linux防火墙iptables案例解析

含义：

:INPUT ACCEPT [0:0]# 该规则表示INPUT表默认策略是ACCEP （[ 0:0 ]里记录的就是通过该规则的数据包和字节总数。）
:FORWARD ACCEPT [0:0]# 该规则表示FORWARD表默认策略是ACCEPT
:OUTPUT ACCEPT [0:0]# 该规则表示OUTPUT表默认策略是ACCEPT
-A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应，ESTABLISHED：已建立的链接状态。RELATED：该数据包与本机发出的数据包有关。
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT# 意思就允许本地环回接口在INPUT表的所有数据通信，-i 参数是指定接口，接口是lo，lo就是Loopback（本地环回接口）
-A INPUT -j REJECT –reject-with icmp-host-prohibited
-A FORWARD -j REJECT –reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。
下面来介绍一下，我添加的每个参数是什么意思，跟我没讲得允许22端口的一样
-A INPUT -m state –state NEW -m tcp -p tcp –dport 22 -j ACCEPT
-A 最后添加一条规则
-j 后面接动作，主要的动作有接受(ACCEPT)、丢弃(DROP)、拒绝(REJECT)及记录(LOG)
–dport 限制目标的端口号码。
-p 协定：设定此规则适用于哪种封包格式 主要的封包格式有： tcp, udp, icmp 及 all 。
-m state –state 模糊匹配一个状态，
NEW 用户发起一个全新的请求
ESTABLISHED 对一个全新的请求进行回应
RELATED 两个完整连接之间的相互关系，一个完整的连接，需要依赖于另一个完整的连接。
INVALID 无法识别的状态。

Mr丶点心永久会员

打赏 收藏 海报 链接