码迷,mamicode.com
首页 > 其他好文 > 详细

16.iptable基本概念

时间:2015-04-19 19:50:04      阅读:121      评论:0      收藏:0      [点我收藏+]

标签:forward   服务器   ip地址   防火墙   数据包   

16.iptable基本概念

·网路访问控制:

·Linux一般作为服务器系统使用,对外提供一些基于网络的服务,

·通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能,

·常见的访问控制包括:哪些ip可以访问服务器、可以使用哪些协议,哪些接口、是否需要对数据包进行修改等,

·如服务器可能受到来自某ip的攻击,这时就需要禁止所有来自该ip的访问,

·Linux内核继承了网络访问控制功能,通过netfilter模块实现,

·IPTables

·Linux内核通过netfilter模块实现网络访问控制功能,在用户层我们通过iptables程序对netfilter进行控制管理,

·netfilter可以对数据进行允许ACCEPT、丢弃DROP、拒绝并报错REJECT操作动作

·netfilter支持通过以下方式对数据包进行匹配:源ip地址、目标ip地址、使用接口、使用协议、端口号、连接状态

·netfilternetfilter2个概念:chain(过滤点)table表,

·chain又称filtering point,过滤点,分为inputforwardoutputpreroutingpostrouting

·table分为filternatmangle3种功能,

·filter用以对数据进行基本过滤,

·nat用以对数据包的源、目标地址进行修改,

·mangle用以对数据包进行高级修改,如QOS

·规则:

·iptables通过规则对数据进行访问控制,一个规则使用一行配置,规则按顺序配列,

·当收到、发出、转发数据包时,使用规则对数据包进行匹配,按规则顺序进行逐条匹配,

·数据包按照第一个匹配上的规则执行相关动作,丢弃,放行,修改,

·没有匹配规则,则使用默认动作(每个chain拥有各自默认的动作)

·通过iptables创建一个规则,内容如:

·iptables -t filter -A INPUT -s 192.168.1.1 -j DROP,即:

·iptables -t表 -A链 匹配参数 -j动作,

·参数:-t表,指定使用的表,共3种功能选择,

-A链,规定过滤点,共5种过滤类型选择,

匹配参数,规定匹配数据包的特征,基于5种选择,

-j,匹配后的动作:放行,丢弃,记录,3种动作,

·匹配参数:

·基于ip-s 192.168.1.1源地址,-d 192.168.1.1目标地址,

·基于接口:-i eth0进接口,-o eth1出接口,

·排除参数:-s ! 192.168.1.1/24

·基于协议及端口号,-p tcp --dport 23-p udp --sport 53-p icmpd目标,s来源,

·常用功能:

·作为服务器使用:1,过滤到本机的流量,input链、filter表,

2,过滤本机发出的流量,output链、filter表,

·作为路由器使用:1,过滤转发的流量,forward链,filter表,

2,对转发数据的源,目标ip进行修改,preroutingpostrouting链,nat表,


16.iptable基本概念

标签:forward   服务器   ip地址   防火墙   数据包   

原文地址:http://hclgogo.blog.51cto.com/1494961/1635635

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!