Linux網絡相關、firewalld和netfilter,netfilter5表5鏈介紹,iptables語法
linux網絡相關
• ifconfig查看網卡ip(yum install net-tools)
• ifup ens33/ifdown ens33
• 設定虛擬網卡ens33:1
• mii-tool ens33 查看網卡是否鏈接
• ethtool ens33 也能夠查看網卡是否鏈接
• 更改主機名 hostnamectl set-hostname aminglinux
• DNS配置文件/etc/resolv.conf
• /etc/hosts文件html
ifconfig 查看網卡的IP,centos6默認就有,centos7沒有,須要安裝一個包net-tools
yun install -y net-toollinux
ip add 也能夠查看網卡ios
ifconfig -a 在你網卡宕掉的時候或者沒有IP的時候,ifconfig是查看不了的,用-a是能夠查看到的。vim
ifdown ens33 關閉和啓動網卡ens33centos
ifdown ens33;ifup ens33 這個命令在那些狀況下使用呢?
在針對某個網卡進行更改,好比DNS等,更改完後須要重啓服務,可是我不想把全部的網卡都重啓,這個時候,就可使用ifdown和ifup來單獨重啓這個網卡.服務器
ifdown ens33 &&ifup ens33 重啓網卡網絡
增長一個ip怎麼作呢?
首先增長一個虛擬網卡,在虛擬網卡上添加一個IP
先到網卡配置文件裏面,拷貝一個虛擬網卡dom
[root@localhost ~]# cd /etc/sysconfig/network-scripts/ [root@localhost network-scripts]# cp ifcfg-enss ifcfg-enss\:0 [root@localhost network-scripts]# vim ifcfg-ens33:0
重啓下網卡socket
# ifdown ens33 &&ifup ens33
在window上ping這個IPtcp
虛擬網卡會在lvs,keepalived 上用到。
查看某臺電腦網線是否正常 mii-tool ens33
若是mii-tool 提示no link 能夠用ethtool 來查看網卡是否正常
也能夠用 ethtool ens33 來查看網卡是否正常
hostnamectl set-hostname aminglinux 更改主機名 centos7獨有的
[root@yong-02 ~]# hostnamectl set-hostname yongge-02
hostname 查看主機名
[root@yong-02 ~]# hostname yongge-02
主機名的配置文件 /etc/hostname
[root@yong-02 ~]# cat /etc/hostname yongge-02
若是想要生效,能夠從新登陸一下
DNS的配置文件 /etc/resolv.conf
dns是在配置網卡的時候寫的。配置文件裏面修改DNS是臨時的,重啓後就不能生效了,因此要去網卡配置裏面修改DNS。
域名解析 /etc/hosts 只在本機上生效 加入192.168.180.135 www.qq.com 解析到本機IP
能夠一個IP多個域名;用空格隔開 ;
若是是一個域名多個IP,只生效最後IP.
linux防火牆-netfilter
• selinux臨時關閉 setenforce 0
• selinux永久關閉 vi /etc/selinux/config
• centos7以前使用netfilter防火牆
• centos7開始使用firewalld防火牆
• 關閉firewalld開啓netfilter方法
• systemctl stop firewalld
• systemctl disable firewalled
• yum install -y iptables-services
• systemctl enable iptables
• systemctl start iptables
永久關閉selinux
編輯配置文件 /etc/selinux/config,SELINUX=disabled ,而後重啓服務
臨時關閉selinux setenforce 0
Enforcing 強制模式,表明 SELinux 運做中,且已經正確的開始限制 domain/type 了
Permissive 寬容模式:表明 SELinux 運做中,不過僅會有警告訊息並不會實際限制 domain/type 的存取
disabled:關閉,SELinux 並無實際運做。
linux防火牆 netfilter是centos5,6自帶的
linux防火牆 firewalld是centos7的自帶的
centios7裏面也可使用 netfilter,那麼怎麼使用呢?
1)首先關閉contos7自帶的firewalld
systemctl disable firewalld
2)關閉服務
systemctl stop firewalld
3)打開netfilter,打開前先安裝一個包 iptables-services
yum install -y iptables-services
4)開啓服務
systemctl enable iptables
systemctl start iptables
5)iptables -nvL 查看規則
Linux防火牆—netfilter
- netfilter的5個表
- filter表用於過濾包,最經常使用的表,有INPUT、FORWARD、OUTPUT三個鏈
- nat表用於網絡地址轉換,有PREROUTING、POSTROUTING三個鏈
- managle表用於給數據包作標記,幾乎用不到
- raw表能夠實現不追蹤某些數據包
- security表在centos6中並無,用於強制訪問控制(MAC)的網絡規則
- 參考文章
netfilter的五個表
- 在centos中只有四個表,並無security表
[root@yong-02 ~]# man iptables
查看五個表
filter:
This is the default table (if no -t option is passed). It contains
the built-in chains INPUT (for packets destined to local sockets),
FORWARD (for packets being routed through the box), and OUTPUT (for
locally-generated packets).
