欢迎来到天天文库
浏览记录
ID:51606198
大小:738.00 KB
页数:30页
时间:2020-03-25
《Linux安全应用-iptables防火墙.ppt》由会员上传分享,免费在线阅读,更多相关内容在PPT专区-天天文库。
1、RHEL6__Linux安全应用轻舞飞扬第六章iptables防火墙(一)——理论部分熟悉Linux防火墙的表、链结构理解数据包匹配的基本流程学会编写iptables规则技能展示本章结构iptables防火墙(一)iptables的表、链结构数据包控制的匹配流程添加、查看、删除规则规则的匹配条件Linux防火墙基础基本语法、控制类型编写防火墙规则netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”iptables位于/sbin/iptables,用来管理防火墙规则的工具称为L
2、inux防火墙的“用户态”——上述2种称呼都可以表示Linux防火墙Linux包过滤防火墙概述2-1包过滤的工作层次主要是网络层,针对IP数据包体现在对包内的IP地址、端口等信息的处理上Linux包过滤防火墙概述2-2链路层网络层传输层应用代理链路层网络层传输层应用层链路层网络层传输层应用层外部网络网络层防火墙受保护网络规则链规则的作用:对数据包进行过滤或处理链的作用:容纳各种防火墙规则链的分类依据:处理数据包的不同时机默认包括5种规则链INPUT:处理入站数据包OUTPUT:处理出站数据包FORWARD:处
3、理转发数据包POSTROUTING链:在进行路由选择后处理数据包PREROUTING链:在进行路由选择前处理数据包iptables的表、链结构3-1规则表表的作用:容纳各种规则链表的划分依据:防火墙规则的作用相似默认包括4个规则表raw表:确定是否对该数据包进行状态跟踪mangle表:为数据包设置标记nat表:修改数据包中的源、目标IP地址或端口filter表:确定是否放行该数据包(过滤)iptables的表、链结构3-2默认的表、链结构示意图iptables的表、链结构3-3filter表第1条规则第2条
4、规则第3条规则……INPUT链……FORWARD链……OUTPUT链mangle表PREROUTING链……POSTROUTING链……INPUT链……OUTPUT链……FORWARD链……raw表PREROUTING链……OUTPUT链……nat表PREROUTING链……POSTROUTING链……OUTPUT链……规则表之间的顺序rawmanglenatfilter规则链之间的顺序入站:PREROUTINGINPUT出站:OUTPUTPOSTROUTING转发:PREROUTINGFORW
5、ARDPOSTROUTING规则链内的匹配顺序按顺序依次检查,匹配即停止(LOG策略例外)若找不到相匹配的规则,则按该链的默认策略处理数据包过滤的匹配流程2-1匹配流程示意图数据包过滤的匹配流程2-2本机的应用进程mangle:POSTROUTINGmangle:FORWARDraw:PREROUTINGraw:OUTPUTmangle:INPUT转发数据流向入站数据流向网络A网络Bmangle:PREROUTINGnat:PREROUTINGnat:POSTROUTINGfilter:INPUTmangl
6、e:OUTPUTnat:OUTPUTfilter:OUTPUT路由选择filter:FORWARD路由选择出站数据流向请思考:Linux防火墙默认包括哪几个表、哪几种链?对于转发的数据包,会经过哪几种链的处理?在同一个规则链内,规则匹配的特点是什么?小结语法构成iptables[-t表名]选项[链名][条件][-j控制类型]iptables的基本语法2-1[root@localhost~]#iptables-tfilter-IINPUT-picmp-jREJECTC:UsersAdminist
7、rator>ping192.168.4.254正在Ping192.168.4.254具有32字节的数据:来自192.168.4.254的回复:无法连到端口。来自192.168.4.254的回复:无法连到端口。……阻止ping测试几个注意事项不指定表名时,默认指filter表不指定链名时,默认指表内的所有链除非设置链的默认策略,否则必须指定匹配条件选项、链名、控制类型使用大写字母,其余均为小写数据包的常见控制类型ACCEPT:允许通过DROP:直接丢弃,不给出任何回应REJECT:拒绝通过,必要时会给出提示LO
8、G:记录日志信息,然后传给下一条规则继续匹配iptables的基本语法2-2添加新的规则-A:在链的末尾追加一条规则-I:在链的开头(或指定序号)插入一条规则iptables的管理选项5-1[root@localhost~]#iptables-tfilter-AINPUT-ptcp-jACCEPT[root@localhost~]#iptables-IINPUT-pudp-jACCEPT[root@
此文档下载收益归作者所有