防火牆規則

2021-08-29 04:02:09 字數 1097 閱讀 9716

raw表:主要用來決定是否對資料報進行狀態跟蹤

mangle表:用來修改資料報的tos服務型別、ttl生存週期、為資料報設定mark標記,以實現流量整形、策略路由等高階應用

filter表:用來對資料報進行過濾,根據具體的規則要求決定如何處理乙個資料報

prerouting鏈

prerouting鏈

prerouting鏈

input鏈

output鏈

prerouting鏈

prerouting鏈

forward鏈

input鏈

output鏈

output鏈

output鏈

forward鏈

規則鏈規則鏈之間的執行順序:

入站:prerouting–input

出站:output–postrouting

**:prerouting–forward–postrouting

output鏈:當防火牆本機向外傳送資料報(出站)時,應用此鏈中的規則

prerouting鏈:在對資料報做路由選擇之前,應用此鏈中的規則

postrouting鏈:在對資料報做路由選擇之後,應用此鏈中的規則

控制型別

accept:允許資料報通過

drop:直接丟棄資料報,不給出任何回應訊息

reject:拒絕資料報通過,必要時會給資料傳送端乙個響應資訊

命令格式

iptables -t 表名 選項 鏈名 條件(資料報檢查條件) -j 控制型別

選項名功能及特點

-a在指定鏈的末尾新增一條新的規則

-d刪除指定鏈中的某一條規則,可指定規則序號或具體內容

-i在指定鏈中插入一條新的規則,未指定序號時預設作為第一條規則

-r修改、替換、指定鏈中的某一條規則,可指定規則序號或具體內容

-l列出指定鏈中所有的規則,若未指定鏈名,則列出表中的所有鏈

-f清空指定鏈中的所有規則,若未指定鏈名,則清空表中的所有鏈

-p設定指定鏈的預設策略

-n使用數字形式顯示輸出結果,如顯示ip位址而不是主機名

-v檢視規則列表式顯示詳細資訊

-h檢視命令幫助資訊

外圍防火牆規則 內部防火牆規則

外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...

LINUX防火牆規則

1 filter 主要跟linux本機有關,是預設的table.input 主要與資料報想要進入linux本機有關 output 主要與linux本機所要送出的資料報有關 forward 與linux本機沒有關係,它可以將資料報 到後端的計算機中,與nat表的相關性很高 檢視防火牆規則 iptabl...

防火牆順序規則

總規則順序 資料進來,進行比對判斷。一條乙個動作執行,上面一條比對符合後,執行 accept 就和下面規則沒有關係了。1.a情況比對符合,就執行後面的動作,後面動作有三個 accept,reject,drop 比對通過,做動作,不理會下面規則。如被過濾後還有資料,往下走。1.b情況比對不符合,又沒有...