Zwei Möglichkeiten zum Aktivieren der Firewall im Linux-Dienst

Es gibt zwei Möglichkeiten:

1. Servicemethode

Überprüfen Sie den Firewall-Status:

[root@centos6 ~]# Dienst iptables status

iptables: Keine Firewall läuft.

Aktivieren Sie die Firewall:

[root@centos6 ~]# Dienst iptables starten

Schalten Sie die Firewall aus:

[root@centos6 ~]# Dienst iptables stoppen

2. iptables-Methode

Gehen Sie zuerst in das Verzeichnis init.d. Der Befehl lautet wie folgt:

[root@centos6 ~]# cd /etc/init.d/

[root@centos6 init.d]

Dann

Überprüfen Sie den Firewall-Status:

[root@centos6 init.d]# /etc/init.d/iptables status

Deaktivieren Sie die Firewall vorübergehend:

[root@centos6 init.d]# /etc/init.d/iptables stoppen

Starten Sie iptables neu:

[root@centos6 init.d]# /etc/init.d/iptables neu starten

Werfen wir einen Blick auf die Grundkenntnisse der Linux-Firewall

1. Klassifizierung von Firewalls

(1) Paketfilter-Firewall.

Die Paketfiltertechnologie dient zur Auswahl von Datenpaketen auf Netzwerkebene. Die Auswahl basiert auf der im System festgelegten Filterlogik, die als Zugriffskontrollliste (ACL) bezeichnet wird. Durch die Überprüfung der Quelladresse und Zieladresse jedes Datenpakets im Datenstrom, der verwendeten Portnummer und des Protokollstatus oder deren Kombination wird festgestellt, ob das Datenpaket passieren darf.
Die Vorteile einer Paketfilter-Firewall liegen darin, dass sie für den Benutzer transparent, schnell in der Verarbeitung und leicht zu warten ist. Die Nachteile sind: Sobald ein illegaler Zugriff die Firewall durchbricht, kann er die Software- und Konfigurationsschwachstellen auf dem Host angreifen. Die Quelladresse, die Zieladresse und die IP-Portnummer des Datenpakets befinden sich alle im Header des Datenpakets und können leicht gefälscht werden. „IP-Adress-Spoofing“ ist eine gängige Angriffsmethode von Hackern gegen diese Art von Firewall.

(II) Proxy-Dienst-Firewall

Der Proxy-Dienst wird auch Link-Level-Gateway oder TCP-Kanal genannt. Es handelt sich um eine Firewall-Technologie, die eingeführt wurde, um die Mängel von Paketfilter- und Anwendungsgateway-Technologien zu beheben. Ihre Besonderheit besteht darin, dass sie alle Netzwerkkommunikationsverbindungen, die die Firewall passieren, in zwei Abschnitte unterteilt. Wenn der Proxyserver eine Zugriffsanforderung eines Benutzers auf eine Site empfängt, überprüft er, ob die Anforderung den Kontrollregeln entspricht. Wenn die Regeln dem Benutzer den Zugriff auf die Site erlauben, ruft der Proxyserver diese Site auf, um im Namen des Benutzers die erforderlichen Informationen abzurufen und sie dann an den Benutzer weiterzuleiten. Der Zugriff durch interne und externe Netzwerkbenutzer erfolgt über den „Link“ auf dem Proxyserver, wodurch Computersysteme innerhalb und außerhalb der Firewall isoliert werden.
Darüber hinaus analysiert und registriert der Proxy-Dienst auch vergangene Datenpakete und erstellt Berichte. Wenn Anzeichen eines Angriffs gefunden werden, warnt er den Netzwerkadministrator und führt Aufzeichnungen über den Angriff, um bei der Beweissammlung und Netzwerkwartung zu helfen.

