linux网络学习笔记.doc

Iptables 防火墙 按防火墙对数据包的过滤方式分为： 代理服务器：代理client向Internet请求数据 Ip，filter ：过滤数据包，实现防火墙功能 iptables中的表： filter：主要与linux主机有关，默认的table，实现包过滤 input：与进入linux本机的数据包有关 output：与送出linux本机的数据包有关 forward 与本机无关，将数据包转发到后端的计算机中 NAT 表：用于来源地和目的地的ip和port转换，与linux本机无关，实现地址转换 PREROUTING 在路由判断之前，目标地址转换 POSTROUTING 路由判断之后，源地址转换 OUTPUT 与送出去的数据包有关 表间的优先顺序： Rawmanglenatfilter 链间的匹配顺序： 入站数据：PREROUTING, INPUT（目标地址是防火墙） 出战数据：OUTPUP, POSTROUTING（源地址是防火墙） 转发数据：PREROUTING, FORWARD, POSTROUTING（源和目标都不是防火墙） 连内的匹配顺序： 自上而下顺序依次进行检查，若在链中找不到像匹配的规则，则按该链默认的策略处理 Iptables [-t nat or filter] [–L] [–nv] -L :列出目前的table的规则 -n ：不进行ip与hostname 的反查 -v列出更多的信息 iptables –F :清除所有的已定规则 -X: 除掉所有用户自定义的链 -Z：将所有的chain的计数与流量统计都归零 （这3种命令将本机防火墙的所有规则都清除，但不会改变默认策略） -A：新增加一条规则，加载原规则的后面 -I ：插入一条规则，默认插入到第一条规则 -D：删除一条规则 -P ：定义策略 -N ：新建一个链 -R ：替换 1，数据包的基础比对ip/netmask i/o设备（配置filter表） Iptables [-AI 链] [-io 网络接口] [-p 协议] [-s (!)来源ip网段] [-d 目标ip网段] –j [ACCEPT|DROP|LOG] 若某个网段input 可接受，但某个主机不能接受 应先设置丢弃在设置允许（顺序不能错） 2，TCP,UDP规则比对 Iptables [-AI 链] [-io 网络接口] [-p tcp,udp] [-s (!)来源ip网段] [--sport 端口范围][-d 目标ip网段] [--dport 端口范围] [--syn]–j [ACCEPT|DROP|LOG] --syn对主动联机进行处理 使用sport和dport时必须指定udp or tcp 数据包格式 定义默认策略： Iptables [-t nat or filter] –P [INPUT,OUTPUT,FORWARD or PREROUTING,POSTROUTING,OUTPUP] [ACCEPT,DROP,] 配置NAT表 SNAT: iptables -t nat -A POSTROUTING -o 端口 -s 内网网段/主机 -j SNAT --to-source 防火墙外网端口ip地址 DNAT: iptables -t nat -A PREROUTING -i 端口 -p tcp -d 防火墙外端口ip地址 --dport 80 -j DNAT --to-destination 内网 DNAT的特殊用法：重定向，符合条件的数据包的目的ip地址改为数据包进入系统时的网络接口的ip地址。 例如，将来自/24，目的端口为80的数据包重定向到squid监听端口： iptables –t nat –A PREROUTING –i eth0 –p tcp –s ip地址 –dport 80 –j REDIRECT --to –port 3128 防火墙实验： 配置接口ip地址 配置外网服务器实现：WEB,FTP,MAIL,DNS 实现防火墙路由转发功能 Echo 1 ./proc/sys/net/ipv4/ip_forward(暂时修改) Vi /etc/sysctl.conf (永久修改) 地址转换SNAT（此时内网客户机可以访问外网服务器） 若外网地址是通过拨号连接获取的将不固定，地址转换采用ip伪装 Ipatables –t nat –A POSTROUTING –s 子网/主机 –o ppp0 –j MASQUERADE 配置DNAT是外网用户可以访问内网服务器（此时外网用户可以访问内网服务器） 配置访问控制策略：内