linux之防火墙

Posted wangshilin

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了linux之防火墙相关的知识,希望对你有一定的参考价值。

IPtable

  ip的table ip的表格

  IPtable只是netfilter的前段管理工具;netfilter是Linux 内核提供的数据流量管理模块;

  IPtable /netfilter 数据流量管理框架;

  普遍人问IPtable 就是一个防火墙

1、网络防火墙

  首先:网络防火墙一般处在外网出口处;

  主要对于内外网交互的流量进行监控与过滤

2、主机防火墙(并不是360.XXX管家)

  主机有内核空间和用户空间,netfilter的过滤模块运行在内核空间,但是,他又无法提供数据匹配,我们需要函数调用netfilter模块,匹配数据流量。

  5个钩子匹配数据流量:就有我们所说的Chain(钩子函数)

  PREROUTEING

  FORWARD

  OUTPUT

  POSTOUTING

流量三种:

  1、到达主机的流量

  2、通过的主机的流量

  3、主机发起的流量

4张表来决定行为:

  1、raw 保持连接(建议关闭这个表)

  2、mangle 数据包修改

  3、nat  nat映射 包括SNAT DNAT

  4、filter 数据报过滤(默认启用)

   那些表,可以关联哪些表

  raw ---OUTPUT PEEROUTING

  mangle --- INPUT OUTPUT PEEROUTING PREROUTEING FORWAED

  nat ---------- OUTPUT PEEROUTING PREROUTEING

  filter------INPUT OUTPUT FORWAED

注意:写策略时需要关联钩子,策略是属于“钩子”的,而“钩子”只做策略匹配,但是不能进行数据操作,我们需要在关联表,每一种表决定了一种行为操作;

  表--------包含链,而链包含策略;

3、iptables的用法:

iptables [-t table] -A|-C|-D chain rule-specification

ip6tables [-t table] -A|-C|-D chain rule-specification

iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -R chain rulenum rule-specification

iptables [-t table] -D chain rulenum

iptables [-t table] -S [chain [rulenum]]

iptables [-t table] -F|-L|-Z [chain [rulenum]] [options...]

iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain target

iptables [-t table] -E old-chain-name new-chain-name

- t 指定 表

-A 添加策略 在下面添加

-l 添加链 在最上面添加

  建议:工作是一定要用-A不要用-I

-D 删除策略

-R 替换链表需要指定所替换的编号

-S 显示链表所有的用法

-P指定链表的默认行为

  IPtable -t filter -P INPUT DORP

  建议:写白名单

-N 自己定义链表

  如果策略过多,我们需要将策略分类,这就用自己定义链表来分类;

  让后在将自己定义的链表调用在其他的可以陪陪数据流量的链表上。

-X 清楚自定义的策略

   iptable -t filter -X 【chain】 

-v 可以查看策略匹配的数据包

-vv 详细查看数据报的匹配情况

-Z 显示没有匹配到的数据报的链,或者,显示没有用规则的链

-F 清空指定链上面的所有规则

-E 替换链的名称

-L list 显示所选chain上面所有规则rule

-----------------------------------------------------------------------------------------------------------------------------------P 指定协议 udp tcp esp ah

-s 

-d

-j jump DROP ACCEPT  

-i 进入的网卡

 -o 出去的网卡

-c 设置收发数据包的警告值

-n 不做解析

---line--number 显示策略行号

-f tcp协议的标签----sys ack rst pus

【大多数进行数据匹配的参数都可以使用感叹号取反;】

 

以上是关于linux之防火墙的主要内容,如果未能解决你的问题,请参考以下文章

Linux命令之防火墙

Linux命令之防火墙

linux之防火墙

Linux防火墙之iptables

保证Linux系统安全之使用iptables工具管理防火墙

linux之网络安全