linux防火墙iptables案例解析

含义:

:INPUT ACCEPT [0:0]# 该规则表示INPUT表默认策略是ACCEP ([ 0:0 ]里记录的就是通过该规则的数据包和字节总数。)
:FORWARD ACCEPT [0:0]# 该规则表示FORWARD表默认策略是ACCEPT
:OUTPUT ACCEPT [0:0]# 该规则表示OUTPUT表默认策略是ACCEPT
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应,ESTABLISHED:已建立的链接状态。RELATED:该数据包与本机发出的数据包有关。
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT# 意思就允许本地环回接口在INPUT表的所有数据通信,-i 参数是指定接口,接口是lo,lo就是Loopback(本地环回接口)
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。
下面来介绍一下,我添加的每个参数是什么意思,跟我没讲得允许22端口的一样
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A 最后添加一条规则
-j 后面接动作,主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)
–dport 限制目标的端口号码。
-p 协定:设定此规则适用于哪种封包格式 主要的封包格式有: tcp, udp, icmp 及 all 。
-m state –state 模糊匹配一个状态,
NEW 用户发起一个全新的请求
ESTABLISHED 对一个全新的请求进行回应
RELATED 两个完整连接之间的相互关系,一个完整的连接,需要依赖于另一个完整的连接。
INVALID 无法识别的状态。

发表评论

登录... 后才能评论