返回
Linux下Iptables配置

Linux下Iptables配置

ID:37710427

大小:27.92 KB

页数:9页

时间:2019-05-29

Linux下Iptables配置_第1页
Linux下Iptables配置_第2页
Linux下Iptables配置_第3页
Linux下Iptables配置_第4页
Linux下Iptables配置_第5页
资源描述:

《Linux下Iptables配置》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Linux包过滤防火墙1,什么是包过滤防火墙2,包过滤的工作层工作在网络层3,工作原理数据包过滤通过对数据包的IP头和TCP或UDP头的检查来实现的主要有:IP源地址IP目标地址协议(tcp包,udp包,和icmp包)tcp或udp的源端口imcp消息类型tcp包头中的ack位数据包到达的端口数据包出去的端口包过滤技术的优缺点使用iptables实现包过滤相关的TCP/IP支持假如A要和B通信1,(SYN)B要和A通信时,B首先向A发一个SYN标记的包,告诉A请求建立连接2,(SYN/ACK)A收到后

2、回发送一对SYN包的确认包(SYN/ACK)回去,表示对第一个SYN包的确认,并继续握手操作3,(ACK)B收到SYN/ACK包后,B发一个确认包ACK,通知A连接已建立。三次握手完成,一个TCP连接完成TCP连接的每个包都会设置ACK位,这就是连接跟踪的重要意义,放火墙将无法判断收到的ACK属于一个已经建立的连接结束TCP连接iptables语法一条iptables规则基本上因该包含5个要素指定表table分别是filter,nat和mangle指定操作命令command包括添加,删除,更新指定链c

3、hains对于包过滤防火墙可操作filter表中的INPUT链,OUTPUT链和FORWARD链指定规则匹配器mather可以指定各种规则匹配,如IP地址,端口,包类型指定目标动作target当规则匹配一个包时,真正要执行的任务用目标标识。最常目标为ACCEPT,DROP,REJECT表示拒绝,丢弃包的同时给发送没有接受的通知,LOG表示包的有关信息被记录日志,TOS表示改写包的TOS值语法:iptables[-ttable]CMD[chain][rule-matcher][-jtarget]tabl

4、e为表名,CMD为操作命令,chain为链名,rule-matcher为规则匹配器,target为目标动作iptables的常用操作命令-A或--append在所有的链的结尾加入一条或多条规则-D或--delete在所有的链删除-R或--replace替换一条匹配的规则-I或--insert以给出的规则号在所选链中插入一条或多条规则。如果规则号是1,插入的规则的链的头部-L或--list列出指定链的所有规则,如果没有指定链,将列出所有链中的所有规则-F或--flush清除指定链和表中的所有规则,假如不

5、指定,将全部删除-N或--new-chain以给定的名字创建一条新的用户自定义链。不能与已有的链同名-X或--delete-chain删除指定的用户定义链-P或--policy(n政策,方针)为永久链指定默认规则。用户定义链没有默认规则。缺剩规则也是规则链中的最后一条规则用-L命令显示时它在第一行显示-C或--check检测给定的包是否与指定链的规则相匹配-X或--zero将指定链中所有规则的包字节(byte)计数器清零-h显示帮助信息iptables常用的规则匹配器-p,[!]protocol指出要

6、匹配的协议,可以是tcp,udp,icmp,all.协议名前缀"!",为逻辑非-s[!]address[/mask]根据源地址或地址范围确定是否允许或拒绝数据包通过过滤器--sport[!]port[:port]指定匹配规则的源端口或端口范围。可以用端口号-d[!]address[/mask]根据目的地址或地址范围确定是否允许或拒绝数据包通过过滤器-dport[!]port[:port]指定匹配规则的目的端口或端口范围,可以用端口号,也可以用/etc/services文件中的名字--icmp-type

7、[!]typename指定匹配规则的ICMP信息类(可以使用iptables-picmp-h查看有效的icmp类型名)-i[!]interfacename[+]匹配单独的接口或某种类型的接口设置过滤规则。此参数忽略时,默认符合所有接口。接口可以使用否定符"!"来匹配不是指定接口来包.参数interfacename是接口名,如eth0,eth1,ppp0等。指定一个目前不存在的接口是完全合法的。规则直到接口时才起作用,这种指定对于PPP及该选项只有对INPUT,FROWARD和PREROUTING链是合

8、法的-o[!]interfacename[+]仅仅匹配设置了SYN位,清除了ACK,FIN位的TCP包.这些包表示请求初始化的TCP连接。阻止从接口来的这样的包将会组织外来的TCP连接请求。但输出的TCP连接请求将不受影响。这个参数仅仅当协议类型设置为TCP时才能用 -m--match-m选项引出了iptables的state扩展模块,比如mac扩展模块,它实现根据主机网卡的MAC地址进行权限控制的规则:iptables-AINPUT-ptcp-mmac

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。