Linux防火墙之iptables

分类:Linux,software 日期:2020-12-03 作者:admin 浏览:91

防火墙

  • 主机防火墙
  • 网络防火墙

主机防火墙(linux)

  1. 数据传输流程
    linux数据通道
  2. iptables
  3. TCP协议三次握手,四次挥手
netstat -tnlpa | grep tcp | awk '{print $6}' | sort | uniq -c #判断是否受SYN攻击

四层模型(数据链路层mac,网络层ip,传输层TCP,应用层)都可应用防护墙

iptables

内核防护墙netfilter,iptables是管控netfilter的工具

iptables结构

  • tables(表)
  • chains(链)
  • rules(规则)

iptables四张内建表,优先级从高到低,内核2.6.34后NAT表支持操作INPUT链

  1. raw: 高级功能,如:网址过滤,PREROUTING/OUTPUT两链
  2. mangle: 数据包修改(QOS),含有所有链
  3. nat: 地址转换,网关路由,含有:PREROUTING/POSTROUTING/OUTPUT三链
  4. filter: 数据包包过滤,防火墙规则,含有:OUTPUT/FORWARD/INPUT三链

iptables结构图

chains(链)

  1. PREROUTING
  2. INPUT:保护本机
  3. FORWARD:保护后端主机(转发给数据包的主机)
  4. OUTPUT:管制本机
  5. POSTROUTING

ip_forword,linux自带数据转发,默认关闭;FORWARD管控ip_forword.

iptables 参数

iptables [-t TABLE] COMMAND CHAIN [ -j (ACCEPT/REJECT/DROP;允许/拒绝/丢弃) ]

参数解析
-P设置默认策略
-X/F/Z清空自定义规则/规则/规则计时器
-L查看规则链
-A在规则链尾加新规
-I在规则链头加新规
-D删除某规则
-s匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
-d匹配目标地址
-i匹配网卡名,流入数据
-o同上,流出
-p隐式扩展,协议:tcp,udp,icmp
--dport目标端口号
--sport来源端口
-m隐式扩展
-nvL统计数据,规则列表,流量统计数据
-save导出filter表规则
sudo service iptables save #保存规则到/etc/sysconfig/iptables中
sudo iptables-save > 指定保存位置
sudo iptables-restore <规则位置 #恢复规则

参考链接

评论 (暂无评论)

发表评论

昵称:  
邮箱:  
网址: