返回
第三章iptables命令详解

第三章iptables命令详解

ID:31412748

大小:345.50 KB

页数:6页

时间:2019-01-09

第三章iptables命令详解_第1页
第三章iptables命令详解_第2页
第三章iptables命令详解_第3页
第三章iptables命令详解_第4页
第三章iptables命令详解_第5页
资源描述:

《第三章iptables命令详解》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第三章:iptables命令详解(一)、一般的iptables命令格式如下所示:(重点部分)Iptables–t表名称命令链名称规则-j动作表分别是filter、nat、mangle,不指明表名称默认是filter。命令:-P用于定义默认策略查看命令生效了,默认INPUT链拒绝所有。-A在规则列表的最后增加一条规则。-I在指定的位置插入一条规则,如不指定位置就在最上面添加。需要插入到指定行如下所示:最后查看两个规则的顺序,如下图所示:-D删除一个规则这样就能删除第一条规则。-R替换规则列表中的某个规则。这是替换INPUT链第一行的规则。-F清除表中所有的规则。(二)、iptabl

2、es匹配选项我现在通过举例这些选项如何使用,比如我们需要只禁止ping某个网络接口。注明:所有举例环境都是第一章所介绍的环境。注意:运用上面的规则以后,R2如果要ping防火墙的192.168.8.1接口也是ping不通的。因为是从该方向去往防火墙的ICMP请求会检查目的MAC地址,如果目的MAC地址和eth1一样。就会交给INPUT链来处理。规则定义了从这个接口给防火墙的ping都会被拒绝。我下面这样写规则就只会匹配目的IP是192.168.6.2的ICMP包都会被丢弃。二、我下面要禁止R3通过telnet登陆到R2上。此时我在R3上登陆R2会失败,如下图所示:重点内容:注意防

3、火墙规则是从上向下匹配。上面的规则如果匹配了,就不会向下匹配。(三)、扩展匹配选项参数-mstate(只能用于TCP)基于状态检测的包过滤,指定检测那种状态。--state(NEW,ESTATBLISHED,INVALID,RELATED)INVALID表示该封包的连接编号无法辨识或编号不正确。ESTABLISHED表示该封包属于某个己经建立的连接。NEW表示该封包想要起始一个连接。RELATED表示该封包是属于某个己经建立的连接,所建立的新连接。例如:FTP-DATA连接必定是源自某个FTP连接。例子:这里我们控制一个192.168.8.0/24网段的主机,不允许对外主动发起T

4、CP连接。这样配置以后的结果,会导致路由器R3不能通过telnet远程登陆到R2。以及不能向外主动发起任何TCP连接。但从外部可以主动连接192.168.8.0/24网段的主机。例子2:这个例子我们通过防火墙禁止TCP的ESTABLISHED状态。禁止TCP的ESTABLISHED状态以后,一个TCP连接成功建立三次握手。但是进入不了ESTABLISHED状态,传送数据失败。这样TCP连接就是卡在这里。如下图所示:参数:-micmp–icmp-typePing命令使用icmp协议测试网络是否连通。ICMP有两种常用类型的数据包即icmp-type,常用的类型为echo-reply

5、和echo-request。如下图所示pc1pingpc2,发出去的数据包是icmp协议echo-request类型的数据包,PC2返回的数据包是icmp协议的echo-reply类型的数据包。Icmp数据包的类型也可以使用数字表示,如:类型8:echo-request类型0:echo-reply明白上面的内容,就可以根据icmp类型,在防火墙上通过icmp类型来禁止ping。例子:这个例子是禁止R3到R2单方向的ping,从R2到R3方向是可以ping通的。我在iptables防火墙中添加如下规则就可以实现。当然也可以这样写规则。注意:添加上面规则以后,R2是能够ping通19

6、2.168.8.1的。因为从R2ping192.168.8.1是不会路由转发的,会直接交给iptables防火墙。使用的就是INPUT链。同样icmp-reply在iptables防火墙上使用的是OUTPUT链。添加上面的规则以后,R2是不能ping通iptables防火墙。但R3是能够ping通iptables防火墙的。规则同样是单方向的。(四)、使用扩展选项匹配多个端口和IP地址参数–mmultiport指定多端口号:-mmultiport--sport(指定多个源端口)--dport(指定多个目的端口)--ports(指定多个端口)指定IP段:-miprange--src-

7、rangeip-ip(指定多个源IP地址范围)--dst-rangeip-ip(指定多个目的IP地址范围)示例1:我想禁止从R3使用tcp随机端口发起连接到R2路由器。下图是我在iptables防火墙设置的规则。这样添加以后,通过R3想telnet到R2就会失败。示例2:现在我又想设置在R2上禁止R3使用TCP远程连接我的1-1024和3389端口。我先清除之前添加的防火墙条目。然后添加了如下所示的规则:同样的,在R3上无法远程telnet到r2。也无法连接R2的远程桌面。示例3

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。