基本ibable防火墙管理
文章提供一些基本信息 说明如何使用ib表软件防火墙防火墙预设防火墙解决基于RHEL#6和CentOS##6分发
本文章中的阶梯并不打算用于RackConnectQi服务器需要修改RackConnect服务器防火墙时,需要使用专用防火墙管理器
预设条件
需要具备下列条件:
- 安全shell基本理解
- ido或管理访问您的服务器
- 非回溯云服务器运行RHEL6或CentOS6
ibables和它如何工作
ib表Linux软件防火墙默认解决方案使用网过滤器内核模块ib表可处理网络进出流量ib表使用规则链配置为服务器表的一部分表分组相似链完成特定任务
表链规则
每一表都装有一套默认链本条指滤波表格中包含INPUT系统,退步并Output链子链中规则从上到下阅读处理
INPUT系统:此链处理寄存服务器流量
退步:链处理流到服务器但命中另一设备
Output:此链用于始发服务器的外发包
目标、动作和滤波
下表显示一些基本目标和行动ib表向服务器发送流量时 :
| 名称 | 描述性 |
|---|---|
| 接受 | 流量被接受,不再处理规则 |
| DROP系统 | 包封住,不再处理规则未回复寄送者 |
| LOG | 包信息登录服务器,ibables继续处理规则 |
| 回归 | 类似DROP包,但向发送者发送响应 |
| 滤镜 | 是什么它做 |
|---|---|
P(协议) |
协议包指定的协议可以是其中之一tc,ud,imp或特殊关键字全部. |
s,-s源 |
源IP包地址 |
-d-目的地 |
目标包 |
体育场 |
源端口匹配 |
港口 |
端口匹配 |
一 |
接口包接收 |
解剖规则
下规则举例ib表规则 :
INPUT-iET0-s 192.168.1.1-ptcp-dport22-j例子中从源IP地址流出流量192.168.1.1上传tc协议接受eth0端口接口22号.规则添加到顶部INPUT系统链式
ibable规则如何运作
限制服务器进出网络流量的一个方法就是执行防火墙规则RHEL或CentOS6服务器默认软件防火墙解决方案ib表.ib表允许您设置类似于专用防火墙配置,该防火墙运行在您的服务器上。系统配置规则切宁市视规则而定文章讨论INPUT系统链式默认链式接受流量穿透ib表.
启动并检查ibables状态
之前添加新规则ib表中应验证服务运行并列表当前规则
检查状态ib表运行命令
服务百科状态获取输出表示服务活动式服务器上if not, 您可以启动服务使用服务ibables启动命令
服务启动后,您可用下列命令列表规则:
ib表-L尚不配置规则的输出似相似实例如下:
链式选择源端链forward
百表示例
下示例显示某些规则ib表和功能内部ib表.
INSTER对APP
带ib表中,一号标志插入规则到所选链顶部和A级标志向所选链底部附加新规则这一点很重要,因为规则从上到下阅读因此,如果顶部有规则阻塞所有进站流量并使用A级附加规则接受从IP传输,您附加规则受第一条规则阻塞考虑配置判断A级或一号比较优选服务器修改常修改前审查当前规则
良好规则是附加所有端接滴规则并插入所有接受包规则
| 示例命令 | 是什么它做 |
|---|---|
ib表-L |
命令列表全部ib表规则 |
ib表-L-线数 |
命令列表全部ib表规则并按规则提供行号 |
ib表-DINPUT2 |
时联用ib表-L-线数中,此命令删除第二规则INPUT系统链式这是确保删除正确规则的最佳方法 |
ips-AINPUT-mtcp-ptcp-s 12.345.67.89-dport=22-jDROP |
规则通过TCP从源IP通过INPUT链路下降22端口流量规则附于INPUT链顶端 |
ibables-AINPUT-s 12.345.67.89-jDROP |
规则从源IP下传所有连接例子附到顶部INPUT系统链式 |
ipables-D INPUT-mtcp-ptcp-s 12.345.67.89-dport=22-j |
命令删除指定的规则INPUT系统表格内可使用D级带带链或规则的标志,但我们建议按行号删除,如上所示 |
ipables-IINPUT-mtcp-ptc |
规则接受端口22从源IP通通INPUT系统TCP链路规则插入INPUT系统链式 |
INPUT表12.345.6789jACEPT |
规则接受源IP通过任何端口协议连接规则插入INPUT系统链式 |
服务ibables保存 |
默认ib表不提供持久性命令允许保存规则 |
服务ibable重加载 |
命令重加pables服务允许处理新规则 |
继续阅读
文章只触及基础ib表.还有其他多项任务和规则可配置限制访问服务器更多资料ib表中复习人性化页面ibablesatibables-Linux人页.
更新 29天前