nat:
This table is consulted when a packet that creates a new connection
is encountered. It consists of three built-ins: PREROUTING (for
altering packets as soon as they come in), OUTPUT (for altering
locally-generated packets before routing), and POSTROUTING (for
altering packets as they are about to go out). IPv6 NAT support is
available since kernel 3.7.
mangle:
This table is used for specialized packet alteration. Until kernel
2.4.17 it had two built-in chains: PREROUTING (for altering incom‐
ing packets before routing) and OUTPUT (for altering locally-gener‐
ated packets before routing). Since kernel 2.4.18, three other
built-in chains are also supported: INPUT (for packets coming into
the box itself), FORWARD (for altering packets being routed through
the box), and POSTROUTING (for altering packets as they are about
to go out).
raw:
This table is used mainly for configuring exemptions from connec‐
tion tracking in combination with the NOTRACK target. It registers
at the netfilter hooks with higher priority and is thus called
before ip_conntrack, or any other IP tables. It provides the fol‐
lowing built-in chains: PREROUTING (for packets arriving via any
network interface) OUTPUT (for packets generated by local pro‐
cesses)
security:
This table is used for Mandatory Access Control (MAC) networking
rules, such as those enabled by the SECMARK and CONNSECMARK tar‐
gets. Mandatory Access Control is implemented by Linux Security
Modules such as SELinux. The security table is called after the
filter table, allowing any Discretionary Access Control (DAC) rules
in the filter table to take effect before MAC rules. This table
provides the following built-in chains: INPUT (for packets coming
into the box itself), OUTPUT (for altering locally-generated pack‐
ets before routing), and FORWARD (for altering packets being routed
through the box).
- filter表,就是默認的一個表,包含了三個內置的鏈:INPUT、FORWARD、OUTPUT
- INPUT鏈,表示數據進來的包進來要通過的一個鏈,進入到本機
- 好比,進入到本機後,將80端口進來的數據包,訪問80端口的數據包檢查下它的原IP是什麼,發現可疑的IP須要禁掉
- FORWARD鏈,這個數據包到了機器,並不會進入內核裏,由於這個這數據包不是給你處理的,而是給另一臺機器處理的,因此這時候須要判斷下你的目標地址是否爲本機,若是不是本機,則須要通過FORWARD這個鏈
- 在通過 FORWARD鏈的時候,也會作一些操做,把目標地址作一些更改,或者作一個轉發
- OUTPUT鏈,是在本機產生的一些包,在出去以前作的一些操做
- 好比,這個包是發給某一個IP的,這個IP我要禁掉,不讓這個包過去(已加入到黑名單),只要是到那個IP的,都給禁掉。
- INPUT鏈,表示數據進來的包進來要通過的一個鏈,進入到本機
- nat表,也有三個鏈PREROUTING 、OUTPUT、POSTROUTING
- PREROUTING鏈,這個鏈用來更改這個數據包——>在進來的那一刻就去更改
- OUTPUT鏈,它和上面filter表中的OUTPUT鏈是同樣的
- POSTROUTING鏈,這個鏈也是更改數據包——>在出去的那一刻更改
- nat表,使用案列
- 路由器的實現的共享上網就是nat實現的
- 端口映射
- mangle表和raw表和security表幾乎用不到
參考文章
- 參考文章
- iptables傳輸數據包的過程
- ① 當一個數據包進入網卡時,它首先進入PREROUTING鏈,內核根據數據包目的IP判斷是否須要轉送出去。
- ② 若是數據包就是進入本機的,它就會沿着圖向下移動,到達INPUT鏈。數據包到了INPUT鏈後,任何進程都會收到它。本機上運行的程序能夠發送數據包,這些數據包會通過OUTPUT鏈,而後到達POSTROUTING鏈輸出。
- ③ 若是數據包是要轉發出去的,且內核容許轉發,數據包就會如圖所示向右移動,通過FORWARD鏈,而後到達POSTROUTING鏈輸出。
- 總結:
- 若是是本機的,則會通過PREROUTING鏈--->INPUT鏈--->OUTPUT鏈--->POSTROUTING鏈
- 若是不是本機的,則會通過PREROUTING鏈--->FORWARD鏈--->POSTROUTING鏈
iptables語法
- 查看iptables規則:iptables -nvL
- iptables -F 清空規則
- service iptables save 保存規則
- iptables -t nat 參數-t 指定表
- iptables -Z 能夠把計數器清零
- iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
- iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP
- iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
- iptables -nvL --line-numbers
- iptables -D INPUT 1
- iptables -P INPUT DROP
iptables命令
- iptables -nvL 查看iptables默認規則
[root@yong-02 ~]# iptables -nvL //查看iptables規則
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
357 28956 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
