中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Iptables防火墻基本匹配條件是什么

發布時間:2022-08-10 16:41:56 來源:億速云 閱讀:147 作者:iii 欄目:開發技術

本篇內容主要講解“Iptables防火墻基本匹配條件是什么”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“Iptables防火墻基本匹配條件是什么”吧!

引言

@[TOC] 應用匹配條件時,經常會用到以下幾個參數。

  • -p:指定要操作的協議類型,不指定-p參數聲明是那種協議,默認是all,也就是所有協議。

  • -s:指定源地址。

  • -d:指定目標地址。

  • --sport:指定源端口.

  • --dport:指定目標端口。

  • -i:指定從哪個網卡進入的報文。

  • -o:指定從哪個網卡出去的報文。

  • -m

  • -j:指定策略的動作。

基本匹配條件案例一

**需求:**

僅允許 192.168.20.21 訪問 192.168.20.20 的80端口,其余的來源客戶端都拒絕訪問。

明確需求后,下面來分析應該如何實現。

這條需求分包含兩種不同的條件,首先是允許192.168.20.21訪問目標端口,然后是拒絕其他所有的客戶端訪問。

  • 首先來思考允許的條件如何實現:

1、允許某個來源訪問本機的特定服務,這種訪問屬于數據的流入,那么就會經過PREROUTING和INPUT兩個鏈,允許或者拒絕這些操作都是在filter表實現的,PREROUTING鏈沒有filter,因此首先就可以得出結論,這條規則會在INPUT鏈的filter表中進行添加。

2、允許192.168.20.21這個地址,那么就需要指定來源的IP,然后根據來源IP的請求,還需要指定目標端的地址。

3、限制來源地址僅訪問本機的某個服務,那么就需要指定服務具體的協議以及端口號。

4、最后指定匹配完這些條件后,執行的動作,也就是ACCEPT。

  • 然后來思考拒絕的條件如何實現:

1、首先明確拒絕其余來源訪問本機的某個服務,那么一定是在INPUT鏈的filter表中添加具體的規則。

2、最后聲明拒絕其他的來源地址。

注意:由于不是全部拒絕,還有一個來源地址192.168.20.21是允許訪問TCP的80端口的,因此在寫入拒絕規則時,不能在使用-I參數添加到表的最頂端,應該通過-A參數添加到表的最后一行,追加進去。

1)實現該需求的防火墻規則如下

1.允許192.168.20.21訪問192.168.20.20的80端口
[root@jxl-1 ~]# iptables -t filter -I INPUT -s 192.168.20.21 -d 192.168.20.20 -p tcp --dport 80 -j ACCEPT
2.拒絕其余來源IP訪問本機的80端口
[root@jxl-1 ~]# iptables -t filter -A INPUT -p tcp --dport 80 -j DROP

注意第二條拒絕所有的時候一定要使用-A參數追加到最后一行,否則所有的來源都將不可訪問。

2)查看設置的防火墻規則

INPUT鏈中一共有2條規則,第一條規則的動作是允許,允許192.168.20.21訪問192.168.20.20的tcp 80端口,第二條規則的動作是拒絕,拒絕全部IP訪問本機的80端口。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 9483 packets, 17M bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       192.168.20.21        192.168.20.20        tcp dpt:80
2        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 9619 packets, 15M bytes)
num   pkts bytes target     prot opt in     out     source               destination

3)測試結果

只有來源地址為192.168.20.21的IP,才能訪問到192.168.20.20的TCP 80端口的服務。

Iptables防火墻基本匹配條件是什么

基本匹配條件案例二

**需求:**由本機發出的TCP協議的報文都允許,發出的其他協議報文都拒絕。

明確需求后,下面來分析應該如何實現,和案例一類似,分為兩種規則,一是允許某一個協議,二是拒絕其余所有的協議。

首先要明確在哪一個鏈的哪一個表中添加Iptables防火墻規則,看需求中的關鍵字“由本機發出”,由本機發出都需要經過POSTROUTING和OUTPUT鏈,這種過濾規則一定會在OUPUT鏈進行添加,引起POSTROUTING鏈沒有filter表。

明確完再哪一張表和哪一個鏈添加規則后,就非常容易了。

1)先來添加允許TCP協議報文流出的Iptables防火墻規則。

2)然后來添加拒絕剩余的其他報文,一定要將拒絕的規則添加在允許規則的下面,否則允許的規則將永不生效。

可以先將之前添加的規則清空,以免受到干擾。

[root@jxl-1 ~]# iptables -t filter -F

1)實現該需求的防火墻規則如下

1.允許本機的TCP協議報文流出
[root@jxl-1 ~]# iptables -t filter -I OUTPUT -p tcp -j ACCEPT
2.拒絕本機所有協議報文流出
[root@jxl-1 ~]# iptables -t filter -A OUTPUT -p all -j DROP

2)查看設置的防火墻規則

在OUTPUT鏈可以看到兩條規則,第一條規則允許TCP協議報文流出,第二條規則拒絕所有協議的報文流出。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 5138 packets, 8863K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     6703   10M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
2        1    76 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

3)測試結果

由于拒絕了除TCP協議以外的所有協議,因此再使用ICMP協議時就產生了拒絕的現象,但是使用TCP協議就沒有任何影響。

Iptables防火墻基本匹配條件是什么

基本匹配條件案例三

需求: 禁止其他主機從ens192發送來的ping請求。

首先來進行分析,案例三就非常簡單了,只有一種條件,那就是禁止其他的主機從本機的ens192網卡發送來的數據報文,從字面意思可以清楚的知道這是一條數據流入的規則。

那么一定是在INPUT鏈的filter表添加相應的規則策略。

1)實現該需求的防火墻規則如下

[root@jxl-1 ~]# iptables -t filter -I INPUT -i ens192 -p icmp -j DROP

2)查看設置的防火墻規則

在INPUT鏈中已經添加上了這條規則,凡是來自ens192網卡并且協議是icmp的報文都會被拒絕。

[root@jxl-1 ~]# iptables -L -n -v --line-number
Chain INPUT (policy ACCEPT 2680 packets, 4308K bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       icmp --  ens192 *       0.0.0.0/0            0.0.0.0/0           
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
Chain OUTPUT (policy ACCEPT 2752 packets, 4004K bytes)
num   pkts bytes target     prot opt in     out     source               destination

3)測試結果

在其他主機ping防火墻主機的ens192網卡,發現不通,但是ens224網卡就通。

Iptables防火墻基本匹配條件是什么

拒絕所有協議進入本機的規則配置

iptables -t filter INPUT -j DROP

--dport參數聲明多個連續的端口號

--dport 20:22
表示20-22三個端口都可以進行匹配。

到此,相信大家對“Iptables防火墻基本匹配條件是什么”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

阳原县| 闵行区| 广东省| 卓尼县| 武清区| 石泉县| 陆丰市| 兴和县| 平昌县| 宜兴市| 连平县| 石嘴山市| 洞头县| 博湖县| 宁化县| 贡嘎县| 秦皇岛市| 永顺县| 盐边县| 沙雅县| 永济市| 香河县| 如东县| 台安县| 林西县| 高邑县| 潼关县| 丰顺县| 鄂伦春自治旗| 贵德县| 马公市| 垫江县| 铅山县| 无为县| 革吉县| 安化县| 新巴尔虎左旗| 临清市| 无极县| 巴塘县| 顺平县|