没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
Neilter
( 内 核 空
间 )
lter ( 表 )
nat( 表 )
mangel( 表 )
Input( 链 )
output
( 链 )
Forward( 链 )
preroung( 链 )
postroung( 链 )
output( 链 )
规则集
规则集
规则集
规则集
规则集
规则集
Linux 下的防火墙 iptables
一、基本知识
1.防火墙可以分为网络层防火墙和应用层防火墙。Neilter/iptables 是网络层
防火墙,squid 是应用层防火墙。
2.Neilter/iptables 框架
3.NAT 即网络地址转换,NAT 类型有静态 NAT,动态 NAT 和网络地址端口转换
NAPT。
4 . Neilter/iptables 把 NAT 分 成 了 两 种 , 即 源 NAT ( SNAT ) 和 目 的
NAT(DNAT)。
-----------------------------------------------------------------------------------------------------------------
--二、iptable 的安装与配置
1.安装
2.启用 linux 路由功能
3.Iptables 语法
iptables 第一张光盘
#echo “1” > /proc/sys/net/ipv4/ip_forward
#iptables [-t 表] [-命令] [链名] [配匹规则] [-j 动作]
(1)[-t 表]
(2)[-命令 链]
(3)[匹配规则]
(4)[-j 动作]
表可以是:
<er
nat
mangle
如果这项省略,默认是 <er 表
命令可以是:
-A 添加规则
-D 删除规则
-R 替换规则
-I 插入规则(可以指定位置)
-L 显示规则
-F 删除所有规则
-Z 清空规则连上的包字节数
-N 自定义新链
-X 删除自定义的链
-P 设置默认规则
-E 对链重命名
基本规则
-p [!] protocol 匹配协议
-s [!] address[/mask] 匹配源 IP 地址
-d [!] address[/mask] 匹配目的 IP 地址
-i [!] [name] 匹配数据入站接口名
-o [!] [name] 匹配数据出站接口名
扩展规则
--source-port [!][port[:port]] 匹配源端口,--source-port 可以用 --sport 来替代
--des5na5on-port [!][port[:port]] 匹配目标端口,--des5na5on-port 可以用--dport 来替代
--tcp-6ags [!] mask comp 匹配 TCP 标志位,标志位有:SYN,ACK,FIN,RST,URG,PSH,
--icmp-type [!] [typename] 匹配 ICMP 协议数据类型
--mac-source [!] address 匹配源 MAC 地址
--limit rate [speed] [--limit-burst number] 匹配速度
-m limit --limit rate [speed] [--limit-burst number] 匹配速度
-m mul5port [--sport …] [--dport …] [--port] 匹配端口
-m state --state [state,state…] 匹 配 连 接 状 态 , 状 态 有 : NEW ( 开 始 新 连 接 ) ,
ESTABLISHED(已建立连接),RELATED(已建立连接的连接),INVALID(无效连接)等
动作可以是:
ACCEPT 允许包通过
DROP 丢弃数据包
REJECT 丢弃数据包,返回错误消息
SNAT 转换数据包源 IP 地址
DNAT 转换数据包目地 IP 地址
MASQUERADE 转换数据包的源 IP 地址(用于拔号连接,每次拔号获得不同的 IP 地址
时)
REDIRECT 转换数据包的目的 IP 地址为自身 IP 地址
首先要查看下 防火墙的情况:
]# iptables -L –n
看到 INPUT ACCEPT, FORWARD ACCEPT , OUTPUT ACCEPT
我们可以这样理解 iptables 由 3 个部分组成 INPUT, FORWARD 和 OUTPUT
关闭所有的 INPUT FORWARD OUTPUT,下面是命令实现:
]# iptables -P INPUT DROP
]# iptables -P FORWARD DROP
]# iptables -P OUTPUT DROP
]# service iptables save 进行保存
rewall rules 防火墙的规则 其实就是保存在 /etc/syscong/iptables
可以打开文件查看 vi /etc/syscong/iptables
禁止单个 IP 访问命令# iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP
数据包经过防火墙的路径
图 比较完整地展示了一个数据包是如何经过防火墙的,考虑到节省空间,该
图实际上包了三种情况:
来自外部,以防火墙(本机)为目的地的包,在图 中自上至下走左边一条路
径。
由防火墙(本机)产生的包,在图 中从“本地进程”开始,自上至下走左边一
条路径
来自外部,目的地是其它主机的包,在图 中自上至下走右边一条路径。
图
剩余51页未读,继续阅读
资源评论
- weixin_369418782019-06-26资源还不错
jinagko1
- 粉丝: 0
- 资源: 8
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 《CKA/CKAD应试指南/从docker到kubernetes 完全攻略》学习笔记 第1章docker基础(1.1-1.4)
- 基于python实现的水下压缩空气储能互补系统建模仿真与经济效益分析+源代码+论文
- 华中科技大学-自然语言处理实验,Bi-LSTM+CRF的中文分词框架,并且利用基于深度学习的方法进行中文命名实体识别++源码报告
- 基于动态罚函数的铁路车流分配与径路优化模型python源码
- 鱼群算法求解组环问题python源码+文档说明
- 基于决策优化的多波束测深测线规划模型MATLAB代码
- 课程设计-基于python实现的多目标优化算法求解带时间窗的车辆路径规划问题+源代码+文档说明+界面截图+pptx
- 基于通信信号与通信系统的MATLAB仿真源码-课程设计
- 嵌入式-信号机制(概念,发送,定时,捕捉,SIGCHLD 信号实现回收子进程)
- c语言管理系统大一大二笔记
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功