2. Funktionsweise von Firewalls

(I) Funktionsprinzip der Paketfilter-Firewall

Die Paketfilterung wird auf der IP-Ebene implementiert und kann daher nur mit Routern durchgeführt werden. Durch die Paketfilterung wird basierend auf der Quell-IP-Adresse, der Ziel-IP-Adresse, dem Quell-Port, dem Ziel-Port und den Header-Informationen zur Paketübertragungsrichtung bestimmt, ob ein Paket durchgelassen wird, und benutzerdefinierte Inhalte wie IP-Adressen werden gefiltert. Die Funktionsweise besteht darin, dass das System Pakete auf der Netzwerkebene prüft, unabhängig von der Anwendungsebene. Paketfilter werden häufig verwendet, da die für die Paketfilterung benötigte CPU-Zeit vernachlässigbar ist. Darüber hinaus ist diese Schutzmaßnahme für Benutzer transparent. Legitime Benutzer können ihre Existenz beim Betreten und Verlassen des Netzwerks nicht spüren, daher ist die Verwendung sehr bequem. Auf diese Weise verfügt das System über eine gute Übertragungsleistung und lässt sich leicht erweitern.
Allerdings bieten solche Firewalls keine große Sicherheit, da den Systemen Informationen auf Anwendungsebene fehlen. Das heißt, sie verstehen den Inhalt der Kommunikation nicht und können nicht auf Benutzerebene filtern. Das heißt, sie können unterschiedliche Benutzer nicht identifizieren und Adressdiebstahl nicht verhindern. Wenn ein Angreifer die IP-Adresse seines eigenen Hosts auf die IP-Adresse eines legitimen Hosts setzt, kann er den Paketfilter problemlos passieren, was Hackern einen leichteren Durchbruch ermöglicht. Basierend auf diesem Arbeitsmechanismus weisen Paketfilter-Firewalls die folgenden Mängel auf:
1. Kommunikationsinformationen: Paketfilter-Firewalls können nur auf die Header-Informationen einiger Datenpakete zugreifen.
2. Statusinformationen zu Kommunikation und Anwendungen: Die Paketfilter-Firewall ist zustandslos, daher ist es unmöglich, Statusinformationen zu Kommunikation und Anwendungen zu speichern.
3. Informationsverarbeitung: Die Fähigkeit von Paketfilter-Firewalls, Informationen zu verarbeiten, ist begrenzt.

(II) Funktionsprinzip der Proxy-Service-Firewall

Die Proxy-Service-Firewall implementiert Firewall-Funktionen auf der Anwendungsebene. Es kann einige übertragungsbezogene Status bereitstellen, kann anwendungsbezogene Status und einige Übertragungsinformationen bereitstellen und kann auch Informationen verarbeiten und verwalten.

3. Verwenden von iptables zur Implementierung einer Paketfilter-Firewall

(I) Überblick und Prinzipien von iptables

Seit Kernel 2.4 wird ein neues Kernel-Paketfilter-Verwaltungstool namens iptables verwendet. Dieses Tool erleichtert Benutzern das Verständnis seiner Funktionsweise, ist einfacher zu verwenden und verfügt über leistungsfähigere Funktionen.

Iptables ist lediglich ein Tool zum Verwalten der Kernel-Paketfilterung. Es kann Regeln in der Kernel-Paketfiltertabelle (Kette) hinzufügen, einfügen oder löschen. Tatsächlich sind es Netfilter (eine gängige Architektur im Linux-Kernel) und die zugehörigen Module (wie das Iptables-Modul und das NAT-Modul), die diese Filterregeln tatsächlich ausführen.
Netfilter ist eine gängige Architektur im Linux-Kernel. Es bietet eine Reihe von „Tabellen“, von denen jede aus mehreren „Ketten“ besteht, und jede Kette kann aus einer oder mehreren Regeln bestehen. Man kann verstehen, dass Netfilter ein Container für Tabellen ist, Tabellen Container für Ketten und Ketten Container für Regeln sind.
Die Systemstandardtabelle ist „Filter“, die drei Ketten enthält: INPUT, FORWARD und OUTPUT. Jede Kette kann eine oder mehrere Regeln haben und jede Regel ist wie folgt definiert: „Wenn der Paketheader diese Bedingung erfüllt, verarbeite das Paket auf diese Weise.“ Wenn ein Datenpaket in einer Kette ankommt, prüft das System ab der ersten Regel, ob es die in der Regel definierten Bedingungen erfüllt. Wenn dies der Fall ist, verarbeitet das System das Datenpaket gemäß der in der Regel definierten Methode. Wenn dies nicht der Fall ist, prüft es die nächste Regel. Wenn das Datenpaket schließlich keine Regel in der Kette erfüllt, verarbeitet das System das Datenpaket gemäß der vordefinierten Richtlinie der Kette.

