Iptables:

软件防火墙(software iptables )和硬件防火墙( hardware iptables)两种:
      一般企业里都使用的是硬件防火墙,因为对内网的防护能力是不可估测的,所以价格也是相当昂贵。如果内部网络主机不对外网提供服务,而只是为内部提供网络服务(Samba/FTP/Postfix),那么就没必要花费更高的费用来购买硬件防火墙,那么这是选择软件防火墙是不错的选择,所以我们又必要了解防火墙的常识.例如:常用到的命令和常用的处理动作。
      为了让服务器更加安全,添加iptables规则是必不可少的,如果对iptables不是很了解的话,可能在服务器上添加规则的时候,难免会造成不可想象的结果,所以要对iptables做下简单的介绍。

   
   
   
   
  1. netfilter

  2.    位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”

  3. iptables

  4.    位于/sbin/iptables,用来管理防火墙规则的工具,称为Linux防火墙的“用户态”

iptables的表、链结构

   
   
   
   
  1. 规则链

  2.    规则的作用:对数据包进行过滤或处理

  3.    链的作用:容纳各种防火墙规则

  4.    链的分类依据:处理数据包的不同时机

  5. 默认包括5种规则链

  6.    INPUT:处理入站数据包

  7. OUTPUT:处理出站数据包

  8. FORWARD:处理转发数据包

  9.    POSTROUTING链:在进行路由选择后处理数据包(SNAT)

  10.    PREROUTING链:在进行路由选择前处理数据包(DNAT)

  11. 规则表

  12.    表的作用:容纳各种规则链

  13.    表的划分依据:防火墙规则的作用相似

  14. 默认包括4个规则表

  15.    raw表:确定是否对该数据包进行状态跟踪

  16.    mangle表:为数据包设置标记

  17.    nat表:修改数据包中的源、目标IP地址或端口

  18.    filter表:确定是否放行该数据包(过滤)


数据包过滤的匹配流程

   
   
   
   
  1. 规则表之间的顺序

  2.    raw->mangle->nat->filter

  3. 规则链之间的顺序

  4.    入站:PREROUTINGINPUT

  5.    出站:OUTPUTPOSTROUTING

  6.    转发:PREROUTINGFORWARDPOSTROUTING

  7. 规则链内的匹配顺序

  8.    按顺序依次检查,匹配即停止(LOG策略例外),若找不到相匹配的规则,则按该链的默认策略处理

Linux包过滤防火墙概述
     主要是网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理上

LINUX安全监测与防护之一:IPTABLES_第1张图片

在日常添加iptabes规则常用的命令与处理动作

   
   
   
   
  1. 命令

  2. 管理规则:

  3.        -A:附加一条规则,添加在链的尾部

  4.        -I CHAIN [num]: 插入一条规则,插入为对应CHAIN上的第num条;

  5.        -D CHAIN [num]: 删除指定链中的第num条规则;

  6.        -R CHAIN [num]: 替换指定的规则;

  7. 管理链:

  8.        -F [CHAIN]:flush,清空指定规则链,如果省略CHAIN,则可以实现删除对应表中的所有链

  9.        -P CHAIN: 设定指定链的默认策略;

  10.        -N:自定义一个新的空链

  11.        -X: 删除一个自定义的空链

  12.        -Z:置零指定链中所有规则的计数器;

  13.        -E: 重命名自定义的链;

  14. 查看类:

  15.        -L: 显示指定表中的规则;

  16.            -n: 以数字格式显示主机地址和端口号;

  17.            -v: 显示链及规则的详细信息

  18.            -vv:  

  19.            -x: 显示计数器的精确值

  20. --line-numbers: 显示规则号码

  21. 动作(target): ACCEPT:放行、DROP:丢弃、REJECT:拒绝、DNAT:目标地址转换、SNAT:源地址转换 REDIRECT:端口重定向、MASQUERADE:地址伪装、LOG:日志、MARK:打标记

匹配标准:(通用匹配和扩展匹配)

   
   
   
   
  1. 通用匹配:

  2. 协议匹配:-p {tcp|udp|icmp}

  3. 地址匹配

  4.            -s 源地址(src)

  5.            -d 目标地址(dst)

  6. 接口匹配

  7.            -i interface(指定数据报文流入的接口)

  8.                可用于定义标准链:PREROUTING、INPUT、FORWARD

  9.            -o interface(指定数据报文流出的接口)

  10.                可用于定义标准链:OUTPUT、POSTROUTING、FORWARD

  11. 扩展匹配:

  12. 隐含匹配:注(不用特别指明由哪个模块进行的扩展,因此此时使用-p {tcp|udp|icmp)

  13.            端口匹配:

  14. --sport 源端口

  15. --dport 目标端口

  16.            TCP标记匹配:

  17. --tcp-flags mask[检查范围]  comp[被设置的标记]

  18.                说明:

  19.                    只检查mask指定的标志位,用逗号分隔的标志位列表;

  20.                    comp此列表中出现的标记位必须为1,comp中没出现,而mask中出现的,必须为0;

  21.            ICMP类型匹配:

  22. --icmp-type ICMP类型

  23.                    8: (请求)echo-request

  24.                    0: (相应)echo-reply

  25.                    3:主机不可达          

  26. 显示匹配:注(必须之明由哪个模块进行的扩展,在iptables中使用-m选项可完成此功能)

  27.            状态匹配:

  28.                -m state --state 连接状态

  29.            多端口匹配:

  30.                -m multiport --sports | --dports  端口列表

  31.            IP地址范围匹配:

  32.                -m iprange  --src-range IP地址范围

  33. --destination-ports IP地址范围

  34.    条件取反:!