- 1、本文档共19页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
linux网络学习笔记
Iptables 防火墙
按防火墙对数据包的过滤方式分为:
代理服务器:代理client向Internet请求数据
Ip,filter :过滤数据包,实现防火墙功能
iptables中的表:
filter:主要与linux主机有关,默认的table,实现包过滤
input:与进入linux本机的数据包有关
output:与送出linux本机的数据包有关
forward 与本机无关,将数据包转发到后端的计算机中
NAT 表:用于来源地和目的地的ip和port转换,与linux本机无关,实现地址转换
PREROUTING 在路由判断之前,目标地址转换
POSTROUTING 路由判断之后,源地址转换
OUTPUT 与送出去的数据包有关
表间的优先顺序:
Rawmanglenatfilter
链间的匹配顺序:
入站数据:PREROUTING, INPUT(目标地址是防火墙)
出战数据:OUTPUP, POSTROUTING(源地址是防火墙)
转发数据:PREROUTING, FORWARD, POSTROUTING(源和目标都不是防火墙)
连内的匹配顺序:
自上而下顺序依次进行检查,若在链中找不到像匹配的规则,则按该链默认的策略处理
Iptables [-t nat or filter] [–L] [–nv]
-L :列出目前的table的规则
-n :不进行ip与hostname 的反查
-v列出更多的信息
iptables –F :清除所有的已定规则
-X: 除掉所有用户自定义的链
-Z:将所有的chain的计数与流量统计都归零
(这3种命令将本机防火墙的所有规则都清除,但不会改变默认策略)
-A:新增加一条规则,加载原规则的后面
-I :插入一条规则,默认插入到第一条规则
-D:删除一条规则
-P :定义策略
-N :新建一个链
-R :替换
1,数据包的基础比对ip/netmask i/o设备(配置filter表)
Iptables [-AI 链] [-io 网络接口] [-p 协议] [-s (!)来源ip网段] [-d 目标ip网段] –j [ACCEPT|DROP|LOG]
若某个网段input 可接受,但某个主机不能接受 应先设置丢弃在设置允许(顺序不能错)
2,TCP,UDP规则比对
Iptables [-AI 链] [-io 网络接口] [-p tcp,udp] [-s (!)来源ip网段] [--sport 端口范围][-d 目标ip网段] [--dport 端口范围] [--syn]–j [ACCEPT|DROP|LOG]
--syn对主动联机进行处理
使用sport和dport时必须指定udp or tcp 数据包格式
定义默认策略:
Iptables [-t nat or filter] –P [INPUT,OUTPUT,FORWARD or PREROUTING,POSTROUTING,OUTPUP] [ACCEPT,DROP,]
配置NAT表
SNAT: iptables -t nat -A POSTROUTING -o 端口 -s 内网网段/主机 -j SNAT --to-source 防火墙外网端口ip地址
DNAT: iptables -t nat -A PREROUTING -i 端口 -p tcp -d 防火墙外端口ip地址 --dport 80 -j DNAT --to-destination 内网
DNAT的特殊用法:重定向,符合条件的数据包的目的ip地址改为数据包进入系统时的网络接口的ip地址。
例如,将来自/24,目的端口为80的数据包重定向到squid监听端口:
iptables –t nat –A PREROUTING –i eth0 –p tcp –s ip地址 –dport 80 –j REDIRECT --to –port 3128
防火墙实验:
配置接口ip地址
配置外网服务器实现:WEB,FTP,MAIL,DNS
实现防火墙路由转发功能
Echo 1 ./proc/sys/net/ipv4/ip_forward(暂时修改)
Vi /etc/sysctl.conf (永久修改)
地址转换SNAT(此时内网客户机可以访问外网服务器)
若外网地址是通过拨号连接获取的将不固定,地址转换采用ip伪装
Ipatables –t nat –A POSTROUTING –s 子网/主机 –o ppp0 –j MASQUERADE
配置DNAT是外网用户可以访问内网服务器(此时外网用户可以访问内网服务器)
配置访问控制策略:内
文档评论(0)