iptables 包過濾型防火牆(1)

2021-09-25 22:25:41 字數 1580 閱讀 7529

概述

firewall: 防火牆,隔離工具;工作於主機或網路的邊緣,對於進出本主機或網路的報文根據事先定義好的檢查規則作匹配檢測,對於能夠被規則所匹配到的報文做出相應處理的元件;

主機防火牆:主機自己使用的防火牆

網路防火牆:放在流量必經之處的的防火牆

ipfw ip防火牆

ipchains 鏈

iptables/netfilter

framework: netfilter 框架

hooks function:鉤子函式,作為檢查點。

rule utils: iptables:規則單元

iptables功能:

filter: 過濾,防火牆;

nat: network address translation, 網路位址轉換;

mangle:拆解報文,做出修改,封裝報文;

raw:關閉nat表上啟用的連線追蹤機制;

iptables

鏈(內建):

prerouting

input

forward

output

postrouting

流量檢查點

流入:prerouting –> input

流出:output –> postrouting

**:prerouting –> forward –> postrouting

各功能的分別實現:

filter:input, forward, output

nat: prerouting(dnat), output, postrouting(snat)

mangle:prerouting, input, forward, output, postrouting

raw:prerouting, output

路由發生的時刻:

報文進入本機後:

判斷目標主機;

報文發出之前:

判斷經由哪個介面送往下一跳;

iptables:四表五鏈

新增規則時的考量點:

(1) 要實現哪種功能:判斷新增在哪張表上;

(2) 報文流經的路徑:判斷新增在哪個鏈上;

鏈:鏈上規則的次序,即為檢查的次序;因此隱含一定的法則

(1) 同類規則(訪問同一應用),匹配範圍小的放上面;

(2) 不同類規則(訪問不同應用),匹配到報文頻率較大的放上面;

(3) 將那些可由一條規則描述的多個規則合併為乙個;

(4) 設定預設策略;

功能的優先順序次序:raw –> mangle –> nat –> filter

規則:組成部分:報文的匹配條件,匹配到之後處理動作

匹配條件:根據協議報文特徵指定

基本匹配條件

擴充套件匹配條件

處理動作:

內建處理機制

自定義處理機制

注意:報文不會經過自定義鏈,只能在內建鏈上通過規則進行引用後生效;

iptables:規則管理工具

新增、修改、刪除、顯示等;

規則和鏈有計數器:

pkts:由規則或鏈所匹配到的報文的個數;

bytes:由規則或鏈匹配到的所有報文大小之和;

iptables 防火牆使用

刪除原有規則 1.iptables f 2.iptables x 3.iptables t nat f 4.iptables t nat x 5.iptables p input drop 阻止所有網路入包 6.iptables a input i eth0 j accept 接受所有網路 7.ip...

iptables防火牆指令碼

root hkweb root cat etc bin bash echo 1 proc sys ipv4 ip forward i iface eth0 i ip 202.96.155.37 lan iface eth1 lan ip 10.0.0.252 lan ip range 10.0.0....

史上最強防火牆iptables

1.清空所有的防火牆規則 iptables f iptables x iptables z iptables t nat f iptables t nat x iptables t mangle f iptables t mangel x 2.載入防火牆所需要的模組 lsmod grep e nat...