iptables大体了解-创新互联
tcp/ip协议网络上一个节点,大门洞开,套接字会话,需要ip和端口,检查套接字报文,套接字和tcp/ip协议差别。主机防火墙,工作在主机上。进入网卡,到内核中的tcp/ip协议栈,工作在tcp/ip协议栈上,在一些协议栈上某些位置放上卡哨,在设定检查规则。
在桃江等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供成都网站制作、网站建设 网站设计制作定制网站,公司网站建设,企业网站建设,品牌网站制作,成都全网营销,外贸营销网站建设,桃江网站建设费用合理。网络防火墙,在网络外部。
防火墙:工作与主机或网络边缘,对于进出的报文根据定义的规则做检查,进而对被规则匹配到的报文最为相应处理的套件;
网络层防火墙,检查报文的帧首部,IP首部,tcp首部,不能对数据内容进行检查。
iptables/netfilter ,netfilter就是tcp/ip协议栈上的卡哨,用iptables加入规则
规则优先级从高到低以及能工作的卡哨位置:
raw :目标是关闭nat表上启动的连接追踪功能,PREROUTING OUTPUT
mangle;修改tcp/ip首部的一些特性,任意位置。
nat:地址转换,POSTROUTING PREROUTING OUTPUT
filter;过滤 INPUT FORWORD OUTPUT
INPUT:在数据进入应用空间时设定的卡哨也叫做链。
FORWORD:主机路由过程的卡哨
OUTPUT:数据从应用程序发出时经过的卡哨
PREROUTING:数据进入网卡进行路由策略前的卡哨
POSTROUTING:数据最后选择网卡要离开前的卡哨
数据报文流程:跟本机内部通信,PREROUTING INPUT OUTPUT POSTROUTING
由本机转发的数据:PREROUTING FORWORD POSTROUTING
注意数据报文的流向,决定源IP目标IP。
iptables:用户空间的工具,写规则,并自动发往netfilter,立即生效。
基本语法
iptables 【-t TABLE】 –A 链名 匹配条件 –j 处理目标
默认的表filter
COMMAND:答题上有下边几种
1.对链上规则的一些命令-A:在后面加一条规则
-I:插入一条新规则
-D:删除规则
-R:替换规则
-L:查询规则 –L -n:数字格式显示地址和端口。-L -v:详细格式 --line-numbers显示规则行号 –x 不要对计数器计数结果做单位换算,显示精确值。
2.对链的一些命令:-F :清空规则链
-N:自建一个链,只能被调用
-X删除一个自定义链
-Z计数器归零
-P:设定默认策略,对filter表来讲,默认规则为ACCEPT 或者DROP
-E:重命名自定义链
iptables 【-t TABLE】 –A 链名 匹配条件 –j 处理目标
匹配条件:通用匹配
-s 地址:指定报文源IP地址匹配范围:可以是IP也可以是网络地址,可以用!取反。
-d地址:报文目标ip地址
-p协议,指定匹配报文的协议类型,一般tcp udp icmp
-i:数据报文流入网卡:只能作用在数据传入的前半部分PREROUTING INPUT FORWORD
-o:数据流出网卡:只能作用在数据传入的后半部分 FORWORD OUTPUT POSTROUTING
扩展匹配调用netfilter 用-m
隐式扩展:当使用-p {tcp|udp|icmp}中的一种时默认调用了对应模块,可以直接使用扩展选项
-p tcp对tcp/ip协议生效:--sport指定源端口 –dport 目标端口
--tcp-flags syn,ack,rst,fin syn all(全选,或者值都为1) none(值都为0)
--tcp-flags syn,ack,rst,fin syn 这是定义tcp第一次握手
--syn ALL 也可以定义tcp第一次握手
-p icmp主要限制ping的 :--icmp-type 8是能请求报文类型,0是指响应的报文类型
显式扩展:必须明确指出使用哪个模块进行扩展,才能使用扩展选项
-m 扩展模块名称(在iptables和netfilter上都要有这个模块)
1)multiport用于匹配非连续或者连续端口,对多指定15个端口
--sports 【port,port:port】指定源端口
--dports目标端口
--ports源和目标都包含
iptables -I INPUT -s 192.168.0.0/16 -d 192.168.147.128 -p tcp -m multiport --dports 22,80 -j ACCEPT 是主机防火墙,在目标主机上添加,实现特定ip可以连接主机的http和ssh服务 没指定表就默认在filter表上实现过滤,在INPUT链上从192.168网段到192.168.147.128的tcp报文使用multiport模块指定192.168.147.128主机上的端口可以接受报文另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
网页标题:iptables大体了解-创新互联
本文链接:http://myzitong.com/article/jopop.html