Linux中Iptables使用

概念:网络中的防火墙,是一种将内部网络和外部网络分开的方法,是一种隔离技术

作用:

防火墙在内网与外网通信时进行访问控制,依据所设置的规则对数据包作出判断,最大限度地阻止网络中的黑客破坏企业网络,从而加强了企业网络安全

防火墙的分类

硬件防火墙,如思科的ASA防火墙

软件防火墙,如iptables

linux包过滤防火墙的概述

linux操作系统中默认内置一个软件防火墙,即iptables防火墙

Netfilter

位于linux内核中的包过滤功能体系

称为linux防火墙的“内核态”

Iptables

位于/sbin/iptables,用来管理防火墙规则的工具

称为linux防火墙的“用户态”

规则链

规则的作用:对数据包进行过滤或处理

链的作用:容纳各种防火墙规则

链的分类依据:处理输出包的不同时机

默认包括5种规则链

input:处理入站数据包

output:处理出站数据包

forward:处理转发数据包

postrouting链:在进行路由选择后处理数据包

prerouting链:在进行路由选择钱处理数据包

规则表

表的作用:容纳各种规则链

表的划分依据:防火墙规则的作用相似

默认包括4个规则表

raw表:确定是否对数据包进行状态跟踪

mangle表:为数据包设置标记

nat表:修改数据包中的源、目标IP地址或端口

filter表:确定是否放行该数据包

规则表之间的顺序

#raw-mangle-nat-filter

规则链之间的顺序

入站:prerouting-input

出站:output-postrouting

转发:prerouting-forward-postrouting

规则链内的匹配顺序

按顺序依次检查,匹配即停止

若找不到匹配规则,按该链的默认策略处理

filter:过滤器

input:进入

output:出去

forward:转发

accept:允许

reject:拒绝

drop:丢弃

Linux中Iptables使用_第1张图片

iptables规则操作

添加

-A 在链的末尾追加一条规则

-I 在链的开头插入一条规则

查看

-L 列出所有的规则条目

-n 以数字形式显示地址、端口等信息

-v 以更详细的方式显示规则信息

--line-numbers 查看规则时,显示规则的序号

删除、清空规则

-D 删除链内指定序号

-F 清空所有的规则

设置默认策略

-P 为指定的链设置默认规则

通用匹配

可直接使用、不依赖其他条件或扩展

包括网络协议、IP地址、网络接口等条件

隐含匹配

要求以特定的协议匹配作为前提

包括端口、TCP标记、ICMP类型等条件

常见的通用匹配条件

协议匹配 -p 协议名

协议匹配 -s 源地址 -d 目的地址

接口匹配 -I 入站网卡 -o 出站网卡

你可能感兴趣的:(linux,linux,网络,php)