标签:监控 读取 分类 linux 20px iptables 头部 包过滤 包括
Iptables与Firewalld防火墙
依据策略对穿越防火墙自身的流量进行过滤;利用预先定制的策略来监控出入的流量;
防火墙策略可以基于流量的源目的地址,端口号,协议,应用等信息来定制;
firewalld与iptables
1:RHEL 7 系统中,firewalld防火墙取代了 iptables防火墙;防火墙管理工具;
2:iptables服务配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理;
3:firewalld服务则交由内核层面的nftables包过滤框架处理;
4:当前Linux系统中存在多个防火墙管理工具,便于管理防火墙策略;
RHEL6之前的系统包括6,默认使用的防火墙服务;
1:策略与规则链
1)防火墙会至上而下的顺序来读取配置的策略规则;
2)策略规则的设置两种;
一种是 通,即放行;如果默认策略为允许,需设置拒绝规则;
一种是 堵,即阻止;如果默认策略为拒绝,需设置允许规则;
3)iptables服务把处理或过滤流量的策略条目称之为规则,多条规则组成一个规则链,规则链依据数据包处理位置的不同进行分类如下:
a:在进行路由选择前处理数据包(PREROUTING);
b:处理流入的数据包(INPUT);
c:处理流出的数据包(OUTPUT);
d:处理转发的数据包(FORWARD);
e:在进行路由选择后处理数据包(POSTROUTING);
4)iptables服务的术语
ACCEPT:允许流量通过;
REJECT:拒绝通过;拒绝流量后会回复短信“你的信息收到,但被扔掉了”
LOG: 记录日志信息;
DROP: 拒绝通过;拒绝流量后直接丢弃流量,无任何回应;
2:基本的命令参数
-P: 设置默认策略;
-F: 清空规则链;
-L: 查看规则链;
-A: 在规则链的末尾加入新规则;
-l num: 在规则链的头部加入新规则;
-D num: 删除一条规则;
-s: 匹配来源地址IP/MASK,加叹号 ! 表示除这个IP 外;
-d: 匹配目标地址;
-i 网卡名称: 匹配从这块网卡流入的数据;
-o 网卡名称: 匹配从这块网卡流出的数据;
-p: 匹配协议,如 TCP ,UDP ,ICMP;
--dport num: 匹配目标端口号;
--sport num: 匹配来源端口号;
标签:监控 读取 分类 linux 20px iptables 头部 包过滤 包括
原文地址:https://www.cnblogs.com/fantasyxo/p/10597442.html