- 1、本文档共41页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
RHCE-chap20 配置iptables防火墙
课程目录 熟悉Linux防火墙的表、链结构 理解数据包匹配的基本流程 会管理和设置iptables规则 会使用防火墙脚本的一般方法 本章结构 Linux防火墙概述 Linux系统的防火墙功能是由内核实现的 2.0 版内核中,包过滤机制是ipfw,管理工具是ipfwadm 2.2 版内核中,包过滤机制是ipchain,管理工具是ipchains 2.4 版及以后的内核中,包过滤机制是netfilter,管理工具是iptables Linux防火墙概述 netfilter 位于Linux内核中的包过滤防火墙功能体系 称为Linux防火墙的“内核态” iptables 位于/sbin/iptables,是用来管理防火墙的命令工具 为防火墙体系提供过滤规则/策略,决定如何过滤或处理到达防火墙主机的数据包 称为Linux防火墙的“用户态” —— 习惯上,上述2种称呼都可以代表Linux防火墙 Linux防火墙概述 包过滤防火墙工作在TCP/IP的网络层 iptables的规则表、链结构 规则链 规则的作用在于对数据包进行过滤或处理,根据处理时机的不同,各种规则被组织在不同的“链”中 规则链是防火墙规则/策略的集合 默认的5种规则链 INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING链:在进行路由选择后处理数据包 PREROUTING链:在进行路由选择前处理数据包 iptables的规则表、链结构 规则表 具有某一类相似用途的防火墙规则,按照不同处理时机区分到不同的规则链以后,被归置到不同的“表”中 规则表是规则链的集合 默认的4个规则表 raw表:确定是否对该数据包进行状态跟踪 mangle表:为数据包设置标记 nat表:修改数据包中的源、目标IP地址或端口 filter表:确定是否放行该数据包(过滤) iptables的规则表、链结构 数据包过滤匹配流程 规则表间的优先顺序 依次为:raw、mangle、nat、filter 规则链间的匹配顺序 入站数据:PREROUTING、INPUT 出站数据:OUTPUT、POSTROUTING 转发数据:PREROUTING、FORWARD、POSTROUTING 规则链内的匹配顺序 按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外) 若在该链内找不到相匹配的规则,则按该链的默认策略处理 数据包过滤匹配流程 数据包过滤匹配流程(简化) 管理和设置iptables规则 iptables命令的语法格式 iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转] 几个注意事项 不指定表名时,默认表示filter表 不指定链名时,默认表示该表内所有链 除非设置规则链的缺省策略,否则需要指定匹配条件 iptables命令的管理选项 设置规则内容: -A:在链尾追加一条新的规则 -I:在指定位置(或链首)插入一条新的规则 -R:修改、替换指定位置或内容的规则 -P:设置指定链的默认策略 列表查看规则 -L:列表查看各条规则信息 --line-numbers:查看规则信息时显示规则的行号 -n:以数字形式显示IP地址、端口等信息 -v:显示数据包个数、字节数等详细信息 iptables命令的管理选项 清除规则 -D:删除指定位置或内容的规则 -F:清空规则链内的所有规则 自定义规则链 -N:创建一条新的规则链 -X:删除自定义的规则链 其他 -h:查看iptables命令的使用帮助 小结 请思考: iptables包含了哪几个规则表,各自的作用是什么? iptables使用了哪几种规则链,各自的含义是什么? iptables在转发数据包时,经过了哪几个表、哪几种链内的规则进行匹配? iptables命令的基本语法格式包括哪些组成部分? 设置iptables规则时,若未指定表名,默认对应的是哪个规则表? 设置匹配数据包的条件 通用条件匹配 可直接使用,不依赖于其他的条件或扩展模块 包括网络协议、IP地址、网络接口等匹配方式 隐含条件匹配 一般需要以特定的协议匹配作为前提 包括端口、TCP标记、ICMP类型等匹配方式 显式条件匹配 需要使用“-m 扩展模块”的形式明确指定匹配方式 包括多端口、MAC地址、IP地址范围、数据包状态等匹配方式 通用条件匹配 协议匹配 使用“-p 协议名”的形式 协议名可使用在“/etc/protocols”文件中定义的名称 常用的协议包括tcp、udp、icmp等 地址匹配 使用“-s 源地址”、 “-d 目标地址”的形式 地址可以是单个IP地址、网络地址(带掩码长度) 接口匹配 使用“-i 网络接口名”、 “-o 网络接口名”的形式,分别对应接收
文档评论(0)