linux防火墙过滤规则.docxVIP

一、linux防火墙基础防火墙分为硬件防火墙和软件防火墙。1.概述linux 防火墙体系主要工作在网络层，针对TCP/IP数据包实施过滤和限制，属于典型的包过滤防火墙。包过滤机制：netfilter管理防火墙规则命令工具：iptablesnetfilter 指linux内核中实现包过滤防火墙的内部结构，不依程序或文件的形式存在，属于“内核态”的防火墙功能体系iptables 指管理linux防火墙的命令工具，属于“用户态”的防火墙管理体系2.iptables的规则表、链结构iptables的作用在于为包过滤机制的实现提供规则，通过不同的规则作出不同的反应.iptables管理4个表、以及他们的规则链?filter,用于路由网络数据包。INPUT 网络数据包流向服务器OUTPUT 网络数据包从服务器流出FORWARD 网络数据包经服务器路由?nat,用于NAT表.NAT(Net Address Translation )是一种IP地址转换方法。PREROUTING 网络数据包到达服务器时可以被修改POSTROUTING 网络数据包在即将从服务器发出时可以被修改OUTPUT 网络数据包流出服务器?mangle,用于修改网络数据包的表，如TOS(Type Of Service),TTL(Time To Live),等INPUT 网络数据包流向服务器OUTPUT 网络数据包流出服务器FORWARD 网络数据包经由服务器转发PREROUTING 网络数据包到达服务器时可以被修改POSTROUTING 网络数据包在即将从服务器发出时可以被修改?raw, 用于决定数据包是否被跟踪机制处理OUTPUT 网络数据包流出服务器PREROUTING 网络数据包到达服务器时可以被修改3.数据包过滤匹配流程1.规则表之间的优先顺序依次应用：raw、mangle、nat、filter表2.规则链之间的优先顺序入站数据流向转发数据流向出站数据流向3.规则链内部各条防火墙规则之间的优先顺序?二、管理和配置Iptables规则1.iptables的基本语法格式iptables [-t 表名] 命令选项 [链名] [条件匹配] [-] 目标动作或跳转表名链名用于指定iptables命令所做对象，未指定默认filter表，命令选项指于管理iptables规则的方式（插入、删除··）；条件匹配指定对条件的符合而处理；目标动作或跳转指定数据包的处理方式。2.管理iptables规则控制选项?-A 在链尾添加一条规则　-D 从链中删除一条规则?-I 在链中插入一条规则?-R 修改、替换某链的某规则?-L 列出某个链上的规则?-F 清空链，删除链上的所有规则?-N 创建一个新链?-X 删除某个规则链?-P 定义某个链的默认策略?-n 数字形式显示结果?-v 查看规则列表详细信息?-V 查看iptables命令工具版本?-h 查看命令帮助信息?-line-numbers 查看规则列表，显示顺序号增加、插入、删除和替换规则相关规则定义的格式为：iptables ?[-t表名] ?-A | I | D | R 链名 [规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网] [--sport 源端口号] [-d目标IP地址 | 目标子网] [--dport目标端口号] -j动作参数说明如下。[-t表名]：定义默认策略将应用于哪个表，可以使用filter、nat和mangle，如果没有指定使用哪个表，iptables就默认使用filter表。-A：新增加一条规则，该规则将会增加到规则列表的最后一行，该参数不能使用规则编号。-I：插入一条规则，原本该位置上的规则将会往后顺序移动，如果没有指定规则编号，则在第一条规则前插入。-D：从规则列表中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。-R：替换某条规则，规则被替换并不会改变顺序，必须要指定替换的规则编号。链名：指定查看指定表中哪个链的规则列表，可以使用INPUT、OUTPUT、FORWARD、PREROUTING、OUTPUT和POSTROUTING。[规则编号]：规则编号用于插入、删除和替换规则时用，编号是按照规则列表的顺序排列，规则列表中第一条规则的编号为1。[-i | o 网卡名称]：i是指定数据包从哪块网卡进入，o是指定数据包从哪块网卡输出。网卡名称可以使用ppp0、eth0和eth1等。[-p 协议类型]：可以指定规则应用的协议，包含TCP、UDP和ICMP等。[-s 源IP地址 | 源子网]：源主机的IP地址或子网地址。[--sport 源端口号]：数据包的IP的源端口号。[-d目标IP地址 | 目标子网]：目标主机的IP地址或子网地址。[--dport目标端口号]：数