linuxアクセス制御(四)iptablesルール管理と一般的な操作

2592 ワード

一、ルールの保存と再ロード
  • 現在のメモリを表示する規則
  • iptables -S
  • [root@Tyson'sComputer ~]# iptables -S
    -P INPUT ACCEPT
    -P FORWARD ACCEPT
    -P OUTPUT ACCEPT
    
  • 現在のメモリのルール
  • を保存
  • iptables -S> /path/file
  • iptables-save[option]> /path/file
  • [root@Tyson'sComputer learniptables]# cat test2.iptables 
    # Generated by iptables-save v1.4.21 on Mon Feb 25 10:23:42 2019
    *filter
    :INPUT ACCEPT [572:44587]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [291:29540]
    COMMIT
    # Completed on Mon Feb 25 10:23:42 2019
    
  • 規則メモリ
  • にリロード
  • CentOS 6でiptablesサービスを再起動する自動マウント/etc/sysconfig/iptables
  • CentOS 7では、iptables-restoreを使用して指定したファイルにルールを再ロードします.(ここではiptables-saveで保存するルールファイルのみを読み込むことができる)
  • .
    [root@Tyson'sComputer learniptables]# iptables-restore 
  • 良好な規則管理習慣
  • ルールをshellスクリプトに書き込む
  • は、サーバのアドレスまたはセグメント、イントラネットのセグメントなど、複数回繰り返されるアドレスに変数を使用する.
  • スクリプトを使用する最初のコマンドはiptables-F
  • であることが望ましい.
  • あるサーバアドレスが変更すると、サーバアドレスに対応する変数値
  • を変更するだけでよい.
  • 注釈や分類ができるので、より規範的です.
  • バックアップ・ルールより簡単
  • は、/etc/rc.d/rc.localにスクリプトを実行するコマンドを1つ追加するだけでよい.

  • 二、常用操作
  • カスタムチェーン
  • をクリア
  • iptables -X [chain]
  • クリアルール
  • iptables -F [chain]
  • クリアルールカウンタ
  • iptables -Z [chain]
  • は、ホスト10.1.1.223がtcpプロトコルを介してホスト10.1.1.222の22ポートにアクセスすることを拒否する.
  • iptables -A INPUT -s 10.1.1.223 -d 10.1.1.222 -p tcp --dport 22 -j REJECT
  • filterテーブルのデフォルトルールをDROP
  • に設定
  • iptables -P INPUT DROP
  • iptables -P OUTPUT DROP
  • iptables -P FORWARD DROP
  • -Pは、指定されたチェーンを設定するデフォルトポリシー(policy)が指定されたtarget
  • である.
  • ルール・リストおよび統計を表示する
  • iptables -L -n -v chain
  • -Lオプションは、チェーンまたはすべてのチェーンのルール
  • をリストするものです.
  • -nは出力数値フォーマットのipアドレスとポート番号であり、ホスト名とポート番号に対応するサービス名
  • を逆解しようとする.
  • -vは、より信頼できる情報を出力
  • である.
  • ループバック装置の入出庫パケット
  • iptables -A IPNUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  • iptables -A OUTPUT -o lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
  • −i,−oは、それぞれパケットが流入または流出するインタフェースである.
  • -s、-dは、流入流出を指定するアドレス
  • である.
  • ループバックは、通常、INPUTとOUTPUTの2つのチェーンを指定します.
  • 最良の書き方は、pingローカルipアドレスが最終的にループバックデバイスに渡されるが、127.0.0.1に渡されるのではなく、127.0.0セグメントの他のアドレス
  • に渡されるため、ターゲットと宛先アドレスを省略することである.
    -iptables -A INPUT -i lo -j ACCEPT -iptbales -A OUTPUT -o lo -j ACCEPT