Centos防火墻iptables詳解

　　在計算機網絡技術飛速發展的今天,網絡安全問題日益突出,防火墻技術也越來越受到人們關注。在一些信息敏感場所,需要自行設計與開發符合特定需求的防火墻系統。下面是學習啦小編收集整理的Centos防火墻iptables詳解，希望對大家有幫助~~

　　Centos防火墻iptables詳解

　　方法/步驟

　　Centos防火墻iptables是在kernel層實現的，工作在2至4層，iptables根本就沒有服務，我們經常在系統中使用的命令servie iptables只是客戶端的一個腳本或者工具，只是告訴kernel幫忙加個參數修改參數等交互，再次強調iptables沒有服務的概念。

　　普通用戶是不能用Ping命令的

　　當我們使用命令su – testing,從超級用戶切換到普通用戶testing的時候，通過id可以看到已經切換到普通用戶，普通用戶是沒有權限執行ping命令，但實際是可以的，如下圖箭頭所指的地方，用戶權限這里增加s的意思是任何用戶在執行ping命令的時候進行身份切換用該文件的宿主權限執行，也就是超級用戶。

　　包進入防火墻處理過程

　　PREROUTING:數據包進入路由表之前的狀態，當進入路由表后，發現目的地不在本地的時候進入轉發狀態FOWARDING，通過命令查看head /etc/sysctl.conf可以發現箭頭2的位置net.ipv4.ip.forward=0,設置為0的意思是發現目的地不在本地的時候直接丟棄，不再轉發包，設置為1的時候目的地不在本地的時候進行轉發。

　　Iptables有3張表，分別是filter表、nat表、mangle表，filter是做包過濾的，nat是做地址轉換的，mangel是給第3方做開發的。Filter過濾表可以對INPUT、OUTPUT、FORWARD進行過濾。在檢查點input這個地方是對進入本地的數據包進行檢查，在檢查點output這個地方是本地要發出的數據包進行檢查，在檢查點forward這個地方是當數據包進入路由表后，發現目的地不在本地的時候需要轉發的數據包進行檢查。Iptables –t filter -A INPUT –s 10.0.0.1/24 –j DROP,指定對filter表進行過濾，默認類型就是-t filter，可以不寫，-A是追加的意思，-s是源為10.0.0.0/24的包進行drop。

　　刪除iptables條目，通過iptables –L查看iptables條目，看到有多條重復的Iptables條目，我們可以通過iptables -D INPUT –s 10.0.0.1/24 –j DROP進行刪除一個條目，通過iptables –L再次查看，發現iptables條目已經成功刪除了。

　　由于iptables條目都是從上往下逐條匹配，一旦匹配就不會往下匹配，當我們增加一條規則的時候，是放在規則的最下面，很可能還沒有匹配到想要的條目是就已經被其他條目匹配上，為了避免出現這種情況，我們可以用iptables –F先清空iptables規則表現，再次通過iptables –L發現剛剛建立的規則已經清空了，可以建立自己新建的規則了，我們還需要保存剛剛建立的iptables規則，否則下次重啟后，所有建立的規則都沒有保存，通過service iptables save永久保存iptables規則條目。當我們想要通過端口號進行精確設置iptables條目，又記不清端口號，我們可以通過命令vim /etc/services進入配置文件，可以查看需要的端口號。