码迷,mamicode.com
首页 > 系统相关 > 详细

Linux网络安全模型及iptables详解(1)

时间:2016-12-03 16:10:34      阅读:382      评论:0      收藏:0      [点我收藏+]

标签:iptables   netfilter   4表5链   防火墙   主机防火墙   网络防火墙   

Linux网络安全模型及iptables详解


基本概念

Firewall:工作在主机或网络边缘,对进出的报文按事先定义的规则进行检查,

 并且由匹配到的规则进行处理的一组硬件或软件,甚至可能是两者的组合


硬件防火墙:在硬件级别实现部分功能的防火墙:另一个部分功能基于软件实现

软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙;



主机防火墙:工作于主机边缘,只能对一台主机起到保护作用

网络防火墙:工作于网络边缘,对多台主机起到保护作用(定向规则)


iptables:防火墙规则编写工具,位于用户空间

netfilter:网络过滤器,是一个框架(让规则生效),位于内核空间


技术分享



技术分享



报文流向

    到本机内部某进程的报文:prerouting --> input

    由本机转发的报文:prerouting --> forward --> postrouting

    由本机的某进程发出的报文:output --> postrouting


4表

filter:过滤,防火墙
nat:网络地址转换
mangle:拆解报文,作出修改,并重新封装
raw:关闭nat表上启用的连接追踪机制



表和链的对应关系

FORWARD --> filter、mangle
INPUT --> filter、mangle
OUT --> filter、mangle、nat
PREROUTING --> mangle、nat
POSTROUTING --> mangle、nat


4表5链(图片来源网络)


技术分享


规则:

通:白名单,默认为堵,只对能识别的进行放行

堵:黑名单,默认为通,只对能识别的进行阻截



检查条件

IP:SIP,DIP
TCP:SPORT,DPORT,FLags(syn,ack,fin...)
UDP:SPORT,DPORT
ICMP:ICMP-TYPE(报文类型)
......



处理机制:

DROP(丢弃),
REJECT(拒绝,并返回)
ACCEPT(允许)
SNAT(源地址转换)
DNAT(目标地址转换)
RETURN(返回)
REDIRECT(端口转发)
LOG(只记录日志)



本文出自 “似水流年” 博客,请务必保留此出处http://sixijie123.blog.51cto.com/11880770/1879090

Linux网络安全模型及iptables详解(1)

标签:iptables   netfilter   4表5链   防火墙   主机防火墙   网络防火墙   

原文地址:http://sixijie123.blog.51cto.com/11880770/1879090

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!