iptables基本选项的作用、SNAT策略的应用和DNAT策略的应用

一、iptables防火墙

1、防火墙的作用和防火墙类型
1)防火墙的作用
对数据库包进行过滤和访问限制
2)防火墙功能分类
代理防火墙:对应用程序进行监控,squid代理防火墙
网络防火墙:对数据包进行过滤,iptables,firewalld网络防火墙
状态化防火墙:硬件防火墙属于状态化防火墙,深信服、华为、思科
2、防火墙内核和防火墙的管理工具
1)防火墙内核
判断Linux系统是否支持防火墙功能检查是否支持netfilter模块
默认Linux内核加载netfilter
2)防火墙管理工具
iptables:命令行管理
Firewall-cmd:命令行管理
Firewall-config:图形化管理工具
3)包过滤防火墙识别数据包的内容
源目标IP地址
源目标协议端口号
源目标MAC地址
3、iptables的四表五链作用
1)iptables的四表
filter:对数据包进行管理和netfilter模块协同工作,filter表可以识别INPU、OUTPUT、FORWARD数据

nat:网络地址转换,nat表可以识别output、prerouting、postrouting数据
mangle:对数据包打标识,方便进行流量限速,进行流量整形,设置TTL值
raw:linux×1.2.9新添加的表,对数据包进行状态跟踪

2)iptables的五链
	input:控制外部访问防火墙内部资源使用
	output:出站使用,内部访问防火墙外部资源使用
	forward:对出站和入站流量经过防火墙进行访问控制
	postrouting:查询路由表后转发,路由后转发数据
	prerouting:在路由前转发数据进行访问控制,没有查询路由表被防火墙限制流量

二、iptables防火墙表和链规则检测iptables规则使用

1、表和链的匹配顺序
1)表检测顺序
raw->mangle->net->filter
2)入站链的检测顺序
Prerouting->input
3)出站链的检测顺序
Ouput->postrouting
4)iptables转发数据链的检测顺序
Prerouting->forward->postrouting
5)防火墙链内检查顺序
从上往下检查,匹配停止检测
一直没有匹配规则匹配默认规则允许所有
2、iptables的语法结构
1)iptables语法结构
Iptables [-t 表名] 选项 [链名] [条件] [-j控制类型]
2)写iptables规则注意事项
不写表名默认是filter表
不指定链名,设置的是表内的所有链
管理选项、链名、控制类型必须使用大写
3)控制类型
ACCEPT:允许流量通过
DROP:拒绝流量通过,不会反馈用户任何提示
REJECT:拒绝流量通过,会反馈用户提示
LOG:记录到日志中
4)iptables管理选项
-A:在末尾添加防火墙规则
-I:在首行添加防火墙规则
-p:添加的协议
-P:指定特定链的默认规则
-L:写出所有规则条目
-D:删除指定的规则
-n:数字方式显示协议端口号地址信息
-v:详细信息
–line-numbers:显示防火墙规则的序号
-i:进方向
-o:出方向
-s:源网络或者IP地址信息
iptables防火墙匹配的条件
5)通用匹配条件
-s:匹配特定的源主机或者网络
-p:匹配协议,TCP或者UDP
-d:目标IP地址或者网络
-i:入站网卡
-o:出站网卡
–sport:匹配源端口号
–dport:匹配目标端口号
6)匹配多个源或者目标端口号
-m multport --dport 20、21、22

三、SNAT策略的应用和DNAT策略的应用

1、SNAT
1)SNAT的作用
修改源IP地址信息
2)SNAT的原理
将源IP地址进行修改转发到Internet
共享内部网络访问广域网数据
3)SNAT的特点
节约公网IP地址资源
隐藏公司内部网络
安全性强
4)配置SNAT将内网映射到防火墙的外网IP地址上
1)什么情况下使用
外网IP地址动态获取定期更新IP地址
使用ADSL拨号上网定期更新IP地址

四、DNAT

1、DNAT的作用和特点
1)DNAT的作用
发布内网服务器到外网提供服务使用
2)特点
目标地址转换
将内网IP地址和端口号映射到防火墙外网IP地址和端口号

你可能感兴趣的:(iptables防火墙笔记)