2 184 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
18 1404 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 251 packets, 57368 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
- service iptables restart 重啓iptables規則
[root@yong-02 ~]# service iptables restart Redirecting to /bin/systemctl restart iptables.service
- 存放默認規則的位置
- /etc/sysconfig/iptables
[root@yong-02 ~]# cat /etc/sysconfig/iptables //存放默認規則的位置 # sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
iptables -F清空規則
- iptables -F清空規則
- 在清空規則後,再去查看,會發現沒有規則了(可是在文件中依舊保存這規則)
[root@yong-02 ~]# iptables -F [root@yong-02 ~]# iptables -nvL Chain INPUT (policy ACCEPT 14 packets, 924 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 8 packets, 768 bytes) pkts bytes target prot opt in out source destination
-
service iptables save 保存規則
- 如果在清空規則後,去執行service iptables save保存規則,那存放規則的文件也會變成所保存的規則
-
在iptables -F清空規則後,重啓service restart iptables.service(重啓服務器或者iptables規則),都會加載配置文件裏面的規則
- 在重啓規則後,會看到原先被清空的規則從新加載了
[root@yong-02 ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
[root@yong-02 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
6 396 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 4 packets, 480 bytes)
pkts bytes target prot opt in out source destination
- iptables -t nat -nvL 查看nat表中的規則
- 在不指定表的時候,默認就是 filter 表
iptables -Z 把計數器清零
- iptables -Z 把計數器清零
- 在查看filter表的時候,會看到第一列和第二列都是有數據的
- 第一列,是有多少個包
- 第二列,是數據量,數據大小(單位:bytes字節)
- 在查看filter表的時候,會看到第一列和第二列都是有數據的
[root@yong-02 ~]# iptables -Z ; iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
- 這裏會看到數字都清零了,但過一會再來查看,會看到數字又出現了(由於在每時每刻都在通訊)
[root@yong-02 ~]# iptables -t filter -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
4 280 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 3 packets, 1396 bytes)
pkts bytes target prot opt in out source destination
iptables新增規則 -A
- 在iptables命令中,沒有-t 指定表的時候,默認就是filter表
- iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
- -A,就是增長一條規則(這裏針對的是INPUT鏈)
- 新增的規則會在規則的最後面
- -s ,指定來源IP
- -p,指定它的協議,是TCP,仍是UDP,或者是ICMP協議
- -sport,來源的端口
- -d,指目標的IP
- -dport,指目標的端口
- -j,操做
- DROP,扔掉
- REJECT,拒絕
- -A,就是增長一條規則(這裏針對的是INPUT鏈)
- DROP扔掉和REJECT拒絕,最終實現的效果是同樣的,都是爲了讓數據包過不來,至關於把IP給封掉
- DROP和REJECT區別:
- DROP,在這個數據包來了以後,看都不看直接扔掉
- REJECT,在這個數據包來了以後,先看一看,看完以後,在拒絕
[root@yong-02 ~]# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP //新增規則
[root@yong-02 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
21 1508 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
1 229 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
0 0 DROP tcp -- * * 192.168.188.1 192.168.188.128 tcp spt:1234 dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 6 packets, 872 bytes)
pkts bytes target prot opt in out source destination
iptables命令 參數 -I 插入 insert
- iptables -I INPUT -p tcp --dport 80 -j DROP
- 這裏是簡寫,不指定來源IP,和目標IP,只寫目標的端口——>但必定要指定tcp/ip
- 如果使用了 dport 或 sport ,那麼前面必須 -p 指定它的協議
[root@yong-02 ~]# iptables -I INPUT -p tcp --dport 80 -j DROP
[root@yong-02 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
32 2276 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
1 229 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
0 0 DROP tcp -- * * 192.168.188.1 192.168.188.128 tcp spt:1234 dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 4 packets, 512 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
- -I和-A的區別:
- -I,表示插入
- -A,表示增長
- 如果規則添加到前面,則是優先過濾最前面的規則,而後再去往下一條條的執行
- 如果數據包匹配了第一條規則(同時知足兩條規則),就會先匹配第一條規則。一旦匹配了第一條規則,那麼數據包就會被抓取掉了,就不會再往下執行規則了
