raw表:主要用來決定是否對資料報進行狀態跟蹤
mangle表:用來修改資料報的tos服務型別、ttl生存週期、為資料報設定mark標記,以實現流量整形、策略路由等高階應用
filter表:用來對資料報進行過濾,根據具體的規則要求決定如何處理乙個資料報
prerouting鏈
prerouting鏈
prerouting鏈
input鏈
output鏈
prerouting鏈
prerouting鏈
forward鏈
input鏈
output鏈
output鏈
output鏈
forward鏈
規則鏈規則鏈之間的執行順序:
入站:prerouting–input
出站:output–postrouting
**:prerouting–forward–postrouting
output鏈:當防火牆本機向外傳送資料報(出站)時,應用此鏈中的規則
prerouting鏈:在對資料報做路由選擇之前,應用此鏈中的規則
postrouting鏈:在對資料報做路由選擇之後,應用此鏈中的規則
控制型別
accept:允許資料報通過
drop:直接丟棄資料報,不給出任何回應訊息
reject:拒絕資料報通過,必要時會給資料傳送端乙個響應資訊
命令格式
iptables -t 表名 選項 鏈名 條件(資料報檢查條件) -j 控制型別
選項名功能及特點
-a在指定鏈的末尾新增一條新的規則
-d刪除指定鏈中的某一條規則,可指定規則序號或具體內容
-i在指定鏈中插入一條新的規則,未指定序號時預設作為第一條規則
-r修改、替換、指定鏈中的某一條規則,可指定規則序號或具體內容
-l列出指定鏈中所有的規則,若未指定鏈名,則列出表中的所有鏈
-f清空指定鏈中的所有規則,若未指定鏈名,則清空表中的所有鏈
-p設定指定鏈的預設策略
-n使用數字形式顯示輸出結果,如顯示ip位址而不是主機名
-v檢視規則列表式顯示詳細資訊
-h檢視命令幫助資訊
外圍防火牆規則 內部防火牆規則
外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...
LINUX防火牆規則
1 filter 主要跟linux本機有關,是預設的table.input 主要與資料報想要進入linux本機有關 output 主要與linux本機所要送出的資料報有關 forward 與linux本機沒有關係,它可以將資料報 到後端的計算機中,與nat表的相關性很高 檢視防火牆規則 iptabl...
防火牆順序規則
總規則順序 資料進來,進行比對判斷。一條乙個動作執行,上面一條比對符合後,執行 accept 就和下面規則沒有關係了。1.a情況比對符合,就執行後面的動作,後面動作有三個 accept,reject,drop 比對通過,做動作,不理會下面規則。如被過濾後還有資料,往下走。1.b情況比對不符合,又沒有...