文档章节

防火墙和iptables

lln133208
 lln133208
发布于 2015/04/24 09:22
字数 642
阅读 36
收藏 0

防火墙的定义

通过一些预定义的规则,分析和过滤进出网络的数据包的一种机制。

从这个定义可以看出防火墙的主要作用是隔离网络

从防火墙管理的范围来看,防火墙可以分为网络型和单一主机型。

  1. 单一主机型 这种类型的防火墙主要有数据包过滤Netfilter和依据软件服务程序作为分析的TCP Wrappers

  2. 网络型 Netfilter和代理服务器。

这篇文章重点小结一下数据包过滤型的防火墙软件iptables的知识。

iptables

Linux在2.6内核版本以上都提供防火墙软件iptables,因为是内核提供的功能,因此性能非常好。

iptables由最基本的3个表(table)组成

  • Filter 主要跟进出***Linux本机***的数据包有关,是默认的table
    本表中包含3个chain,默认策略和过滤规则的集合。
    • INPUT 主要与想要进入本机的数据包有关。
    • OUTPUT 主要与本机送出数据包有关。
    • FORWARD 与本机没有关系,传递数据包到后端计算机,与NAT相关。
  • NAT 这个表格主要用来进行来源和目的的IP或port的转换,与本机无关。
    • PREROUTING 在进行路由判断之前进行的规则集合。
    • POSTROUTING 在进行路由判断之前进行的规则集合。
    • OUTPUT 与发送出去的数据包有关。
  • Mangle 这个表格主要与特殊的数据包的路由标志有关,这里就不讨论这个。

除了上述3个表之外,用户也可以制定自定义的table

iptables语法

  • 查看规则

      iptables [-t table_name] [-L] [-nv]
    

    如果不指定table名,则默认使用Filter

      iptables-save [-t table_name]
    
  • 清除规则

      iptables [-t table_name] [-FXZ]
    

    -F:清除所有已制定的规则 -X:清除所有用户自定义的tables -Z:将所有的技术和流量统计归零

  • 定义默认策略(Policy)

    当数据包在所有规则之外时,以Policy的设置为准。

      iptables [-t table_name] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP]
    

    -P:定义策略,大写字母 ACCEPT: 数据包被接受 DROP: 数据包被丢弃,且不通知客户端丢弃原因。

  • 设置规则

    针对网卡、IP以及port的过滤规则

      iptables [-AI chain_name] [-io interface] [-p protocol] [-s source_IP/netmask] [-d destination_IP/netmask] [--sport source_port] [--dport destination_port] -j [ ACCEPT|DROP|REJECT ]
    

    针对MAC和状态的过滤规则

      iptables -A INPUT [-m state] [--state INVALID|ESTABLISHED|NEW|RELATED] -j [ ACCEPT|DROP|REJECT ]
    
      iptables -A  INPUT [-m mac] [--mac-source mac_address] -j [ ACCEPT|DROP|REJECT ]
    

© 著作权归作者所有

上一篇: 测试工具
下一篇: su和sudo
lln133208
粉丝 2
博文 19
码字总数 11023
作品 0
南京
私信 提问
centos7 防火墙解决方案

CentOS 7 默认使用firewalld来管理iptables规则,由于防火墙规则变动的情况很少,动不动态变得无所谓了。但是习惯是魔鬼,跟之前不一样,总是感觉不太习惯。 systemctl disable firewalld yu...

vshcxl
2016/06/20
53
0
Linux防火墙(Iptables)的开启与关闭

Linux防火墙(Iptables)的开启与关闭:iptables是Linux内核集成的IP信息包过滤系统,如果 Linux 系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux上更好地...

xiaoxin
2016/10/18
13
0
如何暂时禁用 iptables 防火墙

了解如何在 Linux 中暂时禁用 iptables 防火墙来进行故障排除。还要学习如何保存策略以及如何在启用防火墙时恢复它们。 有时你需要关闭 iptables 防火墙来做一些连接故障排除,然后你需要重新...

19%
2018/06/30
0
0
CentOS 7.0如何将iptables作为防火墙(默认使用的是firewall作为防火墙)

1、直接关闭防火墙 systemctl stop firewalld.service #停止firewall systemctl disable firewalld.service #禁止firewall开机启动 2、设置 iptables service yum -y install iptables-servi......

最王座
2016/04/06
34
0
Linux关闭防火墙以及设置允许端口

重启后生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2) 即时生效,重启后失效 开启: service iptables start 关闭: service iptables stop 需要说明的是对于Linux下的...

YuanyuanL
2015/09/15
422
0

没有更多内容

加载失败,请刷新页面

加载更多

PHP常用经典算法实现

<? //-------------------- // 基本数据结构算法 //-------------------- //二分查找(数组里查找某个元素) function bin_sch($array, $low, $high, $k){ if ( $low <= $high){ $mid = int......

半缘修道半缘君丶
11分钟前
0
0
GIL 已经被杀死了么?

本文原创并首发于公众号【Python猫】,未经授权,请勿转载。 原文地址:https://mp.weixin.qq.com/s/8KvQemz0SWq2hw-2aBPv2Q 花下猫语: Python 中最广为人诟病的一点,大概就是它的 GIL 了。...

豌豆花下猫
20分钟前
0
0
git commit message form

commit message一般包括3部分:Header、Body、Footer。 <type>(<scope>):<subject>blank line<body>blank line<footer> header是必需的,body、footer可以省略。 header中type、subject......

ninjaFrog
31分钟前
0
0
聊聊Elasticsearch的CircuitBreakerService

序 本文主要研究一下Elasticsearch的CircuitBreakerService CircuitBreakerService elasticsearch-7.0.1/server/src/main/java/org/elasticsearch/indices/breaker/CircuitBreakerService.ja......

go4it
36分钟前
3
0
Spring系列教程六:AOP详细讲解

AOP 概述 什么是 AOP AOP:全称是 Aspect Oriented Programming 即:面向切面编程。 AOP技术是对OOP技术的一种延伸,AOP是面向纵向,OOP是面向横向。简单的说它就是把我们程序重复的代码抽取...

我叫小糖主
49分钟前
12
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部