iptables基礎:
iptables的5條鏈分別是:
prerouting 路由前
input 發到本機程序的報文
ouput 本機某程序發出的報文
forword **
postrouting 路由後
iptables的4張表:
filter 負責過濾工程,防火牆; 核心模組:iptables_filter
nat 網路位址轉換功能,核心模組:iptables_nat
mangle 拆解報文,做出修改,並重新封裝,核心模組:iptables_mangle
raw 關閉nat表上啟用的連線追蹤機制,iptables_raw
postrouting 路由後
iptables其實不是真正的防火牆,我們可以將其理解為乙個客戶端**,使用者通過iptables這個**,將使用者的安全設定執行到對乙個的「安全框架」(netfilter)中,這個框架才是真正的防火牆。
netfilter是防火牆真正的框架,netfilter位於核心空間。
iptables其實是乙個命令工具,位於使用者空間,我們用這個工具操作真正的框架。
鏈與表對應的功能:
prerouting的規則可以存在於:raw表、mangle表、nat表。
input的規則可以存在於:mangle表、filter表、(centos7中還有nat表,centos6中沒有)
forword的規則可以存在於:mangle表、filter表。
output的規則可以存在於:raw表、mangle表、nat表、filter表。
postrouting的規則可以存在於:mangle表、nat表。
在實際的使用過程中,通常是以表作為操作入口,對規則進行定義,表與鏈的關係羅列:
raw表的規則可以被prerouting、output使用
mangle表的規則可以被prerouting、input、forword、output、postrouting使用
nat表中的規則可以被prerouting、output、postrouting使用
filter表中的規則可以被input、forword、output使用
1.查詢每張表中的含有的鏈:
iptables -t 表名 -l
-t 指定要操作的表;-l 列出規則
!(
2.查詢每張表中的鏈裡面對乙個的規則:
iptables -t filter -l input/output/forword/prerouting/postrouting
!(pkts:對應的規則匹配到的報文數
bytes:對應匹配到的報文包的大小總和
target:規則對應的target,往往表示規則對應的「動作」,即規則匹配成功後需要採取的措施
prot:表示規則對應的協議,是否只針對某些協議應用此規則
opt:表示規則對應的選項
in:表示資料報由哪個介面網絡卡接入,我們可以設定通過哪塊網絡卡流入的報文需要匹配當前的規則
out:表示資料報由哪個介面(網絡卡)流出,我們可以設定通過哪塊網絡卡流出的報文需要匹配當前的規則
destination:表示規則對應的目標位址,可以是乙個ip,可以是乙個網段
3.iptables --line-number -t 表名 -l 鏈名 檢視某張表中的某條鏈
!(--line-number 表示顯示規則的序號; -n 表示不解析ip位址
Linux Iptables命令詳解
ipaddr ipaddr port port 可以指定乙個單一的新的ip位址,乙個ip位址範圍,也可以附加乙個埠範圍 只能在指定 p tcp 或者 p udp的規則裡 如果未指定埠範圍,源埠中512以下的 埠 會被安置為其他的512以下的埠 512到1024之間的埠會被安置為1024以下的,其他埠...
Linux iptables規則詳解
filter input drop 345 43237 forward accept 0 0 output accept 306 41346 ainput p tcp m tcp dport 10022 j accept ainput p tcp m tcp dport 80 j accept ai...
Linux iptables基本管理
1.iptables基本管理 問題本案例要求熟悉iptables工具的基本管理,分別練習以下幾方面的操作 檢視當前生效的防火牆規則列表 追加 插入新的防火牆規則,修改現有的防火牆規則 刪除 清空指定的防火牆規則 方案採用兩台rhel6虛擬機器,在其中svr5上配置iptables防火牆規則,pc20...