- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
Linux系统应用 五邑大学 容振邦 Linux系统应用 系统应用 Linux iptables防火墙与VPN服务 * * 本章重点内容 防火墙原理 iptables使用 NAT原理和配置 VPN原理和配置 * 防火墙的基本原理 定义:建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络被认为是不安全和不可信赖的。 功能 可以保护易受攻击的服务 控制内外网之间的网络系统的访问 集中管理内网的安全性,降低管理成本 提高网络的保密性和私有性 记录网络的使用状态,为安全规划和网络维护提供依据 防火墙的分类(防范方式和侧重点) 包过滤防火墙 代理服务型防火墙 * 防火墙系统基本模型 * 防火墙原理—包过滤防火墙原理 * 包检查内容 IP源地址 IP目的地址 TCP或UDP的源端口号 TCP或UDP的目的端口号 协议类型 ICMP消息类型 TCP报头中的ACK位 TCP的序列号、确认号 IP校验和 * iptables简介 自由软件 数据包过滤、包重定向、网络地址转换 ipchains(2.2.x)的替代品 netfilter/iptables netfilter组件,内核空间 iptables组件,用户空间 * iptables基础 规则 (rules) 指定了源(目的)地址,传输协议和服务类型 链 (chain) PREROUTING,FORWARD,POSROUTING INPUT,OUTPUT 表 (tables) filter: INPUT,OUTPUT, FORWARD(默认) Nat: PREROUTING, POSROUTING,OUTPUT mangle: (2.4.18) 五种链 * iptables传输数据包的过程 * 关闭和启动防火墙 文本命令setup 命令方式 service iptables [start | stop | restart | save ] * iptables命令详解(1) Iptables增加、插入、删除的格式: iptables [-t 表] -命令 链名 [规则号] [匹配] -j 操作 表选项 filter(默认), nat, mangle 指定操作命令 -A:在所选链的链尾加入一条规则 -D:从所选链中删除一条匹配的规则 -R:在所选链中替换一条匹配的规则 -I:在链内某个位置插入一条新规则,不指定规则默认从链头插入 -L:列出指定链的所有规则 -P: 定义默认策略 * iptables命令详解(2) 指定匹配选项 匹配源地址 使用--source或--src或-s参数 匹配目的地址 使用--destination或--dst或-d参数 匹配网络接口 对于PREROUTING链,只能用-i或--in-interface参数匹配进来的网络接口 (ppp0,eth0,eth1) 对于POSTROUTING链和OUTPUT链,只能用-o或--out-interface参数匹配出去的网络接口(ppp0,eth0,eth1) 匹配协议及端口 使用-p选项来匹配协议(tcp, udp, icmp, etc.) 对于udp和tcp协议,还可以用--sport和--dport选项来分别匹配源端口和目的端口(起始端口号:结束端口号,或者端口号) * 动作选项 ACCEPT: 接受数据包 DROP:丢弃数据包 REDIRECT: 将数据包重新转向到本机或另一台主机的某个端口上,通常该功能实现透明代理或对外开放内网的某些服务 SNAT:源地址转换 DNAT:目的地址转换 MASQUERADE: IP伪装(NAT)常用于非固定公网IP LOG:日志功能 * iptables技巧实例 查看nat表所有的规则列表 iptables -t nat -L 为filter表的INPUT链添加一条规则:将来自IP地址为192.168.1.200这台主机的数据包都予以丢弃,然后查看filter表的INPUT链规则列表 iptables -t filter -A INPUT -s 192.168.1.200 -j DROP iptables -t filter -L INPUT 在filter表的INPUT链规则表中的第2条规则前插入一条规则:禁止192.168.2.0这个子网里所有的主机访问TCP协议的80端口 iptables -t filter -I INPUT 2 -s 192.168.2.0/24 -p tcp –dport 80 -j DROP 删除filter表的INPUT链列表中的第3条规则 iptables -t filter -D INPUT 3 * iptables技巧实例 替换
您可能关注的文档
最近下载
- 2023-2024学年辽宁省大连市沙河口区八年级(上)期末数学试卷+答案解析.pdf VIP
- 统编版(2024)七年级下册道德与法治11.1《法不可违》教案 .pdf VIP
- 小学生古诗词大赛试题(附答案).docx VIP
- GPIR复合外模板现浇混凝土保温系统建筑构造.pdf VIP
- 中小学校长选拔笔试试题及参考答案.docx VIP
- 全国计算机等级考试教程二级WPS Office高级应用与设计:电子表格的创建与编辑PPT教学课件.pptx VIP
- 黔西南州企业融资难融资贵主要情况反馈.doc VIP
- 垂径定理练习.3 垂径定理练习.doc VIP
- (已压缩)关于建筑设计防火的原则规定(1960)(OCR).pdf VIP
- 工业与民用建筑抗震设计规范TJ11-78.pdf VIP
文档评论(0)