标签:iptables
iptables:
防火墙分为两类:
硬件防火墙:有厂商设定好的主机硬件,以提供数据包数据的过滤机制为主。
软件防火墙:保护系统网络安全的一套软件机制。
软件防火墙:
功能:可以限制某些服务的访问来源。
工作于网络或主机的边缘(通信报文的进出口),对于进出本网络或主机的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文作出相应处理;
报文流向:
流入本机:prerouting--->input==>用户空间进程
流出本机:用户空间进程==>output-->postrouting
转发:prerouting--->forward--->postrouting
iptables四表:raw, mangle, nat, filter
五链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING;
四表:(table)
filter:过滤器,主要跟进入Linux本机的数据包有关,是默认的table。
mangle:拆解报文,按需修改
nat:network address translation---网络地址转换。(Ip层地址,传输层地址)用来进行来源于目的地的IP或port的转换,与Linux本机无关,主要与Linux主机后的局域网内计算机相关。
raw:关闭在nat表启用的连接追踪机制。
五链:链分为内置和自定义
内置链 :
perouting:在进行路由判断之前所要进行的规则。
input:主要与想进入Linux本机的数据包有关。
output:主要与Linux本机所要送出的数据包有关。
forward:与Linux本机无关,可以传递数据包到后端的计算机中,与NAT的table相关性较高。
postrouting :在进行路由判断之后所要进行的规则。
自定义链:
表与链的对应关系
filter:input forward output
mangle:input forward output perouting postrouting
nat:IP层为例(目标地址转换) output perouting postrouting
raw:output perouting
同一个链上的不同表示的规则的应用优先级(高-->低)
raw
mangle:
nat:
filter:
规则的查看与清除:
查看规则:
iptables [-t table] [-L] [-nv]
-t table:raw, mangle, nat, [filter]
-L:列出目前 table的规则。
-n:以数字形式显示地址与端口。
-v:显示详细信息
e.g. iptables -t net -nvL(注意组合使用时L必须写在最后)
iptables-save [-t table]
不指定-t则是显示全部。
Chain:链。
poliy:每条链的规则。
target:代表的操作,ACCEPT通过,REJECT拒绝,DROP,丢弃。
prot:数据包协议,如TCP,UDP,ICMP。
source:代表此规则针对于哪个IP来源进行限制。
destination:代表此规则针对于哪个目标IP来源进行限制。
清除规则:
iptables -F:清除所有已定制的规则。
iptables -X:清掉所有用户自定义的链。
iptables -Z:将所有的链的计数与流量统计都归零。
定制默认规则:
iptables -P [INPUT,OUTPUT,FORWARD] [ACCEPD,DROP]
-P:定义规则。
ACCEPD:通过
DROP:丢弃
注意:此操作会断开远程连接!!!
标签:iptables
原文地址:http://11293309.blog.51cto.com/11283309/1767810
