没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
Neilter
( 内 核 空
间 )
lter ( 表 )
nat( 表 )
mangel( 表 )
Input( 链 )
output
( 链 )
Forward( 链 )
preroung( 链 )
postroung( 链 )
output( 链 )
规则集
规则集
规则集
规则集
规则集
规则集
Linux 下的防火墙 iptables
一、基本知识
1.防火墙可以分为网络层防火墙和应用层防火墙。Neilter/iptables 是网络层
防火墙,squid 是应用层防火墙。
2.Neilter/iptables 框架
3.NAT 即网络地址转换,NAT 类型有静态 NAT,动态 NAT 和网络地址端口转换
NAPT。
4 . Neilter/iptables 把 NAT 分 成 了 两 种 , 即 源 NAT ( SNAT ) 和 目 的
NAT(DNAT)。
-----------------------------------------------------------------------------------------------------------------
--二、iptable 的安装与配置
1.安装
2.启用 linux 路由功能
3.Iptables 语法
iptables 第一张光盘
#echo “1” > /proc/sys/net/ipv4/ip_forward
#iptables [-t 表] [-命令] [链名] [配匹规则] [-j 动作]
(1)[-t 表]
(2)[-命令 链]
(3)[匹配规则]
(4)[-j 动作]
表可以是:
<er
nat
mangle
如果这项省略,默认是 <er 表
命令可以是:
-A 添加规则
-D 删除规则
-R 替换规则
-I 插入规则(可以指定位置)
-L 显示规则
-F 删除所有规则
-Z 清空规则连上的包字节数
-N 自定义新链
-X 删除自定义的链
-P 设置默认规则
-E 对链重命名
基本规则
-p [!] protocol 匹配协议
-s [!] address[/mask] 匹配源 IP 地址
-d [!] address[/mask] 匹配目的 IP 地址
-i [!] [name] 匹配数据入站接口名
-o [!] [name] 匹配数据出站接口名
扩展规则
--source-port [!][port[:port]] 匹配源端口,--source-port 可以用 --sport 来替代
--des5na5on-port [!][port[:port]] 匹配目标端口,--des5na5on-port 可以用--dport 来替代
--tcp-6ags [!] mask comp 匹配 TCP 标志位,标志位有:SYN,ACK,FIN,RST,URG,PSH,
--icmp-type [!] [typename] 匹配 ICMP 协议数据类型
--mac-source [!] address 匹配源 MAC 地址
--limit rate [speed] [--limit-burst number] 匹配速度
-m limit --limit rate [speed] [--limit-burst number] 匹配速度
-m mul5port [--sport …] [--dport …] [--port] 匹配端口
-m state --state [state,state…] 匹 配 连 接 状 态 , 状 态 有 : NEW ( 开 始 新 连 接 ) ,
ESTABLISHED(已建立连接),RELATED(已建立连接的连接),INVALID(无效连接)等
动作可以是:
ACCEPT 允许包通过
DROP 丢弃数据包
REJECT 丢弃数据包,返回错误消息
SNAT 转换数据包源 IP 地址
DNAT 转换数据包目地 IP 地址
MASQUERADE 转换数据包的源 IP 地址(用于拔号连接,每次拔号获得不同的 IP 地址
时)
REDIRECT 转换数据包的目的 IP 地址为自身 IP 地址
首先要查看下 防火墙的情况:
]# iptables -L –n
看到 INPUT ACCEPT, FORWARD ACCEPT , OUTPUT ACCEPT
我们可以这样理解 iptables 由 3 个部分组成 INPUT, FORWARD 和 OUTPUT
关闭所有的 INPUT FORWARD OUTPUT,下面是命令实现:
]# iptables -P INPUT DROP
]# iptables -P FORWARD DROP
]# iptables -P OUTPUT DROP
]# service iptables save 进行保存
rewall rules 防火墙的规则 其实就是保存在 /etc/syscong/iptables
可以打开文件查看 vi /etc/syscong/iptables
禁止单个 IP 访问命令# iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP
数据包经过防火墙的路径
图 比较完整地展示了一个数据包是如何经过防火墙的,考虑到节省空间,该
图实际上包了三种情况:
来自外部,以防火墙(本机)为目的地的包,在图 中自上至下走左边一条路
径。
由防火墙(本机)产生的包,在图 中从“本地进程”开始,自上至下走左边一
条路径
来自外部,目的地是其它主机的包,在图 中自上至下走右边一条路径。
图
剩余51页未读,继续阅读
资源评论
- weixin_369418782019-06-26资源还不错
jinagko1
- 粉丝: 0
- 资源: 8
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 批量将py编译为pyd文件.atbx
- Python项目-学生管理系统
- verilog HDL硬件语法设计包括算术运算三人表决器Verilog的阻塞和非阻塞赋值源码例程quartus13.1工程合集
- 【文章话题分类论文】OpenAlex Topic Classification Whitepaper
- linux学习常用命令
- 功率拓扑快速参考指南-ti,TI官方出品
- 开关电源拓朴图表,各种电路拓扑表格
- 登录和注册 前端:vue3+iview plus +axios 后台:spring boot +mybatis
- 软件测试入门简介:从基础到实践的全面介绍
- 2024CDA Level Ⅰ 认证考试大纲
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功