iptables基本选项的作用、SNAT策略的应用和DNAT策略的应用

一、iptables防火墙

1、防火墙的作用和防火墙类型
1）防火墙的作用
对数据库包进行过滤和访问限制
2）防火墙功能分类
代理防火墙：对应用程序进行监控，squid代理防火墙
网络防火墙：对数据包进行过滤，iptables，firewalld网络防火墙
状态化防火墙：硬件防火墙属于状态化防火墙，深信服、华为、思科
2、防火墙内核和防火墙的管理工具
1）防火墙内核
判断Linux系统是否支持防火墙功能检查是否支持netfilter模块
默认Linux内核加载netfilter
2）防火墙管理工具
iptables：命令行管理
Firewall-cmd：命令行管理
Firewall-config：图形化管理工具
3）包过滤防火墙识别数据包的内容
源目标IP地址
源目标协议端口号
源目标MAC地址
3、iptables的四表五链作用
1）iptables的四表
filter：对数据包进行管理和netfilter模块协同工作，filter表可以识别INPU、OUTPUT、FORWARD数据

nat：网络地址转换，nat表可以识别output、prerouting、postrouting数据
mangle：对数据包打标识，方便进行流量限速，进行流量整形，设置TTL值
raw：linux×1.2.9新添加的表，对数据包进行状态跟踪

2）iptables的五链
	input：控制外部访问防火墙内部资源使用
	output：出站使用，内部访问防火墙外部资源使用
	forward：对出站和入站流量经过防火墙进行访问控制
	postrouting：查询路由表后转发，路由后转发数据
	prerouting：在路由前转发数据进行访问控制，没有查询路由表被防火墙限制流量

二、iptables防火墙表和链规则检测iptables规则使用

1、表和链的匹配顺序
1）表检测顺序
raw->mangle->net->filter
2）入站链的检测顺序
Prerouting->input
3）出站链的检测顺序
Ouput->postrouting
4）iptables转发数据链的检测顺序
Prerouting->forward->postrouting
5）防火墙链内检查顺序
从上往下检查，匹配停止检测
一直没有匹配规则匹配默认规则允许所有
2、iptables的语法结构
1）iptables语法结构
Iptables [-t 表名] 选项 [链名] [条件] [-j控制类型]
2）写iptables规则注意事项
不写表名默认是filter表
不指定链名，设置的是表内的所有链
管理选项、链名、控制类型必须使用大写
3）控制类型
ACCEPT：允许流量通过
DROP：拒绝流量通过，不会反馈用户任何提示
REJECT：拒绝流量通过，会反馈用户提示
LOG：记录到日志中
4）iptables管理选项
-A：在末尾添加防火墙规则
-I：在首行添加防火墙规则
-p：添加的协议
-P：指定特定链的默认规则
-L：写出所有规则条目
-D：删除指定的规则
-n：数字方式显示协议端口号地址信息
-v：详细信息
–line-numbers：显示防火墙规则的序号
-i：进方向
-o：出方向
-s：源网络或者IP地址信息
iptables防火墙匹配的条件
5）通用匹配条件
-s：匹配特定的源主机或者网络
-p：匹配协议，TCP或者UDP
-d：目标IP地址或者网络
-i：入站网卡
-o：出站网卡
–sport：匹配源端口号
–dport：匹配目标端口号
6）匹配多个源或者目标端口号
-m multport --dport 20、21、22

三、SNAT策略的应用和DNAT策略的应用

1、SNAT
1）SNAT的作用
修改源IP地址信息
2）SNAT的原理
将源IP地址进行修改转发到Internet
共享内部网络访问广域网数据
3）SNAT的特点
节约公网IP地址资源
隐藏公司内部网络
安全性强
4）配置SNAT将内网映射到防火墙的外网IP地址上
1）什么情况下使用
外网IP地址动态获取定期更新IP地址
使用ADSL拨号上网定期更新IP地址

四、DNAT

1、DNAT的作用和特点
1）DNAT的作用
发布内网服务器到外网提供服务使用
2）特点
目标地址转换
将内网IP地址和端口号映射到防火墙外网IP地址和端口号