(II) Der Prozess der iptables-Übertragung von Datenpaketen

Wenn ein Datenpaket in das System gelangt, entscheidet das System zunächst anhand der Routing-Tabelle, an welche Kette das Datenpaket gesendet werden soll. Dabei können drei Situationen auftreten:

1. Wenn die Zieladresse des Datenpakets die lokale Maschine ist, sendet das System das Datenpaket an die INPUT-Kette. Wenn es die Regelprüfung besteht, wird das Paket zur Verarbeitung an den entsprechenden lokalen Prozess gesendet. Wenn es die Regelprüfung nicht besteht, verwirft das System das Paket.

2. Die Adresse des Datenpakets ist nicht die lokale Maschine, d. h. das Paket wird weitergeleitet, dann sendet das System das Datenpaket an die FORWARD-Kette. Wenn es die Regelprüfung besteht, wird das Paket zur Verarbeitung an den entsprechenden lokalen Prozess gesendet; wenn es die Regelprüfung nicht besteht, verwirft das System das Paket.

3. Wenn das Datenpaket vom lokalen Systemprozess generiert wird, sendet das System es an die OUTPUT-Kette. Wenn es die Regelprüfung besteht, wird das Paket zur Verarbeitung an den entsprechenden lokalen Prozess gesendet. Wenn es die Regelprüfung nicht besteht, verwirft das System das Paket.

Benutzer können für jede Kette Regeln definieren. Wenn ein Datenpaket jede Kette erreicht, verarbeitet iptables das Paket gemäß den in der Kette definierten Regeln. iptables vergleicht die Header-Informationen des Pakets mit jeder Regel in der Kette, an die es übergeben wird, um zu sehen, ob es genau mit jeder Regel übereinstimmt. Wenn ein Paket einer Regel entspricht, führt iptables die in der Regel angegebene Aktion für das Paket aus. Wenn beispielsweise eine Regel in einer Kette entscheidet, ein Paket zu VERWERFEN, wird das Paket in dieser Kette verworfen. Wenn eine Regel in der Kette das Paket akzeptiert, kann das Paket weiter weitergeleitet werden. Wenn das Paket jedoch nicht dieser Regel entspricht, wird es mit der nächsten Regel in der Kette verglichen. Wenn das Paket keiner der Regeln in der Kette entspricht, entscheidet iptables, wie das Paket auf Grundlage der für die Kette vordefinierten Standardrichtlinie behandelt wird. Die ideale Standardrichtlinie sollte iptables anweisen, das Paket zu verwerfen (DROP).

(III) Vorteile von iptables

Der größte Vorteil von Netfilter/iptables besteht darin, dass es eine Stateful Firewall konfigurieren kann, eine wichtige Funktion, die frühere Tools wie ipfwadm und ipchains nicht bieten können. Eine Stateful Firewall kann den Status der zum Senden oder Empfangen von Paketen hergestellten Verbindungen angeben und speichern. Die Firewall kann diese Informationen aus dem Verbindungsverfolgungsstatus des Pakets abrufen. Diese von der Firewall verwendeten Statusinformationen erhöhen ihre Effizienz und Geschwindigkeit bei der Entscheidungsfindung über zu filternde neue Pakete. Es gibt vier gültige Zustände mit den Namen ESTABLISHED, INVALID, NEW und RELATED.

Der Status ESTABLISHED zeigt an, dass das Paket zu einer hergestellten Verbindung gehört, die zum Senden und Empfangen von Paketen verwendet wurde und voll funktionsfähig ist. Der Status „UNGÜLTIG“ zeigt an, dass das Paket keinem bekannten Stream oder keiner bekannten Verbindung zugeordnet ist und möglicherweise fehlerhafte Daten oder Header enthält. Der Status NEU gibt an, dass das Paket eine neue Verbindung hat oder starten wird oder dass es mit einer Verbindung verknüpft ist, die noch nicht zum Senden und Empfangen von Paketen verwendet wurde. Schließlich zeigt RELATED an, dass das Paket eine neue Verbindung startet und dass es mit einer bereits hergestellten Verbindung verknüpft ist.

Ein weiterer wichtiger Vorteil von netflter/iptables besteht darin, dass es dem Benutzer die vollständige Kontrolle über die Firewall-Konfiguration und Paketfilterung gibt. Sie können Ihre eigenen Regeln an Ihre spezifischen Anforderungen anpassen und so nur den gewünschten Netzwerkverkehr in das System lassen.

