防火牆:
載體區分:
硬體防火牆
軟體防火牆:應用層防火牆、網路層防火牆(linux包過濾防火牆)
保護物件區分:
主機防火牆
網路防火牆
linux包過濾防火牆:
netfilter:位於linux核心的包過濾功能體系(核心態)
iptables:位於/sbin/iptables,管理規則的工具(使用者態)
iptables管理結構:
iptables的表、鏈結構:
1. raw表:確定是否對資料報進行狀態跟蹤
2. mangle表:為資料報設定標記
3. nat表:修改資料報的源/目標位址或埠
4. filter表:確定是否放行該資料報(過濾表)
規則鏈解析:
-input:處理入站資料報
-output:處理出站資料報
-forward:處理**資料報
-prerouting:路由選擇之前處理
-postrouting:路由選擇之後處理
順序比對,匹配即停止(log除外),若無任何匹配,則按預設策略處理。
iptables基本應用:
管理程式位置:/sbin/iptables
指令組成:iptables [-t 表名] 選項 [鏈名] [-j 目標操作]
例如:iptables –t filter –i input –p icmp –j reject
注意事項/整體規律:
-可以不指定表,預設為filter
-可以不指定鏈,預設為對應表的所有鏈
-除非設定預設策略,否則必須指定匹配條件
-選項/鏈名/目標操作,用大寫字母,其餘都小寫
基本的目標操作:
accept:允許通行/放行
reject:拒絕訪問,必要時會給出提示
drop:直接丟棄,不給任何回應
log:記錄日誌,然後傳給下一條規則
iptables的管理選項:
-i:新增策略(開頭或指定位置)
-a: 新增策略(末尾)
-l:查詢策略(列出所有)
-n:列出位址和埠等資訊
-d:刪除鏈內指定的一條規則
-f:清空所有規則
-p:為指定的鏈設定預設規則
基本的匹配條件(取反用!)
通用匹配:
-要求以特定的協議匹配作為前提
-包括埠(源–sport、目標–dport)、tcp標記(–tcp-flags)、icmp(–icmp-type)型別等條件
擴充套件匹配:
iptables … … -m 模組名
狀態匹配:-m start –
狀態跟蹤機制:
-new:請求建立連線的包、完全陌生的包
-established:將要或已經建立的連線的包
-related:與已知某個連線相關聯的包
-invalid:無對應連線,以及連線無效的包
-untracked:未跟蹤狀態的包
Linux學習系列之Iptables
iptables命令是linux上常用的防火牆軟體,是netfilter專案的一部分。可以直接配置,也可以通過許多前端和圖形介面配置。iptables 選項 引數 t 表 指定要操縱的表 a 向規則鏈中新增條目 d 從規則鏈中刪除條目 i 向規則鏈中插入條目 r 替換規則鏈中的條目 l 顯示規則鏈中...
iptables零基礎快速入門系列
最近發現一博主 朱雙印,他的關於iptables的系列部落格,講解的非常棒,遂記錄下來,以便查閱。iptables詳解 1 iptables概念 iptables詳解 2 iptables實際操作之規則查詢 iptables詳解 3 iptables規則管理 iptables詳解 4 iptable...
linux學習筆記 iptables命令
iptables命令是linux上常用的防火牆軟體,是netfilter專案的一部分。可以直接配置,也可以通過許多前端和圖形介面配置 語法 iptables 選項 引數 選項 t 表 指定要操縱的表 a 向規則鏈中新增條目 d 從規則鏈中刪除條目 i 向規則鏈中插入條目 r 替換規則鏈中的條目 l ...