linuxアクセス制御(四)iptablesルール管理と一般的な操作
2592 ワード
一、ルールの保存と再ロード現在のメモリを表示する規則 iptables -S 現在のメモリのルール を保存 規則メモリ にリロード CentOS 6でiptablesサービスを再起動する自動マウント CentOS 7では、iptables-restoreを使用して指定したファイルにルールを再ロードします.(ここでは .良好な規則管理習慣 ルールをshellスクリプトに書き込む は、サーバのアドレスまたはセグメント、イントラネットのセグメントなど、複数回繰り返されるアドレスに変数を使用する. スクリプトを使用する最初のコマンドはiptables-F であることが望ましい.あるサーバアドレスが変更すると、サーバアドレスに対応する変数値 を変更するだけでよい.注釈や分類ができるので、より規範的です. バックアップ・ルールより簡単 は、
二、常用操作カスタムチェーン をクリア iptables -X [chain] クリアルール iptables -F [chain] クリアルールカウンタ iptables -Z [chain] は、ホスト10.1.1.223がtcpプロトコルを介してホスト10.1.1.222の22ポートにアクセスすることを拒否する. iptables -A INPUT -s 10.1.1.223 -d 10.1.1.222 -p tcp --dport 22 -j REJECT filterテーブルのデフォルトルールをDROP に設定 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP -Pは、指定されたチェーンを設定するデフォルトポリシー(policy)が指定されたtarget である.ルール・リストおよび統計を表示する iptables -L -n -v chain -Lオプションは、チェーンまたはすべてのチェーンのルール をリストするものです.-nは出力数値フォーマットのipアドレスとポート番号であり、ホスト名とポート番号に対応するサービス名 を逆解しようとする.-vは、より信頼できる情報を出力 である.ループバック装置の入出庫パケット iptables -A IPNUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT −i,−oは、それぞれパケットが流入または流出するインタフェースである. -s、-dは、流入流出を指定するアドレス である.ループバックは、通常、INPUTとOUTPUTの2つのチェーンを指定します. 最良の書き方は、pingローカルipアドレスが最終的にループバックデバイスに渡されるが、127.0.0.1に渡されるのではなく、127.0.0セグメントの他のアドレス に渡されるため、ターゲットと宛先アドレスを省略することである.
-iptables -A INPUT -i lo -j ACCEPT -iptbales -A OUTPUT -o lo -j ACCEPT
[root@Tyson'sComputer ~]# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
iptables -S> /path/file
iptables-save[option]> /path/file
[root@Tyson'sComputer learniptables]# cat test2.iptables
# Generated by iptables-save v1.4.21 on Mon Feb 25 10:23:42 2019
*filter
:INPUT ACCEPT [572:44587]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [291:29540]
COMMIT
# Completed on Mon Feb 25 10:23:42 2019
/etc/sysconfig/iptables
iptables-save
で保存するルールファイルのみを読み込むことができる)[root@Tyson'sComputer learniptables]# iptables-restore
/etc/rc.d/rc.local
にスクリプトを実行するコマンドを1つ追加するだけでよい.二、常用操作
-iptables -A INPUT -i lo -j ACCEPT -iptbales -A OUTPUT -o lo -j ACCEPT