使用注意:
使用iptables首先要確認核心配置了,即linux核心要支援該功能,否則使用者態下直接執行iptables命令是不能正常使用的。
具體配置那些選項需要根據實際需要確定。具體選項很多,一般選常用的就可以了。
核心選項
config_packet : 允許程式直接訪問網路裝置,tcpdump 和 snort也要使用這個功能。嚴格地說,iptables並不需要config_packet,但由於其他程式需要,一般涉及網路的應用都會將它選上。
config_netfilter: 允許計算機作為閘道器或防火牆。要使用iptables,這個是必須選的。
下面是4.4核心的menuconfig
根據需要進入選擇即可。核心支援後,就可以在使用者態下使用了。
netfilter防護原理
在核心中的tcp/ip協議棧上選擇了5個點(又稱為「卡哨」),這5個點是報文一定會流經的位置,並配置5個鉤子函式(hook_function);當有報文經過時,被鉤子函式鉤起,對規則進行檢查,並按照一定的機制(又可稱為「功能」)完成處理
原理圖
說明:上圖顯示了netfilter的實現原理,以及其主要的4大功能:raw,mangle,nat,filter
資料報經netfilter的過濾匹配流程
raw:prerouting output
nat : prerouting output postrouting
圖1:
圖2:
說明1:圖1和圖2都是資料報流向的描述,個人感覺圖2更加形象,可以看出資料報經netfilter的過濾匹配流程就是針對netfilter的4大功能,在5個卡哨間停留匹配的過程
具體使用命令,可以參考其他網頁
原理說明好文,可以看看
Linux之iptables 二 基本認識和組成
iptables的基本認識 netfilter元件 防火牆工具 firewalld iptables的組成 五個內建鏈chain netfilter表和鏈對應關係 iptables nvl t 錶可查對應關係 資料報過濾匹配流程 iptables和路由 報文離開本機之前 核心中資料報的傳輸過程 ip...
關於iptables的常用技巧方法
iptables的起源發展防火牆的工作原理等這裡我們就不在複述。這裡主要記錄下日常運維過程中關於iptables的命令,引數及實際運用。iptables f 清除預設表filter中的所有規則鏈的規則 iptables x 清除預設表filter中使用者自定鏈中的規則 iptables p 設定預設...
教你認識主機板上的主要晶元
1 bios晶元 bios basic input output system 是基本輸入u出系統,它是為電腦中的硬體提供服務的。bios屬於唯讀儲存器,它包含了系統啟動程式 系統啟動時必需的硬體裝置的驅動程式 基本的硬體介面裝置驅動程式。目前,主機板中的bios晶元主要由award和ami兩個公司...