iptables与firewalld都是用来定义防火墙策略的防火墙管理工具,或者说只是一种服务。
iptables服务会把配置好的防火墙策略交由内核的netfilter网络过滤器来处理。
firewalld服务则是把配置好的防火墙策略交由内核netables包过滤框架处理。
1.iptables
iptables服务在RHEL7.2以后的版本中已经没有了。
防火墙会从上到下的顺序来读取配置的策略规则,找到匹配项后就立即结束匹配工作并执行匹配项中定义的行为。
从上到下匹配,上面的规则优先级更高。
iptables规则链
- INPUT 外部到内部的规则链,处理流入的数据包
- OUTPUT 内网到外部的规则链,处理流出的数据包
- FORWARD 转发的规则链,处理转发的数据包
iptables的处理动作:
- REJECT 拒绝流量通过,并反馈拒绝信息
- DROP 拒绝流量通过,且不响应
- ACCEPT 允许流量通过
- LOG 记录日志信息
防火墙策略规则的设置有两种:
- 一种是通,默认策略为允许时,就要设置拒绝规则
- 一种是堵,默认策略为拒绝时,就要设置允许规则
iptables 常用参数
| 参数 | 作用 |
| -P | 设置默认策略 |
| -F | 清空规则链 |
| -L | 查看规则链 |
| -A | 在规则链的末尾加入新规则 |
| -I num | 在规则链的头部加入新规则 |
| -D num | 删除某一条规则 |
| -s | 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 |
| -d | 匹配目标地址 |
| -i 网卡名称 | 匹配从这块网卡流入的数据 |
| -o 网卡名称 | 匹配从这块网卡流出的数据 |
| -p | 匹配协议,如TCP、UDP、ICMP |
| --dport num | 匹配目标端口号 匹配范围为 1000:1200 |
| --sport num | 匹配来源端口号 |
-j 匹配到用户后的动作 eg: -j REJECT -j ACCEPT
来源:oschina
链接:https://my.oschina.net/u/4312865/blog/3189799