A INPUT -p tcp --dport 80 -j ACCEPT ---允许其他主机访问80端口 iptables -A INPUT -p tcp --dport 443 -j ACCEPT ---允许其他主机访问443端口
第三个里程: 保存配置信息
iptable命令配置防火墙策略信息时, 是临时配置, 防火墙服务重启或者系统重启, 所有配置失效 如何永久保留配置信息: 方法一: centos6 /etc/init.d/iptables save 方法二: iptables-save > /etc/sysconfig/iptables 方法三: 直接编写配置文件 /etc/sysconfig/iptables