(IV) Grundkenntnisse zu iptables

1. Regel

Eine Regel ist eine von einem Netzwerkadministrator voreingestellte Bedingung. Eine Regel wird im Allgemeinen wie folgt definiert: „Wenn der Paketheader bestimmte Bedingungen erfüllt, verarbeite das Paket auf diese Weise.“ Die Regeln werden in der Paketfiltertabelle im Kernelspeicher gespeichert. Diese Regeln geben die Quelladresse, die Zieladresse, das Transportprotokoll (TCP, UDP, ICMP) und den Diensttyp (z. B. HTTP, FTP, SMTP) an. Wenn Datenpakete den Regeln entsprechen, verarbeitet iptables sie gemäß den durch die Regeln definierten Methoden, wie etwa Zulassen (ACCEPT), Ablehnen (REJECT) oder Verwerfen (DROP). Das Hauptprinzip der Konfiguration der Firewall besteht im Hinzufügen, Ändern und Löschen dieser Regeln.

2. Ketten

Ketten sind die Pfade, auf denen Pakete reisen. Jede Kette ist eigentlich eine Checkliste mit Regeln. Jede Kette kann eine oder mehrere Regeln haben. Wenn ein Datenpaket in einer Kette ankommt, beginnt iptables mit der Prüfung ab der ersten Regel in der Kette, um festzustellen, ob das Datenpaket die in der Regel definierten Bedingungen erfüllt. Wenn dies der Fall ist, verarbeitet das System das Datenpaket gemäß der in der Regel definierten Methode. Andernfalls fährt iptables mit der Prüfung der nächsten Regel fort. Wenn das Paket keiner Regel in der Kette entspricht, verarbeitet iptables das Paket entsprechend der für die Kette vordefinierten Standardrichtlinie.

3. Tabellen

Tabellen bieten bestimmte Funktionen. Iptables verfügt über drei integrierte Tabellen, nämlich Filtertabelle, NAT-Tabelle und Mangle-Tabelle, die jeweils zum Implementieren von Paketfilterung, Netzwerkadressübersetzung und Paketrekonstruktion verwendet werden.

(1)Tabelle filtern. Die Filtertabelle dient vor allem zum Filtern von Datenpaketen. Diese Tabelle filtert qualifizierte Datenpakete nach einem vom Systemadministrator vordefinierten Regelsatz. Bei Firewalls sind in der Filtertabelle eine Reihe von Regeln zum Filtern von Datenpaketen angegeben.
Die Filtertabelle ist die Standardtabelle von iptables. Wenn keine Tabelle angegeben ist, verwendet iptables standardmäßig die Filtertabelle, um alle Befehle auszuführen. Die Filtertabelle enthält die INPUT-Kette

(verarbeitet eingehende Pakete), die FORWARD-Kette (verarbeitet weitergeleitete Pakete) und die OUTPUT-Kette (verarbeitet lokal generierte Pakete). In der Filtertabelle ist lediglich das Akzeptieren oder Verwerfen von Datenpaketen erlaubt, eine Veränderung der Datenpakete ist nicht möglich.

(2) NAT-Tabelle. natqing wird hauptsächlich für die Netzwerkadressübersetzung NAT verwendet. Diese Tabelle kann Eins-zu-Eins-, Eins-zu-Viele- und Viele-zu-Viele-NAT-Arbeiten realisieren. iptables verwendet diese Tabelle, um die Funktion des gemeinsamen Internetzugangs zu realisieren. Die NAT-Tabelle enthält die PREROUTING-Kette (ändert eingehende Pakete), die OUTPUT-Kette (ändert lokal generierte Pakete vor dem Routing) und die POSTROUTING-Kette (ändert ausgehende Pakete).

(3) Mangeltisch. Die Mangle-Tabelle wird hauptsächlich zum Ändern angegebener Pakete verwendet, da einige spezielle Anwendungen einige Übertragungseigenschaften von Datenpaketen, wie etwa TTL und TOS rationaler Datenpakete, neu schreiben können. In tatsächlichen Anwendungen ist die Nutzungsrate dieser Tabelle jedoch nicht hoch.

(V) Schalten Sie die System-Firewall aus

Da die Firewall-Funktion des Systems ebenfalls mithilfe von iptables implementiert wird, treten wahrscheinlich Konflikte auf, wenn Benutzer Regeln über den iptables des Systems festlegen. Daher wird empfohlen, die Firewall-Funktion des Systems auszuschalten, bevor Sie iptables lernen.

