欢迎来到天天文库
浏览记录
ID:37580744
大小:550.24 KB
页数:11页
时间:2019-05-25
《iptables防火墙原理介绍和配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、作者:潜小生open.source.niche@gmail.comIPTABLES防火墙:IPTABLES防火墙是基于网络层的防火墙,状态检测防火墙。以上图为例子首先假如这个外部网络的数据到达这个IPTABLES防火墙(iptables防火墙是网络层防火墙)数据解封装,解封到网络层这步,查看里面源,目IP、协议、端口等经过数据的过滤,如果允许,就交给下一层处理,最后封装比特流传输到这个受保护的网络。IPTABLE和IPTABLE和netfiler和和netfiler之间的区别netfiler之间的区别IPTABLES和netfilter,net
2、filer是基于linux内核的一种防火墙。而IPTABLES基于netfiler之上是一个工具。IPTABLES是一种工具,而不是防火墙,Netfiler才是防火墙,这个IPTABLES和netfiler之间的根本区别。IPTABLES防火墙的IPTABLES防火墙的3表333表5表表5链的介绍55链的介绍::::Netfiler提供3表5链,分别的是filter表,nat表,mangle表,INPUT链,OUTPUT链,FORWARD链,PRETOUING链POSTROUTING链。Filter表有INPUT链,OUTPUT链,FORWAR
3、D链,通常基于数据包的过滤,看是否允许通过。nat表有PRETOUING链POSTROUTING链。通常用于IP地址转换(源IP地址转换和目的IP地址转换)。内网地址转换公网地址出去。Mangle表有INPUT链,OUTPUT链,FORWARD链,PRETOUING链POSTROUTING链。通常用于流量整形(QOS)什么类型的数据流设置优先级,优先出去,在数据包打上优先级。INPUTINPUT链INPUT链链链::::防火墙自己本身的,访问自己的数据包。查看自己数据是否访问自己的权限,如果是,看是否允许通过,不允许丢弃或者拒绝。OUTPUTO
4、UTPUT链OUTPUT链链链::::防火墙自己本身出去的数据包访问权限。(可以说自己限制自己,自己的本身IP看是否允许通过和拒绝)FORWARDFORWARD链FORWARD链链链::::不是访问防火墙本身的数据包,而是访问防火墙以外的网络。PREROUTINGPREROUTING链PREROUTING链链链::::在路由前先查看相应的规则看是否允许通过,是否允许交给路由处理,不允许直接丢弃或者拒绝,通常用于做DNAT(目的地址转换)。POSTROUTINGPOSTROUTING链POSTROUTING链链链在路由后查看相应的规则,是否允许和
5、拒绝,不允许直接丢弃或拒绝,通常用于做SNAT(源地址转换)。IPTABLESIPTABLES防火墙配置IPTABLES防火墙配置::::一一一、一、、、列出列出(((查看(查看)))规则链)规则链iptables-L-n-tfilter-L列出规则-t选择哪个表(主要分3个表filternatmangle)目前规则链为空(没有规则)先添加个一规则列在查看(这里表示源地址192.168.1.0的网段禁止访问IPTABLES自己本身)二二二、二、、、添加规则链添加规则链-A添加规则链-t选择哪个表(主要分3个表filternatmangle)-j
6、操作行为(主要有ACCEPT允许DROP丢弃REJECT拒绝但访问结果给你提示)在这之前iptables–F清空规则(解释:这里选择的是filter表,-A选择了FORWARD规则链,-s源IP-d目的IP也就是说IP地址为192.168.1.7的拒绝访问200.200.200.2-jDROP丢弃)三三三、三、、、清空规则链清空规则链Iptables–tfilter–F清空filter表规则链Iptables–tnat–F清空nat表规则链Iptables–F不加-t参数这里默认filter表四四四、四、、、插入规则插入规则-I插入规则链先添加
7、个规则链这里1代表插入第一行规则链五五五、五、、、删除规则删除规则-D删除规则1代表删除第一行规则链六六六、六、、、定义缺省规则定义缺省规则-P定义默认规则链DROP拒绝ACCEPT允许格式-PINPUTDROP-PINPUTACCEPT七七七、七、、、添加自定义规则链添加自定义规则链-N自定义规则八八八、八、、、删除自定义规则链删除自定义规则链-X自定义规则链基于IP地址定义规则-s源IP地址-d目的IP地址这里源IP为192.168.1.7的地址禁止访问200.200.200.0网段(/24代表子网位)源IP为192.168.1.9的地址允
8、许止访问200.200.200.0网段九九九、九、、、基于接口定义规则基于接口定义规则-I进入的数据-o出去的数据iptables-tfilter-A
此文档下载收益归作者所有