linux |
您所在的位置:网站首页 › iptables filter nat › linux |
目录 1.iptables防火墙 2.通信五元素和四元素 3.五规则链四规则表(四表无链) 4.使用 1.iptables防火墙1.包过滤防火墙 (网络层) 对于用户来说 透明 处理快 易于维护 但无法检查应用层 病毒 2.应用层防火墙(应用层) 对于应用层检查 安全 增加防火墙负载 2.通信五元素和四元素五元素 源ip 目标ip 源端口 目标端口 协议 四元素 源ip 目标ip 源端口 目标端口 3.五规则链四规则表(四表无链)五链 INPUT 处理入站数据包 OUTPUT 处理出战数据包 FORWARD 处理转发数据包 PREROUTING 进行路由选择前处理数据包 POSTROUTING 进行路由离开后处理数据包 四表 raw表 跟踪包状态 mangle表 修改包头部信息 nat表 修改数据包中 源 目标ip 或端口 filter表 确定是否放行改数据包 按照表顺序一次查当前表中的链 看是否有匹配规则 有则停止 无则用链默认策略处理 表里有链 链里有规则 4.使用iptables 命令 -vnL 查看 -t 指定表名(默认filter) -F 清空 添加规则 iptables -t filter -A INPUT -p icmp -j REJECT -A 添加新的 -j 指定控制类型 -A 指定再末尾添加一条 -I 在指定链中插入一条新的 未指定序号默认第一条 -P 指定默认规则 -D 删除 -L查看 -n 数字显示字段 -v 详细看 -F 清除所有规则 -p 指定要匹配的数据包协议类型 -s 源ip地址(也可以是网段) -d 目的ip地址 -i 数据包进入本机网络接口(或网络设备) -- sport 指定源端口号 -- dport 指定目的端口号 删除 iptables -D INPUT 序号 通用匹配 包括网络协议 ip地址 端口号 网络接口(网卡设备) 隐藏/显示 扩展匹配 批量禁端口 iptables -A INPUT -s 目的ip -p tcp --dport 22:80 -j REJECT iptables -A INPUT -s 目的ip -p tcp -m multiport --dport 80,22,20,21 -j REJECT 禁范围ip iptables -A INPUT -p icmp -m iprange --src-range ip范围 -j REJECT
|
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |