码迷,mamicode.com
首页 > 系统相关 > 详细

linux之防火墙

时间:2019-09-02 09:47:28      阅读:114      评论:0      收藏:0      [点我收藏+]

标签:mangle   snat   操作   pre   NPU   分类   策略   删除   名称   

IPtable

  ip的table ip的表格

  IPtable只是netfilter的前段管理工具;netfilter是Linux 内核提供的数据流量管理模块;

  IPtable /netfilter 数据流量管理框架;

  普遍人问IPtable 就是一个防火墙

1、网络防火墙

  首先:网络防火墙一般处在外网出口处;

  主要对于内外网交互的流量进行监控与过滤

2、主机防火墙(并不是360.XXX管家)

  主机有内核空间和用户空间,netfilter的过滤模块运行在内核空间,但是,他又无法提供数据匹配,我们需要函数调用netfilter模块,匹配数据流量。

  5个钩子匹配数据流量:就有我们所说的Chain(钩子函数)

  PREROUTEING

  FORWARD

  OUTPUT

  POSTOUTING

流量三种:

  1、到达主机的流量

  2、通过的主机的流量

  3、主机发起的流量

4张表来决定行为:

  1、raw 保持连接(建议关闭这个表)

  2、mangle 数据包修改

  3、nat  nat映射 包括SNAT DNAT

  4、filter 数据报过滤(默认启用)

   那些表,可以关联哪些表

  raw ---OUTPUT PEEROUTING

  mangle --- INPUT OUTPUT PEEROUTING PREROUTEING FORWAED

  nat ---------- OUTPUT PEEROUTING PREROUTEING

  filter------INPUT OUTPUT FORWAED

注意:写策略时需要关联钩子,策略是属于“钩子”的,而“钩子”只做策略匹配,但是不能进行数据操作,我们需要在关联表,每一种表决定了一种行为操作;

  表--------包含链,而链包含策略;

3、iptables的用法:

iptables [-t table] {-A|-C|-D} chain rule-specification

ip6tables [-t table] {-A|-C|-D} chain rule-specification

iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -R chain rulenum rule-specification

iptables [-t table] -D chain rulenum

iptables [-t table] -S [chain [rulenum]]

iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain target

iptables [-t table] -E old-chain-name new-chain-name

- t 指定 表

-A 添加策略 在下面添加

-l 添加链 在最上面添加

  建议:工作是一定要用-A不要用-I

-D 删除策略

-R 替换链表需要指定所替换的编号

-S 显示链表所有的用法

-P指定链表的默认行为

  IPtable -t filter -P INPUT DORP

  建议:写白名单

-N 自己定义链表

  如果策略过多,我们需要将策略分类,这就用自己定义链表来分类;

  让后在将自己定义的链表调用在其他的可以陪陪数据流量的链表上。

-X 清楚自定义的策略

   iptable -t filter -X 【chain】 

-v 可以查看策略匹配的数据包

-vv 详细查看数据报的匹配情况

-Z 显示没有匹配到的数据报的链,或者,显示没有用规则的链

-F 清空指定链上面的所有规则

-E 替换链的名称

-L list 显示所选chain上面所有规则rule

-----------------------------------------------------------------------------------------------------------------------------------P 指定协议 udp tcp esp ah

-s 

-d

-j jump DROP ACCEPT  

-i 进入的网卡

 -o 出去的网卡

-c 设置收发数据包的警告值

-n 不做解析

---line--number 显示策略行号

-f tcp协议的标签----sys ack rst pus

【大多数进行数据匹配的参数都可以使用感叹号取反;】

 

linux之防火墙

标签:mangle   snat   操作   pre   NPU   分类   策略   删除   名称   

原文地址:https://www.cnblogs.com/wangshilin/p/11436125.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!