【3】iptables理解 - filt
filter表是默认表,功能是对数据包做过滤。此表有三条链(iptables -t filter -L -n,用此命令查看),分别是:INPUT、FORWARD、OUTPUT。
INPUT链:数据流向iptables主机本身的数据包经过input链。比如访问iptables主机的22、80等端口的包会到input链,然后与此链中的规则进行匹配,决定丢弃或放行。
--->eth0----iptables主机各种应用----eth1<------
-->input input<--
FORWARD链:数据包从接口进来,只要目标地址不是iptables主机本身,此包会通过forward链进行转发。
--->eth0----------forward---------->eth1-----
目的地址:不是本机
比如LinuxA ping LinuxB,数据包的目的地址不是iptables本机而是其它网段或外网,会进行路由选择,并把数据包放入filter表的forward链处理。
OUTPUT链:iptables主机发出的数据包,比如linuxA ping iptables,iptables回应请求时就会经过output链。
例:禁止192.168.198.1 ping iptables(192.168.198.250)主机
icmp包说明:
TYPE | CODE | Description | Query | Error |
---|---|---|---|---|
0 | 0 | Echo Reply——回显应答(Ping应答) |
8 | 0 | Echo request——回显请求(Ping请求) | x |
在进入时候把icmp的请求丢弃
iptables -t filter -A INPUT -p icmp --icmp-type 8 -s 192.168.198.1 -i eth0 -j DROP
[root@fw myshell]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP icmp -- 192.168.198.1 0.0.0.0/0 icmp type 8
没有指定网卡、源地址,默认指所有网卡、所有地址
[root@fw myshell]# iptables -t filter -A INPUT -p icmp --icmp-type 8 -j DROP
[root@fw myshell]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
例:禁止LinuxB(10.1.1.2) 访问 iptables主机的22端口
iptables -A INPUT -p tcp --dport 22 -s 10.1.1.2 -j DROP
[root@fw myshell]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 10.1.1.2 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
例:禁止10.1.1.2访问192.168.198.1的139端口。
因为数据包不是到iptables本地的,所以需要把规则做在forward链上。
iptables -A FORWARD -s 10.1.1.2 -d 192.168.198.1 -p tcp --dport 139 -j DROP
[root@fw myshell]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 10.1.1.2 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
1 DROP tcp -- 10.1.1.2 192.168.198.1 tcp dpt:139
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341