CentOS防火牆命令詳解

一、基本介紹

CentOS防火牆命令是CentOS中自帶的一款防火牆程序，通過管理iptables實現對CentOS系統中進出網絡的流量進行管理和控制。iptables是一種基於內核的Linux防火牆工具，可以用於控制網絡流量、保護服務器免受攻擊。

iptables是由網絡管理員和開發者維護的開源項目，在安全領域具有廣泛的應用。CentOS防火牆命令是對iptables的封裝，方便管理CentOS防火牆，可以理解成CentOS防火牆命令就是iptables的命令調用。

二、CentOS防火牆命令的使用

1、啟動/關閉CentOS防火牆

啟動和關閉CentOS防火牆非常簡單，只需執行以下命令：

啟動CentOS防火牆：
iptables -F
iptables -X
iptables -Z
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

關閉CentOS防火牆：
/etc/init.d/iptables stop

上述命令中，-F 表示清除所有規則；-X 表示刪除所有用戶自定義的鏈；-Z 表示將所有計數器歸零；-P 表示設置默認鏈的策略。

2、添加/刪除規則

添加規則可以讓管理員在防火牆中指定哪些端口是允許訪問的，哪些是禁止訪問的。刪除規則則可以取消管理員之前設置的規則。下面分別介紹添加和刪除規則的命令：

添加規則：
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

- 參數A：表示添加一條規則
- 參數INPUT：表示應用規則的鏈名
- -p tcp：表示應用規則的協議為TCP
- --dport 80：表示協議端口號為80
- -j ACCEPT：表示執行接受操作

刪除規則：
iptables -D INPUT -p tcp --dport 80 -j ACCEPT

- 參數D：表示刪除一條規則
- 參數INPUT：表示應用規則的鏈名
- -p tcp：表示應用規則的協議為TCP
- --dport 80：表示協議端口號為80
- -j ACCEPT：表示執行接受操作

添加規則和刪除規則的操作相反，其中-p表示協議，可以是tcp或udp。–dport表示端口。如果要允許多個端口，可以將端口號用逗號隔開。

3、查看規則

為了驗證規則設置是否正確，需要經常查看已經設置的規則。下面介紹這個命令的使用方法：

查看規則：
iptables -L [-t 表名] [-vn]

- 參數-L：表示列出所有已經設置的規則
- 參數-t：表示要操作的表名，默認為filter表
- 參數-v：表示顯示詳細信息
- 參數-n：表示不對ip和端口進行反解析，提升速度

三、高階用法

1、IP地址屏蔽

IP地址屏蔽是一種常見的防護方式，可以屏蔽一段IP地址的訪問。下面介紹如何屏蔽IP地址：

屏蔽IP地址：
查找需要屏蔽的ip地址：whois IP地址

#屏蔽所有來自192.168.1.0/24網段的訪問：
iptables -I INPUT -d 192.168.1.0/24 -j DROP

whois IP地址可以幫助我們查找到需要屏蔽的IP地址所屬的網絡段。-d表示目標地址。將DROP替換為ACCEPT，則可以允許特定IP段的訪問。

2、端口映射

端口映射是一種常見的網絡編程技術，將內部的端口映射到外部網絡上，如將內部的80端口映射到外部的8080端口。下面介紹如何進行端口映射：

端口映射：
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.2:80

- 參數-A：表示添加規則
- 參數PREROUTING：表示在路由前修改
- 參數-t nat：表示使用nat表
- 參數-i eth0：表示轉發流量的網絡接口
- -p tcp：表示數據協議為TCP
- --dport 80：表示數據端口為80
- -j DNAT：表示轉發到新的地址
- --to 192.168.0.2:80：表示轉發到的新的地址和端口

上述命令中-i表示使用的網絡接口，–dport表示端口。如果要映射多個端口，可以將端口號用逗號隔開。

3、限速

在網絡中，為了防止某個服務損耗過多網絡資源，可以使用限速來限制服務運行的帶寬和速度。下面介紹如何進行限速：

限速：
iptables -A OUTPUT -p tcp -o eth0 --dport 80 -m limit --limit 500/s -j ACCEPT

- 參數-A：表示添加規則
- 參數OUTPUT：表示輸出的鏈名
- -p tcp：表示協議為TCP
- -o eth0：表示限制該網卡的帶寬
- --dport 80：表示端口為80
- -m limit：表示增加一個模塊限制
- --limit 500/s：表示限制每秒鐘處理量為500
- -j ACCEPT：表示接收操作

上述命令中，-p表示協議，可以是tcp或udp。-o表示限制該網卡的帶寬，–dport表示端口。–limit表示每秒鐘允許處理的流量。將ACCEPT替換為DROP，則表示拒絕超出限制的請求。