《零基础Linux 从入门到精通》_从零开始_轻松掌握Linux操作系统_21.3.2 基本命令参数

【摘要】 本书摘自《零基础Linux 从入门到精通》一书中第21章，第3.2节，编者是零壹快学

21.3.2 基本命令参数

iptables是基于命令行的防火墙策略管理工具，因此包含了很多参数，乍一看可能比较复杂， 但读者在学习iptables的过程中无须对复杂的参数感到害怕，只要结合实验进行学习，就会理解得 比较透彻。

首先，我们可以查看目前主机已经存在的防火墙策略，这是我们安装时默认设置的防火墙配

置，通过-L参数可以查询。如下所示。

-t参数后接表名称，可以查看该表所拥有的策略。比如我们查看nat表的策略可以通过如下

方式。

基 础 Linux 从入门到精通

在上文的输出中，每一个CHAIN代表了之前我们介绍的规则链，每一列的含义如下所示：

◇ target：表示匹配规则后执行的操作，例如ACCEPT和DROP。

◇ prot：表示使用的数据包协议，例如UDP和TCP。

◇ opt：额外选项说明。

◇ source：该条规则针对的源IP。

◇ destination：该条规则针对的目的IP。

如果不添加-t参数，通过-L参数查询的就是iptbales的默认filter表，所以第一次查询显示的规 则是处理数据包进出的filter表。在filter表中我们展示的INPUT规则链，其中最后一条的执行动作为 REJECT，也就是拦截所有进入的流量。其实这就是一种白名单策略，流量自上而下进行匹配，符 合条件的流量才允许进入主机，不符合的流量通通拒绝。白名单相比黑名单自然更具有安全性。 打个比方，我们去公司上班， 保安就相当于公司的防火墙，保安只需要记住公司里每一个人（白 名单）， 来的人如果符合公司员工的身份，就放行。那么黑名单策略是什么呢？保安需要记住的 是每个非公司员工的人，如果来的人在保安的印象中（黑名单），则不让他通过，但全世界有75 亿人，通过黑名单进行拦截总会有所疏漏，保安也不会记住这么多人。因此，白名单的安全性

更好。

通过-F参数清空所有已设置的防火墙规则，如下所示。当然，不通过-t指定表的话，默认清

第 21 章 防火墙

空filter表，之后的操作默认都为filter表。

上文我们说过，防火墙是根据数据包的特征自上而下匹配规则，如果说数据包不命中任何规 则，则执行这条规则链的默认规则。之前的默认规则为ACCEPT，但是由于在最后一条规则做了限 制， 对所有数据包执行拦截动作，其实不符合前几条规则的数据包最后都会被拦截。那么，我们 也可以设定规则链的默认规则为拦截，这样就无须在最后一条添加全部拦截了。iptables通过-P参 数设定规则链的默认策略，默认策略的设定不可以为REJECT而只能是DROP，如下所示。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们 18664393530@aliyun.com 处理，核实后本网站将在24小时内删除侵权内容。