(VI) iptables-Befehlsformat
Das Befehlsformat von iptables ist relativ komplex und das allgemeine Format ist wie folgt:

#iptables [-t table] -Befehlsabgleichsoperation

Hinweis: iptables unterscheidet bei allen Optionen und Parametern zwischen Groß- und Kleinschreibung!

1. Tabellenoptionen

Mit der Tabellenoption wird angegeben, auf welche in iptables integrierte Tabelle der Befehl angewendet wird. Zu den integrierten Tabellen von iptables gehören Filtertabelle, NAT-Tabelle und Mangle-Tabelle.

2. Befehlsoptionen

Befehlsoptionen werden verwendet, um den Ausführungsmodus von iptables anzugeben, einschließlich des Einfügens, Löschens und Hinzufügens von Regeln:

-P oder --policy definiert die Standardrichtlinie
-L oder --list Zeigt die iptables-Regelliste an
-A oder --append fügt eine Regel am Ende der Regelliste hinzu
-I oder --insert fügt eine Regel an der angegebenen Position ein
-D oder --delete Löscht eine Regel aus der Regelliste
-R oder --replace ersetzt eine Regel in der Regelliste
-F oder --flush löscht alle Regeln in der Tabelle
-Z oder --zero setzt alle Kettenzählungen und Verkehrszähler in der Tabelle auf Null

3. Matching-Optionen

Übereinstimmungsoptionen geben die Merkmale an, die ein Paket haben muss, um einer Regel zu entsprechen, einschließlich Quelladresse, Zieladresse, Transportprotokoll (z. B. TCP, UDP, ICMP) und Portnummer (z. B. 80, 21, 110).
-i oder --in-interface gibt die Netzwerkschnittstelle an, von der das Paket eingeht
-o oder --out-interface gibt die Netzwerkschnittstelle an, von der das Paket ausgegeben wird
-p oder --porto gibt das Protokoll an, dem das Paket entspricht, z. B. TCP, UDP
-s oder --source gibt die Quelladresse des abzugleichenden Pakets an
--sport gibt die Quellportnummer an, mit der das Paket übereinstimmt. Sie können das Format „Startportnummer: Endportnummer“ verwenden, um einen Portbereich anzugeben.
-d oder --destination gibt die Zieladresse an, mit der das Paket übereinstimmt
--dport gibt die Zielportnummer an, mit der das Paket übereinstimmt. Sie können das Format „Startportnummer: Endportnummer“ verwenden, um einen Portbereich anzugeben.

4. Handlungsmöglichkeiten

Die Aktionsoption gibt an, welche Aktion ausgeführt werden soll, wenn ein Paket der Regel entspricht, z. B. Akzeptieren oder Verwerfen.

ACCEPT Das Datenpaket annehmen
DROP verwirft das Paket
REDIRECT leitet das Datenpaket an einen Port auf dem lokalen Host oder einem anderen Host um. Diese Funktion wird normalerweise verwendet, um einen transparenten Proxy zu implementieren oder bestimmte Dienste im internen Netzwerk für die Außenwelt zu öffnen.
SNAT-Quelladressübersetzung, d. h. Änderung der Quelladresse des Datenpakets
DNAT Destination Address Translation, die die Zieladresse des Datenpakets ändert
MASQUERADE IP-Maskierung, allgemein bekannt als NAT-Technologie. MASQUERADE kann nur für IP-Masquerading bei DFÜ-Internetzugang wie ADSL verwendet werden, d. h. die IP-Adresse des Hosts wird vom ISP dynamisch zugewiesen; wenn die IP-Adresse des Hosts statisch festgelegt ist, sollte SNAT verwendet werden
Die LOG-Funktion zeichnet die relevanten Informationen der Datenpakete, die den Regeln entsprechen, im Protokoll auf, sodass der Administrator sie analysieren und Fehler beheben kann

(VII) Verwendung des iptables-Befehls

1. Überprüfen Sie die iptables-Regeln

Die anfänglichen iptables haben keine Regeln, aber wenn Sie während der Installation die automatische Installation der Firewall wählen, gibt es Standardregeln im System. Sie können zunächst die Standardregeln der Firewall anzeigen:

