《linux操作系统》课件 第 10 章 实战篇 .pptx

任务10.1限制网络连接

CATALOGUE目录1.任务分析与实施iptables命令解析应用举例任务实战案例2.3.4.

01任务分析与实施

启动并设置开机启动使用systemctlstartiptables启动iptables服务，再通过systemctlenableiptables设置为开机启动，保证系统重启后防火墙规则持续生效。配置文件解析配置文件/etc/sysconfig/iptables-config中的IPTABLES_MODULES可指定额外模块，如NAT模块，便于实现复杂网络功能。

IPTABLES_SAVE_ON_STOP和IPTABLES_SAVE_ON_RESTART控制规则保存时机，确保规则变更可持久化，避免因服务重启或停止导致规则丢失。安装iptables在openEuler24系统中，使用yuminstalliptables-services-y命令安装iptables，确保系统具备防火墙功能，为后续网络限制操作提供基础。iptables安装与启动

规则链分类iptables包含INPUT、OUTPUT、FORWARD等预定义链，分别处理入站、出站和转发的数据包，明确各链作用是配置防火墙规则的前提。规则链作用通过向规则链添加规则，可精确控制数据包的处理方式，如允许或拒绝特定IP地址的访问，实现对网络连接的限制。自定义链创建使用iptables-N创建自定义链，可将复杂规则归类管理，简化规则结构，提高规则管理效率。iptables规则链理解

配置文件修改编辑/etc/sysconfig/iptables-config文件，根据需求调整配置参数，如设置IPTABLES_STATUS_NUMERIC=yes以数字形式显示状态输出，便于直观查看规则效果。规则保存与应用使用serviceiptablessave命令保存规则，确保配置持久化，避免因服务重启导致规则丢失，保障网络限制策略的长期有效。服务重启与验证修改配置后重启iptables服务，通过iptables-L等命令验证规则是否正确加载，确保防火墙按预期工作。配置iptables服务

02iptables命令解析

输入iptables--help查看命令帮助，了解各参数含义，为后续规则配置提供指导。查看帮助信息A、-C、-D等参数分别用于追加、检查和删除规则，灵活运用这些参数可实现对防火墙规则的精细管理。常用参数说明命令帮助查看

使用iptables-[ACD]chainrule-specification[options]对规则链进行操作，如追加允许特定IP访问的规则，实现对网络连接的精确控制。规则链操作通过iptables-Ichain[rulenum]rule-specification[options]在指定位置插入规则，或使用iptables-Rchainrulenumrule-specification[options]替换现有规则，灵活调整规则顺序和内容。规则插入与替换使用iptables-Dchainrulenum[options]删除指定规则，或使用iptables-F[chain][options]清空规则链，快速调整防火墙策略。规则删除与清空基本用法与参数

01.02.03.使用iptables-L[chain[rulenum]][options]查看规则链中的规则，结合-n、-v等参数以数字形式详细显示规则信息，便于直观了解防火墙配置。规则查看使用iptables-S[chain[rulenum]][options]以可读形式打印规则，结合-x参数显示确切数值，为规则分析和优化提供数据支持。规则统计使用iptables-Z[chain][options]将规则链的计数器归零，重新统计数据包和字节流量，确保统计信息准确。计数器归零规则查看与统计

03应用举例

使用iptables-AINPUT-s00-jACCEPT追加允许特定IP访问的规则，确保内部网络设备可正常访问服务器。追加规则使用iptables-CINPUT-ptcp--dport22-jACCEPT检查是否存在允许SSH访问的规则，避免重复配置。检查规则规则追加与检查

使用iptables-IINPUT1-ptcp--dport80-jACCEPT在INPUT链顶部插入允许HTTP访问的规则，优先处理外部访问请求。插入规则使用iptables-RINPUT1-ptcp--dport443-jACCEPT替换第一条规则为允许HTT