Linux10-8
iptables
Linux防火墙
netfilter
防火墙的类别:
软件防火墙:iptables、ISA
硬件防火墙:思科、华为
按范围分:
主机防火墙
网络防火墙
原理:
根据数据包的源IP、目的IP、源port、目的端口、协议、状态、资源、内容,如果数据包符合预定的规则,则放行,不符合则丢弃数据包
TCP的数据包
数据包的整体分两个部分:
source port:源端口
destination port:目的端口
sequence number:请求序列号
acknowledgment number:应答序列号
状态标志位
FIN:标志位是fin的包,表示 要断开链接
如果请求要断开的话,fin的值是1,否则是0
SYN:表示要请求建立连接的包
1表示请求连接,0表示不请求
ACK:表示响应的包
如果是响应的包则是1,否则是0
- URP:紧急标志
- PSH:推送标志
- PST:重置标志
iptables防火墙
作用:可以对数据包进行过滤,也是实现地址、端口的转换
iptables的基本组成:
四表五链
链:
- PREROUTING:在对数据包进行路径选择之前所应用的链
- FORWARD:将数据包从一个网络转发到另一个网络中所应用的链
- POSTROUTING:在数据包进行选择之后所应用的链
- INPUT:数据包的目的是防火墙的上层应用情况下所应用的链
- OUTPUT:防火墙主机上层应用向外产生的数据所用的链
四表:
- filter:过滤数据包
- 三个链:INPUT OUTPUT FORWARD
- nat:不能过滤数据包,仅仅能修改数据包中的ip和端口
- 四个链:PREROUTING POSTROUTING OUTPUT INPUT
- mangle表:修改数据包的报文,比如修改ttl值
- 五个链
- raw表:决定是否对被追踪到的状态进行处理
- 两个链:PREROUTING OUTPUT
工作流程图:
centos6:只有iptables
centos7:支持iptables和firewalld,默认用的是firewalld
iptables和firewalld本质是一样的
使用firewalld的时候,其实还是来调用iptables来完成工作
启动防火墙:
systemctl start iptables
安装组件:
yum install iptables-services
实现iptables的操作管理,如启动、关闭、重启等
iptables命令格式:
iptables [-t 表名] command 链名 [匹配内容] -j [操作]
说明:
如果略过-t 表名,则默认对filter进行操作
command:是要执行的命令,包括添加规则、删除规则、修改规则
操作:对数据包进行处理,是放行还是阻止
选项:
- -F:清除表中的规则
- -L:显示指定表中的规则
- -n:以数字方式显示
- --line:在显示规则的时候,在规则前显示一个序号
- -A 链名:在指定的链中添加规则
- -I(大写i) 链名:指定的链中插入规则
执行的操作:
- ACCEPT:放行
- DROP:阻止
案例:
清除filter表中的规则
iptables -t filter -F
保存表中的规则
service iptables save
查看nat表中的规则:
iptables -t nat -L -n --line
通用的匹配:
- -s:匹配数据包中的源IP
- -d:匹配数据包中的目的IP
- -i:匹配数据包是从那个网卡进入的
- -o:匹配数据包是从哪个网卡发现的
案例:
禁止192.168.200.163来访问主机
iptables -t filter -A INPUT -s 192.168.200.163 -j DROP 阻止
iptables -t filter -A INPUT -s 192.168.200.163 -j ACCEPT 放行
原文地址:https://blog.csdn.net/Taurus_HanKun/article/details/142812766
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!