linux之防火墙

Posted 2022-09-21 wangshilin

IPtable

　　ip的table ip的表格

　　IPtable只是netfilter的前段管理工具；netfilter是Linux 内核提供的数据流量管理模块；

　　IPtable /netfilter 数据流量管理框架；

　　普遍人问IPtable 就是一个防火墙

1、网络防火墙

　　首先：网络防火墙一般处在外网出口处；

　　主要对于内外网交互的流量进行监控与过滤

2、主机防火墙（并不是360.XXX管家）

　　主机有内核空间和用户空间，netfilter的过滤模块运行在内核空间，但是，他又无法提供数据匹配，我们需要函数调用netfilter模块，匹配数据流量。

　　5个钩子匹配数据流量：就有我们所说的Chain（钩子函数）

　　PREROUTEING

　　FORWARD

　　OUTPUT

　　POSTOUTING

流量三种：

　　1、到达主机的流量

　　2、通过的主机的流量

　　3、主机发起的流量

4张表来决定行为：

　　1、raw 保持连接（建议关闭这个表）

　　2、mangle 数据包修改

　　3、nat  nat映射 包括SNAT DNAT

　　4、filter 数据报过滤（默认启用）

　　　那些表，可以关联哪些表

　　raw ---OUTPUT PEEROUTING

　　mangle --- INPUT OUTPUT PEEROUTING PREROUTEING FORWAED

　　nat ---------- OUTPUT PEEROUTING PREROUTEING

　　filter------INPUT OUTPUT FORWAED

注意：写策略时需要关联钩子，策略是属于“钩子”的，而“钩子”只做策略匹配，但是不能进行数据操作，我们需要在关联表，每一种表决定了一种行为操作；

　　表--------包含链，而链包含策略；

3、iptables的用法：

iptables [-t table] -A|-C|-D chain rule-specification

ip6tables [-t table] -A|-C|-D chain rule-specification

iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -R chain rulenum rule-specification

iptables [-t table] -D chain rulenum

iptables [-t table] -S [chain [rulenum]]

iptables [-t table] -F|-L|-Z [chain [rulenum]] [options...]

iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain target

iptables [-t table] -E old-chain-name new-chain-name

- t 指定 表

-A 添加策略 在下面添加

-l 添加链 在最上面添加

　　建议：工作是一定要用-A不要用-I

-D 删除策略

-R 替换链表需要指定所替换的编号

-S 显示链表所有的用法

-P指定链表的默认行为

　　IPtable -t filter -P INPUT DORP

　　建议：写白名单

-N 自己定义链表

　　如果策略过多，我们需要将策略分类，这就用自己定义链表来分类；

　　让后在将自己定义的链表调用在其他的可以陪陪数据流量的链表上。

-X 清楚自定义的策略

 　　iptable -t filter -X 【chain】 

-v 可以查看策略匹配的数据包

-vv 详细查看数据报的匹配情况

-Z 显示没有匹配到的数据报的链，或者，显示没有用规则的链

-F 清空指定链上面的所有规则

-E 替换链的名称

-L list 显示所选chain上面所有规则rule

-----------------------------------------------------------------------------------------------------------------------------------P 指定协议 udp tcp esp ah

-s 

-d

-j jump DROP ACCEPT  

-i 进入的网卡

 -o 出去的网卡

-c 设置收发数据包的警告值

-n 不做解析

---line--number 显示策略行号

-f tcp协议的标签----sys ack rst pus

【大多数进行数据匹配的参数都可以使用感叹号取反；】