资源描述:
《linux网络学习笔记》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、Iptables防火墙按防火墙对数据包的过滤方式分为:代理服务器:代理client向Internet请求数据Ip,filter:过滤数据包,实现防火墙功能iptables中的表:filter:主要与linux主机有关,默认的table,实现包过滤1,input:与进入linux本机的数据包有关2,output:与送出linux本机的数据包有关3,forward与本机无关,将数据包转发到后端的计算机中NAT表:用于来源地和目的地的ip和port转换,与linux本机无关,实现地址转换1,PREROUTING在路由判断之前,目标地址转换2,POSTROUTING路由判断之后,源
2、地址转换3,OUTPUT与送出去的数据包有关表间的优先顺序:Raw>mangle>nat>filter链间的匹配顺序:入站数据:PREROUTING,INPUT(目标地址是防火墙)出战数据:OUTPUP,POSTROUTING(源地址是防火墙)转发数据:PREROUTING,FORWARD,POSTROUTING(源和目标都不是防火墙)连内的匹配顺序:自上而下顺序依次进行检查,若在链中找不到像匹配的规则,则按该链默认的策略处理Iptables[-tnatorfilter][–L][–nv]-L:列出目前的table的规则-n:不进行ip与hostname的反查-v列出更多的
3、信息iptables–F:清除所有的已定规则-X:除掉所有用户自定义的链-Z:将所有的chain的计数与流量统计都归零(这3种命令将本机防火墙的所有规则都清除,但不会改变默认策略)-A:新增加一条规则,加载原规则的后面-I:插入一条规则,默认插入到第一条规则-D:删除一条规则-P:定义策略-N:新建一个链-R:替换1,数据包的基础比对ip/netmaski/o设备(配置filter表)Iptables[-AI链][-io网络接口][-p协议][-s(!)来源ip网段][-d目标ip网段]–j[ACCEPT
4、DROP
5、LOG]若某个网段input可接受,但某个主机不能接受应先
6、设置丢弃在设置允许(顺序不能错)2,TCP,UDP规则比对Iptables[-AI链][-io网络接口][-ptcp,udp][-s(!)来源ip网段][--sport端口范围][-d目标ip网段][--dport端口范围][--syn]–j[ACCEPT
7、DROP
8、LOG]--syn对主动联机进行处理使用sport和dport时必须指定udportcp数据包格式定义默认策略:Iptables[-tnatorfilter]–P[INPUT,OUTPUT,FORWARDorPREROUTING,POSTROUTING,OUTPUP][ACCEPT,DROP,]配置NAT表SN
9、AT:iptables-tnat-APOSTROUTING-o端口-s内网网段/主机-jSNAT--to-source防火墙外网端口ip地址DNAT:iptables-tnat-APREROUTING-i端口-ptcp-d防火墙外端口ip地址--dport80-jDNAT--to-destination内网DNAT的特殊用法:重定向,符合条件的数据包的目的ip地址改为数据包进入系统时的网络接口的ip地址。例如,将来自172.16.1.0/24,目的端口为80的数据包重定向到squid监听端口:iptables–tnat–APREROUTING–ieth0–ptcp–sip地
10、址–dport80–jREDIRECT--to–port3128防火墙实验:222.222.102.2外网serverFW内网client内网server222.222.102.1192.168.222.101192.168.222.102192.168.222.1033外网client1,配置接口ip地址2,配置外网服务器实现:WEB,FTP,MAIL,DNS3,实现防火墙路由转发功能Echo1>./proc/sys/net/ipv4/ip_forward(暂时修改)Vi/etc/sysctl.conf(永久修改)4,地址转换SNAT(此时内网客户机可以访问外网服务器)若
11、外网地址是通过拨号连接获取的将不固定,地址转换采用ip伪装Ipatables–tnat–APOSTROUTING–s子网/主机–oppp0–jMASQUERADE1,配置DNAT是外网用户可以访问内网服务器(此时外网用户可以访问内网服务器)2,配置访问控制策略:内网用户只能访问外网特定服务(www,ftp,dns)配置默认策略FORWARDINPUT为DROP放行DNS服务器(其他服务类似)(1)iptables-tfilter-AFORWARD-s内网ip网段-oeth0-ptcp/udp--dport53-jA