linux网络学习笔记.doc

  1. 1、本文档共19页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
linux网络学习笔记

Iptables 防火墙 按防火墙对数据包的过滤方式分为: 代理服务器:代理client向Internet请求数据 Ip,filter :过滤数据包,实现防火墙功能 iptables中的表: filter:主要与linux主机有关,默认的table,实现包过滤 input:与进入linux本机的数据包有关 output:与送出linux本机的数据包有关 forward 与本机无关,将数据包转发到后端的计算机中 NAT 表:用于来源地和目的地的ip和port转换,与linux本机无关,实现地址转换 PREROUTING 在路由判断之前,目标地址转换 POSTROUTING 路由判断之后,源地址转换 OUTPUT 与送出去的数据包有关 表间的优先顺序: Rawmanglenatfilter 链间的匹配顺序: 入站数据:PREROUTING, INPUT(目标地址是防火墙) 出战数据:OUTPUP, POSTROUTING(源地址是防火墙) 转发数据:PREROUTING, FORWARD, POSTROUTING(源和目标都不是防火墙) 连内的匹配顺序: 自上而下顺序依次进行检查,若在链中找不到像匹配的规则,则按该链默认的策略处理 Iptables [-t nat or filter] [–L] [–nv] -L :列出目前的table的规则 -n :不进行ip与hostname 的反查 -v列出更多的信息 iptables –F :清除所有的已定规则 -X: 除掉所有用户自定义的链 -Z:将所有的chain的计数与流量统计都归零 (这3种命令将本机防火墙的所有规则都清除,但不会改变默认策略) -A:新增加一条规则,加载原规则的后面 -I :插入一条规则,默认插入到第一条规则 -D:删除一条规则 -P :定义策略 -N :新建一个链 -R :替换 1,数据包的基础比对ip/netmask i/o设备(配置filter表) Iptables [-AI 链] [-io 网络接口] [-p 协议] [-s (!)来源ip网段] [-d 目标ip网段] –j [ACCEPT|DROP|LOG] 若某个网段input 可接受,但某个主机不能接受 应先设置丢弃在设置允许(顺序不能错) 2,TCP,UDP规则比对 Iptables [-AI 链] [-io 网络接口] [-p tcp,udp] [-s (!)来源ip网段] [--sport 端口范围][-d 目标ip网段] [--dport 端口范围] [--syn]–j [ACCEPT|DROP|LOG] --syn对主动联机进行处理 使用sport和dport时必须指定udp or tcp 数据包格式 定义默认策略: Iptables [-t nat or filter] –P [INPUT,OUTPUT,FORWARD or PREROUTING,POSTROUTING,OUTPUP] [ACCEPT,DROP,] 配置NAT表 SNAT: iptables -t nat -A POSTROUTING -o 端口 -s 内网网段/主机 -j SNAT --to-source 防火墙外网端口ip地址 DNAT: iptables -t nat -A PREROUTING -i 端口 -p tcp -d 防火墙外端口ip地址 --dport 80 -j DNAT --to-destination 内网 DNAT的特殊用法:重定向,符合条件的数据包的目的ip地址改为数据包进入系统时的网络接口的ip地址。 例如,将来自/24,目的端口为80的数据包重定向到squid监听端口: iptables –t nat –A PREROUTING –i eth0 –p tcp –s ip地址 –dport 80 –j REDIRECT --to –port 3128 防火墙实验: 配置接口ip地址 配置外网服务器实现:WEB,FTP,MAIL,DNS 实现防火墙路由转发功能 Echo 1 ./proc/sys/net/ipv4/ip_forward(暂时修改) Vi /etc/sysctl.conf (永久修改) 地址转换SNAT(此时内网客户机可以访问外网服务器) 若外网地址是通过拨号连接获取的将不固定,地址转换采用ip伪装 Ipatables –t nat –A POSTROUTING –s 子网/主机 –o ppp0 –j MASQUERADE 配置DNAT是外网用户可以访问内网服务器(此时外网用户可以访问内网服务器) 配置访问控制策略:内

文档评论(0)

xcs88858 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

版权声明书
用户编号:8130065136000003

1亿VIP精品文档

相关文档