#iptables [-t Tabellenname]
[-t Tabellenname]: Definiert die zu prüfende Tabelle. Der Tabellenname kann filter, nat und mangle sein. Wenn kein Tabellenname ermittelt wird, wird standardmäßig die Filtertabelle verwendet.
: Listet die Regeln für die angegebene Tabelle und die angegebene Kette auf
: Definiert die Regeln, welche Kette in der angegebenen Tabelle angezeigt werden soll. Wenn keine Kette angegeben ist, werden die Regeln aller Ketten in einer Tabelle angezeigt.
#iptables -L -n (die Regeln aller Ketten in der Filtertabelle anzeigen)
Hinweis: Durch Hinzufügen des Parameters -n am Ende werden IP und HOSTNAME nicht konvertiert und die Anzeigegeschwindigkeit ist wesentlich schneller.
#iptables -t nat -L OUTPUT (die Regeln der OUTPUT-Kette in der Nat-Tabelle anzeigen)

2. Definieren Sie die Standardrichtlinie

Wenn ein Datenpaket keiner Regel in einer Kette entspricht, verarbeitet iptables das Datenpaket gemäß der Standardrichtlinie der Kette. Die Standardrichtlinie ist wie folgt definiert

#iptables [-t Tabellenname]
[-t Tabellenname]: definiert die anzuzeigende Tabelle. Der Tabellenname kann Filter, Nat und Mangle sein. Wenn kein Tabellenname vorhanden ist, wird standardmäßig die Filtertabelle verwendet.
: Definieren Sie die Standardrichtlinie
: Definiert die Regeln, welche Kette in der angegebenen Tabelle angezeigt werden soll. Wenn nicht angegeben, werden die Regeln aller Ketten in einer Tabelle angezeigt.
: Aktion zur Verarbeitung von Datenpaketen, Sie können ACCEPT (Akzeptieren) und DROP (Verwerfen) verwenden.
#iptables -P INPUT ACCEPT (definiert die Standardrichtlinie der zu akzeptierenden INPUT-Kette der Filtertabelle)
#iptables -t nat -P OUTPUT DROP (definiert die Standardrichtlinie der OUTPUT-Kette der NAT-Tabelle als Verwerfen)
Erstellen Sie ein einfaches Regelbeispiel. Für Benutzer ohne Erfahrung und Zeit ist es notwendig, eine einfache und praktische Regel festzulegen. Das grundlegendste Prinzip lautet: „Zuerst alle Datenpakete ablehnen und dann die erforderlichen Datenpakete zulassen“, was normalerweise als Kette der Filtertabelle definiert wird. Im Allgemeinen wird INPUT als DROP definiert, sodass der Eingang aller Datenpakete blockiert werden kann, und andere Elemente werden als ACCEPT definiert, sodass nach außen gesendete Daten ausgehen können.
#iptables -P INPUT DROP
#iptables -P WEITERLEITEN AKZEPTIEREN
#iptables -P AUSGABE AKZEPTIEREN

