SUSE iptables设置

备注

目前我还没有完整实践SuSE iptables: 为了快速搭建服务器,我关闭了 SuSEfirewall2_setup 服务,也就是停止了iptables防火墙。后续再做实践研究。

SuSEfirewall2_setup

SuSE的配置交互方式都可以通过YaST2来完成,防火墙的配置也不例外。并且,SuSE默认启用了防火墙,导致外部不能访问本机服务,例如ssh。这是一个安全策略,但是也带来初始安装的SuSE虚拟机使用不便。

在SuSE Enterprise Linux又一个 “SuSEfirewall2_setup” 服务用来控制防火墙设置,并且使用 YaST firewall工具配置管理。这个防火墙服务停止就会清空iptables规则,我们在手工配置管理iptables之前,需要先停止这个服务。

  • 停止防火墙:

    systemctl stop SuSEfirewall2_setup

  • 禁止防火墙启动:

    systemctl disable SuSEfirewall2_setup

提示信息:

Removed symlink /etc/systemd/system/multi-user.target.wants/SuSEfirewall2.service.
Removed symlink /etc/systemd/system/multi-user.target.wants/SuSEfirewall2_init.service.
Removed symlink /etc/systemd/system/SuSEfirewall2_setup.service.

配置基本iptables规则

iptables基本tables

Table

说明

Filter

默认netfilter表就是Filter,如果 iptables 命令没有使用 -t 参数,则默认也是使用这个表。这个Filter表包含内建的 INPUT 链(发往本地sockets的数据包), FORWARD 链(在主机内部路由的数据包) 和 OUTPUT 链(本地产生的数据包)

Mangle

这个Mangle表是特殊数据包修改表。从Kernel 2.4.18开始,有3个内建的链路表: INPUT , FORWARDOUTPUT

NAT

NAT表是在数据包创建新的连接时触发。包含3个内建链路: PREROUTING (用于在数据包进入时修改) OUTPUT (用于本地产生的数据包被路由前做修改) 和 POSTROUTING (当数据包发出去时候修改)

RAW

RAW表是具备 NOTRACK 标签的数据包免除连接跟踪。这个表链在netfilter hooks中使用较高的优先级,并且在 ip_conntrack 或其他任何 IP表之前调用。提供了以下两个内建链路: PREROUTINGOUTPUT

参考