iptables常用部分如下:
三表:
filter表,負責過濾資料報,包括的規則鏈有,input,output和 forward;
nat表,涉及到網路位址轉換(私網-公網)-路有層次,包括的規則鏈有,prerouting,postrouting和output、input;
mangle表,主要應用在修改資料報內容上,用來做流量整形的,給資料報打個標識,預設的規則鏈有:input,output、 forward,postrouting,prerouting;
五鏈:
input匹配目標ip是本機的資料報,入口流量;
output匹配出口資料報,一般不在此鏈上做配置;
forward匹配流經本機的資料報;
postroutiing用來修改源位址用來做snat(源nat–修改的源ip–家用共享上網snat)。
如:內網通過路由器nat轉換功能實現,內網pc機通過乙個公網ip位址上網。 表名
prerouting
input
output
forward
postrouting
raw有無有
無無mangle有有
有有有nat有有
有無有filter無有
有有無
-->prerouting-->[route]-->forward-->postrouting-->
mangle | mangle ^mangle
nat | filter |nat
v |
input output
|mangle ^mangle
|filter |nat
v------->local------>|filter
資料報分為兩類:
1. 直接發給防火牆的資料報;
2. 經過防火牆的資料報
資料報流轉過程:1. 資料報進入網絡卡時,首先進入prerouting鏈,核心判斷是否**,判斷依據是:資料報的目的ip;
2. 如果目的ip是本機,則資料報到達input鏈,此時任何程序都會收到該資料報;
3. 本機程式傳送的資料報,首先進入output鏈,再經過postrouting鏈後輸出到網路中。
4. 如果目的ip不是本機,需要本機**的,且核心允許**,則資料報經過forward鏈,到達postrouting鏈,最後輸出到網路中。
[表]的優先匹配順序為:raw > mangle > nat > filter
[鏈]的優先匹配順序為:
入站資料:prerouting,input;
出站資料:output,postrouting;
**資料:prerouting,forward,postrouting
[鏈]內匹配順序:
- 找不到匹配的規則,則按照預設規則執行;(一般預設是「允許」)
Ubuntu防火牆的管理工具
sudo apt get install ufw 安裝ufw 啟用防火牆 sudo ufw enable sudo ufw default deny 常用命令 sudo ufw enable disable 開啟 關閉防火牆 sudo ufw status 檢視防火牆狀態 sudo ufw vers...
iptables 防火牆使用
刪除原有規則 1.iptables f 2.iptables x 3.iptables t nat f 4.iptables t nat x 5.iptables p input drop 阻止所有網路入包 6.iptables a input i eth0 j accept 接受所有網路 7.ip...
iptables防火牆指令碼
root hkweb root cat etc bin bash echo 1 proc sys ipv4 ip forward i iface eth0 i ip 202.96.155.37 lan iface eth1 lan ip 10.0.0.252 lan ip range 10.0.0....