linux配置iptables防火墙（Linux configure the iptables firewall）.doc

下载文档

4
0
约2.93千字
约 5页
2017-08-20 发布于河南
举报
版权申诉
保障服务

linux配置iptables防火墙（Linux configure the iptables firewall）.doc

1、本文档共5页，可阅读全部内容。
2、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。
3、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。

linux配置iptables防火墙（Linux configure the iptables firewall）

linux配置iptables防火墙（Linux configure the iptables firewall）概述 1.netfilter 与iptables netfilter指的是linux内核中实现包过滤防火墙的内部结构, 不以程序或文件的形式存在, 属于内核态的防火墙体系 iptables指的是管理linux防火墙的命令工具, 程序通常放在 / sbin / iptables, 属于用户态的防火墙体系结构 2.规则表 filter表, 包含三个链: input output analysis filter表主要对数据包进行过滤, 根据具体的规则决定是否放行数据包, 其内核模块为: iptable _ filter nat表: prerouting postrouting output, 包含三个链 nat主要用于修改数据包的ip地址端口号等信息, 对应的模块为 iptable _ nat mangle表: prerouting postrouting input output, 包含五个链 forward mangle表主要用于修改数据包的tos ttl等值, 以实现qos调整以及策略路由等应用, 其对应的模块: iptable _ mangle raw表包含两条链: prerouting, output 该表主要用于决定数据包是否被状态跟踪机制处理, 在匹配时raw表优先于其他表, 其对应的模块: iptabl _ raw 3.数据包过滤匹配流程当数据包抵达防火墙时, 将一次应用raw, mangle, nat, filter表中对应链由于默认的规则链时根据规则介入时机进行分类的, 因此优先顺序直接取决于数据包的具体流向入站数据流: 首先被prerouting规则链进行处理, 是否修改数据包的地址, 之后会进行路由选择, 判断该数据包应该发往何处, 如果数据包的目标是防火墙, 那么内核将其传递给input链进行处理 (决定是否允许通过), 通过以后再交给系统上的应用层转发数据流向: 当来自外界的数据包到达防火墙后, 首先被prerouting规则进行处理, 之后会进行路由选择, 如果数据包的目标地址是其他外部的地址 (如局域网用户通过网关访问qq站点的数据包), 则内核将其传递给forward链进行处理 (是否转发或拦截), 然后再交给postrouting规则链 (是否修改数据包的地址等) 处理出战数据流向: 防火墙本机向外部地址发送的数据包 (如在防火墙主机中测试公网dns服务时) 首先被output规则链进行处理, 之后会进行路由选择, 然后传递给postrouting规则链 (是否修改数据包地址) 进行处理. 4.规则; 链内部的各条防火墙规则之间的优先顺序在数据包经由每条规则链处理过程中, 依次为, 第一条, 第二条, 直到匹配上, 若果没有匹配上, 就按默认的处理 5.管理iptables规则 # iptables - l input line numbers # iptables - vnl (显示filter表中链的详细信息) # iptables - f input 2 Iptables -F (# empty filter table configuration) Iptables -t NAT -F (# empty NAT table configuration strategy) 6. condition matching (1) general purpose (Generla) condition matching, which can be used directly instead of relying on other conditions (2) protocol matching, user checking packet network protocols, allowing protocols in /etc/protocols files (3) iptables -A FORWARD -s # address, 192.168.1.11 -j ACCEPT (4) iptables -A INPUT # network interface, -i eth1 -s 192.168.1.0/16 -j DROP (5) iptables -A INPUT -p # port, TCP --dport 22 -s 192.168.1.0/24 -j ACCEPT (6) iptables -A FORWARD # display conditions, -m MAC --mac-source 00:0c:29:27:55:3f -A INPUT -p TC