目录

1.iptables防火墙

2.通信五元素和四元素

3.五规则链四规则表(四表无链)

4.使用

        1.包过滤防火墙 (网络层)

                对于用户来说 透明 处理快 易于维护 但无法检查应用层 病毒

        2.应用层防火墙(应用层)

                对于应用层检查 安全 增加防火墙负载

        五元素 源ip 目标ip 源端口 目标端口 协议

        四元素 源ip 目标ip 源端口 目标端口

        五链

                INPUT 处理入站数据包

                OUTPUT 处理出战数据包

                FORWARD 处理转发数据包

                PREROUTING 进行路由选择前处理数据包

                POSTROUTING 进行路由离开后处理数据包

        四表 

                raw表  跟踪包状态

                mangle表  修改包头部信息

                nat表  修改数据包中 源 目标ip 或端口

                filter表  确定是否放行改数据包

        按照表顺序一次查当前表中的链 看是否有匹配规则 有则停止 无则用链默认策略处理

        表里有链 链里有规则

        iptables 命令

                -vnL 查看              -t 指定表名(默认filter)         -F 清空

        添加规则

                iptables -t filter -A INPUT -p icmp -j REJECT  

                        -A 添加新的        -j 指定控制类型

                -A 指定再末尾添加一条       -I 在指定链中插入一条新的 未指定序号默认第一条

                -P 指定默认规则       -D 删除        -L查看      -n 数字显示字段         -v 详细看 

                -F 清除所有规则      -p 指定要匹配的数据包协议类型       -s 源ip地址(也可以是网段)

                -d 目的ip地址        -i 数据包进入本机网络接口(或网络设备)

                -- sport 指定源端口号            -- dport 指定目的端口号

                删除

                        iptables -D INPUT 序号

                通用匹配

                        包括网络协议 ip地址 端口号 网络接口(网卡设备)

                隐藏/显示 扩展匹配

                        批量禁端口

                        iptables -A INPUT -s 目的ip -p tcp --dport 22:80 -j REJECT

                        iptables -A INPUT -s 目的ip -p tcp -m multiport --dport 80,22,20,21 -j REJECT

                        禁范围ip

                        iptables -A INPUT -p icmp -m iprange --src-range   ip范围    -j REJECT