iptables大体了解-创新互联

tcp/ip协议网络上一个节点,大门洞开,套接字会话,需要ip和端口,检查套接字报文,套接字和tcp/ip协议差别。主机防火墙,工作在主机上。进入网卡,到内核中的tcp/ip协议栈,工作在tcp/ip协议栈上,在一些协议栈上某些位置放上卡哨,在设定检查规则。

在桃江等地区,都构建了全面的区域性战略布局,加强发展的系统性、市场前瞻性、产品创新能力,以专注、极致的服务理念,为客户提供成都网站制作、网站建设 网站设计制作定制网站,公司网站建设,企业网站建设,品牌网站制作,成都全网营销,外贸营销网站建设,桃江网站建设费用合理。

网络防火墙,在网络外部。

防火墙:工作与主机或网络边缘,对于进出的报文根据定义的规则做检查,进而对被规则匹配到的报文最为相应处理的套件;

网络层防火墙,检查报文的帧首部,IP首部,tcp首部,不能对数据内容进行检查。

iptables/netfilter ,netfilter就是tcp/ip协议栈上的卡哨,用iptables加入规则

规则优先级从高到低以及能工作的卡哨位置:

iptables大体了解

 iptables大体了解

                raw :目标是关闭nat表上启动的连接追踪功能,PREROUTING OUTPUT

        mangle;修改tcp/ip首部的一些特性,任意位置。

        nat:地址转换,POSTROUTING PREROUTING OUTPUT

        filter;过滤 INPUT FORWORD OUTPUT

INPUT:在数据进入应用空间时设定的卡哨也叫做链。

FORWORD:主机路由过程的卡哨

OUTPUT:数据从应用程序发出时经过的卡哨

PREROUTING:数据进入网卡进行路由策略前的卡哨

POSTROUTING:数据最后选择网卡要离开前的卡哨

数据报文流程:跟本机内部通信,PREROUTING INPUT OUTPUT POSTROUTING

由本机转发的数据:PREROUTING FORWORD POSTROUTING

注意数据报文的流向,决定源IP目标IP。

iptables:用户空间的工具,写规则,并自动发往netfilter,立即生效。

基本语法

iptables 【-t TABLE】 –A 链名 匹配条件 –j 处理目标

默认的表filter

COMMAND:答题上有下边几种

1.对链上规则的一些命令-A:在后面加一条规则

                              -I:插入一条新规则

                             -D:删除规则

                             -R:替换规则

                             -L:查询规则 –L -n:数字格式显示地址和端口。-L -v:详细格式 --line-numbers显示规则行号 –x 不要对计数器计数结果做单位换算,显示精确值。

2.对链的一些命令:-F :清空规则链

                        -N:自建一个链,只能被调用

                        -X删除一个自定义链

                        -Z计数器归零

                        -P:设定默认策略,对filter表来讲,默认规则为ACCEPT 或者DROP

                        -E:重命名自定义链

iptables 【-t TABLE】 –A 链名 匹配条件 –j 处理目标

匹配条件:通用匹配

        -s 地址:指定报文源IP地址匹配范围:可以是IP也可以是网络地址,可以用!取反。

         -d地址:报文目标ip地址

        -p协议,指定匹配报文的协议类型,一般tcp udp icmp

         -i:数据报文流入网卡:只能作用在数据传入的前半部分PREROUTING INPUT FORWORD

        -o:数据流出网卡:只能作用在数据传入的后半部分 FORWORD OUTPUT POSTROUTING

扩展匹配调用netfilter 用-m

      隐式扩展:当使用-p {tcp|udp|icmp}中的一种时默认调用了对应模块,可以直接使用扩展选项

       -p tcp对tcp/ip协议生效:--sport指定源端口 –dport 目标端口

                                        --tcp-flags syn,ack,rst,fin  syn all(全选,或者值都为1) none(值都为0)

                                         --tcp-flags syn,ack,rst,fin  syn          这是定义tcp第一次握手

                                         --syn  ALL                                            也可以定义tcp第一次握手

       -p icmp主要限制ping的 :--icmp-type 8是能请求报文类型,0是指响应的报文类型

     显式扩展:必须明确指出使用哪个模块进行扩展,才能使用扩展选项

                -m 扩展模块名称(在iptables和netfilter上都要有这个模块)

               1)multiport用于匹配非连续或者连续端口,对多指定15个端口

                     --sports 【port,port:port】指定源端口

                      --dports目标端口

                      --ports源和目标都包含

iptables -I INPUT -s 192.168.0.0/16 -d 192.168.147.128 -p tcp -m multiport --dports 22,80 -j ACCEPT
是主机防火墙,在目标主机上添加,实现特定ip可以连接主机的http和ssh服务
没指定表就默认在filter表上实现过滤,在INPUT链上从192.168网段到192.168.147.128的tcp报文使用multiport模块指定192.168.147.128主机上的端口可以接受报文

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网页标题:iptables大体了解-创新互联
本文链接:http://myzitong.com/article/jopop.html