admin管理员组文章数量:1638572
目录
- 一、iptable概述
-
-
- 1、netfilter/iptables关系
- 2、iptables 的四表五链介绍
- 2.1、四表
- 2.2、五链
- 2.3、规则表之间的顺序
- 2.4、规则链之间的顺序
- 2.5规则链内的匹配顺序
- 2.6、数据包在规则表、链间的匹配流程
-
- 二、iptables 配置
-
-
- 2.1 iptables的安装
- 2.2 iptables 基本语法、数据包控制类型
-
-
- 2.2.1语法结构:
- 2.2.2 添加、查看、删除规则等基本操作
-
- 添加新的规则
- 查看规则列表
- 删除、清空规则
- 设置默认策略
- 2.2.3 规则的匹配条件
-
- 通用匹配
-
-
- 三、总结
一、iptable概述
Linux系统的防火墙: IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。
主要工作在网络层,针对 IP 数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)
netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。
1、netfilter/iptables关系
netfilter : 属于“内核态”( Kernel Space, 又称为内核空间 ) 的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
iptables: 属于“用户态”( User Space,又称为用户空间 ) 的防火墙管理体系。 是一种用来管理Linux防火墙的命令程序,它使插入,修改和删除数据包过滤表中的规则变得容易,通常位于 /sbin/iptables 目录下。
netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙其中内置了 raw、mangle 、nat 和 filter 四个规则表。
表中所有规则配置后,立即生效,不需要重启服务。
2、iptables 的四表五链介绍
iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构,所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。
其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链
-规则表的作用:容纳各种规则链;
表的划分依据:防火墙规则的作用相似;
-规则链的作用:容纳各种防火墙规则;
规则的作用:对数据包进行过滤或处理;
链的分类依据:处理数据包的不同时机
-总结:表里有链,链里有规则
2.1、四表
raw :主要用来决定是否对数据包进行状态跟踪
包含两个规则链,OUTPUT、PREROUTING
mangle :修改数据包内容,用来做流量整形的,给数据包设置标记。
包含五个规则链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
nat :负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。
包含三个规则链:OUTPUT、PEROUTTNG、POSTROUTING
filter :负责过滤数据包,确定是否放行该数据包(过滤)。
包含三个链:PREROUTTNG、POSTROUTING、OUTPUT
注 :在iptables的四个规则表中,mangle表和raw表的应用相对较少
2.2、五链
INPUT :处理入站数据包,匹配目标 IP 为本机的数据包。
OUTPUT :处理出站数据包,一般不在此链上做配置。
FORWARD :处理转发数据包,匹配流经本机的数据包。
PREROUTING链 :在进行路由选择前处理数据包,用来修改目的地址,用来做 DNAT。相当于把内网中的 80 端口映射到路由器外网端口上。
POSTROUTING链 :在进行路由选择后处理数据包,用来修改源地址,用来做 SNAT。相当于内网通过路由器 NAT 转换功能实现内网主机通过一个公网IP地址上网。
2.3、规则表之间的顺序
优先顺序 :规则表应用顺序 : raw → mangle → nat → filter
2.4、规则链之间的顺序
入站数据:PREROUTING→>INPUT
出站数据:OUTPUT→POSTROUTING
转发数据:PREROUTING→FORWARD→POSTROUTING
主机型防火墙:
数据包直接进入到防火墙所在的服务器的内部某一个应用程序当中,是不是只是路过服务器吧,是直接进入到服务
入站数据 ( 来自外界的数据包,且目标地址是防火墙本机 ) :PREROUTING --> INPUT -->本机的应用程序
出站数据 ( 从防火墙本机向外部地址发送的数据包 ) :本机的应用程序–>OUTPUT–>POSTROUTING
网络型防火墙:
转发数据 ( 需要经过防火墙转发的数据包 ) :PREROUTING --> FORWARD --> POSTROUTING
2.5规则链内的匹配顺序
自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)要么放行要么丢弃
若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)
注 :按第一条规则…第二条规则的顺序进行匹配处理,遵循"匹配即停止"的原则,
一旦找到一条匹配规则将不再检查后续的其他规则,如果一直找不到匹配的规则,就按默认规则处理。
默认规则用 iptables -L 查看,规则链后面出现 ( policy ACCEPT ) 即是默认放行
默认策略不参与链内规则的顺序编排
-F 清空链时,默认策略不受影响
2.6、数据包在规则表、链间的匹配流程
入站数据流向:
来自外界的数据包到达防火墙后,首先被 PREROUTING链 处理( 是否修改数据包地址等 ),然后进行路由选择( 判断该数据包应发往何处 )如果数据包的目标地址是防火墙本机( 如 Internet 用户访问网关的 web 服务端口 ) ,那么内核将其传递给 INPUT链 进行处理( 决定是否允许通过等 ),通过以后再交给系统上层的应用程序 ( 如httpd服务器 &#
版权声明:本文标题:防火墙之iptables 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1729272013a1193224.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论