3. Regeln hinzufügen, einfügen, löschen und ersetzen

#iptables [-t Tabellenname] Kettenname [Regelnummer] [-i | o Netzwerkkarte] [-p Protokolltyp] [-s Quell-IP | Quell-Subnetz] [--sport Quell-Portnummer] [-d Ziel-IP | Ziel-Subnetz] [--dport Ziel-Portnummer]
[-t Tabellenname]: Definiert die anzuzeigende Tabelle. Der Tabellenname kann Filter, Nat und Mangle sein. Wenn nicht definiert, wird standardmäßig die Filtertabelle verwendet.
-A: Neue Regel hinzufügen. Diese Regel wird der letzten Zeile der Regelliste hinzugefügt. Dieser Parameter kann die Regelnummer nicht verwenden.
-I: Fügt eine Regel ein. Die ursprüngliche Regel an dieser Position wird in der Reihenfolge nach hinten verschoben. Wenn keine Regelnummer angegeben ist, wird sie vor der ersten Regel eingefügt.
-D: Löscht eine Regel. Sie können die komplette Regel eingeben oder die Regelnummer direkt angeben.
-R: Ersetzt eine Regel. Die Reihenfolge der Regel ändert sich nach dem Ersetzen nicht. Die zu ersetzende Regelnummer muss angegeben werden.
: Geben Sie die Regeln für die Anzeige einer Kette in der angegebenen Tabelle an. Sie können INPUT, OUTPUT, FORWARD, PREROUTING, OUTPUT, POSTROUTIN verwenden.
[Regelnummer]: Die Regelnummer wird beim Einfügen, Löschen und Ersetzen von Regeln verwendet. Die Nummern sind in der Reihenfolge der Regelliste angeordnet. Die erste Regel hat die Nummer 1.
[-i | o NIC-Name]: i bezieht sich auf die NIC, von der das Datenpaket eingegeben wird, und o bezieht sich auf die NIC, von der der Stapel von Datenpaketen ausgegeben wird
[-p Protokolltyp]: Sie können das Protokoll angeben, für das die Regel gilt, einschließlich TCP, UDP, ICMP usw.
[-s Quell-IP | Quell-Subnetz]: Quell-IP oder Subnetz des Pakets
[--sport Quellportnummer]: Quellportnummer des Pakets
[-d Ziel-IP | Ziel-Subnetz]: Die Ziel-IP oder das Subnetz des Pakets
[--dport Zielportnummer]: Zielportnummer des Datenpakets
: Aktion zum Verarbeiten von Datenpaketen
#iptables -A INPUT -i lo -j ACCEPT (fügt eine Regel an, um alle Pakete von der lo-Schnittstelle zu akzeptieren)
#iptables -A INPUT -s 192.168.0.44 -j ACCEPT (füge eine Regel hinzu, um alle Pakete von 192.168.0.44 zu akzeptieren)
#iptables -A INPUT -s 192.168.0.44 -j DROP (fügt eine Regel an, um alle Pakete von 192.168.0.44 zu verwerfen)
Hinweis: iptables liest die Regeln der Reihe nach. Wenn zwei Regeln miteinander in Konflikt stehen, hat die erste Regel Vorrang.
#iptables -I INPUT 3 -s 192.168.1.0/24 -j DROP (Fügen Sie vor der dritten Regel in der INPUT-Kette eine Regel ein, um alle Pakete von 192.168.1.0/24 zu verwerfen.)
Hinweis: Wenn der Parameter -I die Einfügeposition nicht angibt, wird er am Anfang aller Regeln eingefügt
#iptables -D INPUT 2 (löscht die zweite Regel in der INPUT-Kette in der Filtertabelle)
#iptables -R INPUT 2 -s 192.168.10.0/24 -p tcp --dport 80 -j DROP (Ersetzen Sie die zweite Regel in der INPUT-Kette der Filtertabelle, um 192.168.10.0/24 den Zugriff auf TCP-Port 80 zu verbieten.)

4. Klare Regeln und Zähler

Beim Erstellen neuer Regeln müssen Sie häufig vorhandene oder alte Regeln löschen, um eine Beeinträchtigung der neuen Regeln zu vermeiden. Wenn viele Regeln vorhanden sind und es mühsam ist, sie einzeln zu löschen, können Sie den Parameter „Regel löschen“ verwenden, um schnell alle Regeln zu löschen.
#iptables [-t Tabellenname]
[-t Tabellenname]: Gibt an, auf welche Tabelle die Richtlinie angewendet wird. Sie können Filter, Nat und Mangle verwenden. Wenn nicht angegeben, wird standardmäßig die Filtertabelle verwendet.
-F: Löscht alle Regeln in der angegebenen Tabelle
-Z: Setzt die Paketzähler und Flusszähler in der angegebenen Tabelle auf Null zurück
#iptables -Z (Paketzähler und Flusszähler in der Filtertabelle auf Null setzen)
#iptables -F (alle Regeln in der Filtertabelle löschen)

5. Firewall-Regeln aufzeichnen und wiederherstellen

Mit dem Befehl „Firewall-Regeln aufzeichnen und wiederherstellen“ können Sie den vorhandenen Firewall-Mechanismus kopieren und bei Bedarf direkt wiederherstellen.
#iptables-save > Dateiname (aktuelle Firewall-Regeln aufzeichnen)
#iptables-restore > Dateiname (Firewall-Regeln in der aktuellen Hostumgebung wiederherstellen)

Zusammenfassen

Oben sind zwei vom Herausgeber vorgestellte Möglichkeiten zum Aktivieren der Firewall in Linux-Diensten. Ich hoffe, dass sie für alle hilfreich sind. Wenn Sie Fragen haben, hinterlassen Sie mir bitte eine Nachricht und der Herausgeber wird Ihnen rechtzeitig antworten. Ich möchte auch allen für ihre Unterstützung der Website 123WORDPRESS.COM danken!