忘记密码?

一键登录

草根吧源码论坛

RHEL7/CentOS7 Iptables使用

查看: 136|回复: 0

RHEL7/CentOS7 Iptables使用

[复制链接]

0

主题

6

热度

0

贡献

步入草根

Rank: 1

发表于 2016-2-19 13:33:34 | 显示全部楼层 |阅读模式 | 百度  360  谷歌 
分享到:
7.2.1 规则链与策略
在iptables命令中设置数据过滤或处理数据包的策略叫做规则,将多个规则合成一个
举例来说:小区门卫有两条的规则,将这两个规则可以合成一个规则链
遇到外来车辆需要登记。
严禁快递小哥进入社区。
但是光有策略还不能保证社区的安全,我们需要告诉门卫(iptables)这个策略(规则链)是作用于哪里的,并赋予安保人员可能的操作有这些,如:“允许”,“登记”,“拒绝”,“不理他”,对应到iptables命令中则常见的控制类型有:
ACCEPT:允许通过.
LOG:记录日志信息,然后传给下一条规则继续匹配.
REJECT:拒绝通过,必要时会给出提示.
DROP:直接丢弃,不给出任何回应.
其中REJECTDROP的操作都是将数据包拒绝,但REJECT会再回复一条“您的信息我已收到,但被扔掉了”。
通过ping命令测试REJECT情况会是这样的:
[root@localhost ~]# ping -c 2 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytesof data.
From 192.168.10.10 icmp_seq=1 Destination PortUnreachable
From 192.168.10.10 icmp_seq=2 Destination PortUnreachable
--- 192.168.10.10 ping statistics ---
2 packets transmitted, 0 received, +2 errors,100% packet loss, time 3002ms
但如果是DROP则不予响应:
[root@localhost ~]# ping -c 4 192.168.10.10
PING 192.168.10.10 (192.168.10.10) 56(84) bytesof data.
--- 192.168.10.10 ping statistics ---
4 packets transmitted, 0 received, 100% packetloss, time 3000ms
规则链则依据处理数据包的位置不同而进行分类:
PREROUTING:在进行路由选择前处理数据包
INPUT:处理入站的数据包
OUTPUT:处理出站的数据包
FORWARD:处理转发的数据包
POSTROUTING:在进行路由选择后处理数据包
Iptables中的规则表是用于容纳规则链规则表默认是允许状态的,那么规则链就是设置被禁止的规则,而反之如果规则表是禁止状态的,那么规则链就是设置被允许的规则。
raw表:确定是否对该数据包进行状态跟踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标IP地址或端口
filter表:确定是否放行该数据包(过滤)
规则表的先后顺序:raw→mangle→nat→filter

后面的内容请访问下面的链接!!

转载:《linux就该这么学》
http://www.linuxprobe.com/chapter-07/

帖子地址: 

回复

举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆 用百度帐号登录 一键登录:

本版积分规则

收藏帖子 返回列表 搜索
快速回复 返回顶部 返回列表