- 一旦匹配規則,當即執行
iptables命令參數-d 刪除規則
- iptables -D INPUT -s 1.1.1.1 -j DROP 刪除規則
[root@yong-02 ~]# iptables -D INPUT -p tcp --dport 80 -j DROP //刪除規則
[root@yong-02 ~]# iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP //刪除規則
[root@yong-02 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
243 18884 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
2 462 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 5 packets, 908 bytes)
pkts bytes target prot opt in out source destination
根據編號刪除規則
- 刪除規則的另外一種方法
- iptables -nvL --line-numbers 打印出規則的序列號
- 第一列就是number
[root@yong-02 ~]# iptables -nvL --line-number Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 396 31108 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 2 462 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 6 0 0 DROP tcp -- * * 192.168.188.1 192.168.188.128 tcp spt:1234 dpt:80 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 4 packets, 656 bytes) num pkts bytes target prot opt in out source destination [root@yong-02 ~]# iptables -D INPUT 6 //刪除序列6的規則 [root@yong-02 ~]# iptables -nvL --line-number Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 455 35012 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 2 462 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 4 packets, 432 bytes) num pkts bytes target prot opt in out source destination
iptables命令 參數 -P
-
iptables -P OUTPUT DROP 默認的規則
- 鏈中,有一個默認的策略policy,policy ACCEPT表示這個鏈不加這些規則的話,那OUTPUT沒有任何的規則,因此對於OUTPUT鏈的數據包來說,policy ACCEPT就是由默認的策略來決定的
- 默認的策略是由ACCEPT來決定,全部的數據包只要是沒有具體的規則來匹配,那麼它就走默認的策略
- 鏈中,有一個默認的策略policy,policy ACCEPT表示這個鏈不加這些規則的話,那OUTPUT沒有任何的規則,因此對於OUTPUT鏈的數據包來說,policy ACCEPT就是由默認的策略來決定的
-
默認的規則最好不要去改變!!!
相關文章
- 1. 網絡相關firewalld和netfilter netfilter5表5鏈 介紹iptables語法
- 2. Linux網絡相關、firewalld和netfilter、netfilter5表5鏈介紹和iptables語法
- 3. Linux網絡相關、firewalld和netfilter、netfilter5表5鏈介紹、iptables語法
- 4. 11.29 Linux網絡相關 firewalld和netfilter netfilter5表5鏈介紹 iptables語法
- 5. linux網絡相關 firewalld和netfilter netfilter5表5鏈介紹 iptables語法
- 6. Linux網絡相關 firewalld和netfilter netfilter5表5鏈介紹 iptables語法
- 7. Linux網絡相關的命令、firewalld和netfilter、netfilter5表5鏈介紹、iptables語法
- 8. Linux網絡相關,firewalld和netfilter,netfilter5表5鏈介紹,iptables語法
- 9. Linux網絡相關、firewalld和netfilter 、netfilter5表5鏈介紹 、 iptables語法
- 10. Linux網絡相關,firewalld和netfilter , netfilter5表5鏈介紹 , iptables語法
- 更多相關文章...
- • 網站主機 介紹 - 網站主機教程
- • XML 相關技術 - XML 教程
- • NewSQL-TiDB相關
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. vs2019運行opencv圖片顯示代碼時,窗口亂碼
- 2. app自動化 - 元素定位不到?別慌,看完你就能解決
- 3. 在Win8下用cisco ××× Client連接時報Reason 422錯誤的解決方法
- 4. eclipse快速補全代碼
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代碼的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒發生變種 新文件名將帶有「.UIWIX」後綴
- 8. 【原創】Python 源文件編碼解讀
- 9. iOS9企業部署分發問題深入瞭解與解決
- 10. 安裝pytorch報錯CondaHTTPError:******
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 網絡相關firewalld和netfilter netfilter5表5鏈 介紹iptables語法
- 2. Linux網絡相關、firewalld和netfilter、netfilter5表5鏈介紹和iptables語法
- 3. Linux網絡相關、firewalld和netfilter、netfilter5表5鏈介紹、iptables語法
- 4. 11.29 Linux網絡相關 firewalld和netfilter netfilter5表5鏈介紹 iptables語法
- 5. linux網絡相關 firewalld和netfilter netfilter5表5鏈介紹 iptables語法
- 6. Linux網絡相關 firewalld和netfilter netfilter5表5鏈介紹 iptables語法
- 7. Linux網絡相關的命令、firewalld和netfilter、netfilter5表5鏈介紹、iptables語法
- 8. Linux網絡相關,firewalld和netfilter,netfilter5表5鏈介紹,iptables語法
- 9. Linux網絡相關、firewalld和netfilter 、netfilter5表5鏈介紹 、 iptables語法
- 10. Linux網絡相關,firewalld和netfilter , netfilter5表5鏈介紹 , iptables語法