iptables
iptables:包过滤防火墙
firewall:防火墙,隔离工具:工作于主机或网络边缘,对于进出本主机或网络的报文根据事先定义好的检查规则做匹配检测,对于能够被规则所匹配到的报文做出相应处理的组件:
主机防火墙
网络防火墙
入侵检测系统(IDS):
·网络入侵检测系统 NIDS
·主机入侵检测系统 HIDS
对于IDS常用的检测服务有:snort等
入侵防御系统(IPS),比如蜜罐
部署一套入侵检测系统是非常麻烦的,因为必须检测网络任意一个位置
对于IPS常用的检测服务有: tripwire 等
ipfw
ipchains
iptables/netfilter
framework(内核中的网络报文过滤或处理框架):netfilter
hook function(钩子函数)
rule utils(规则管理工具):iptables
表功能:
filter:过滤,防火墙:
nat:网络地址转换(network address teanslation)
mangle:拆解报文,做出修改,封装报文
raw:关闭nat表上启用的连接追踪机制
链(内置):
PREOUTING:路由角色发生之前
INPUT:
FORWARD:转发
OUTPUT:
POSTROUTING:路由角色发生之后
PREOUTING,POSTROUTING:是tcp/ip协议栈上的功能
流入:PREOUTING --> INPUT
流出:OUTPUT --> POSTROUTING
转发:PREOUTING --> FORWARD --> POSTROUTING
表各功能的分别实现:
filter:INPUT,FORWARD,OUTPUT
nat:PREOUTING(DNAT),OUTPUT,POSTROUTING(SNAT)
mangle:PREOUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
raw:PREOUTING,OUTPUT
路由发生时刻:
报文进入本机后
判断目标主机
报文发出之前
判断经由那个接口送往下一跳
iptables:四表五链
添加规则时的考量点:
(1)要实现那种功能,判断添加在那张表
(2)报文流经的路径,判断添加在那个链上
链:链上规则次序,即为检查次序,因此隐含一定的法则
(1)同类规则(访问同一应用),匹配范围小的放上面
(2)不同类规则(访问不同应用),匹配到报文频率较大的放上面
(3)将那些可由一条规则描述的多个规则合并为一个
(4)设置默认策略
功能的优先级次序:raw --> mangle --> nat --> filter
规则:
组成部分:报文的匹配条件,匹配到之后的处理动作
匹配条件:根据协议报文特征指定
基本匹配条件
扩展匹配条件
处理动作:
内建处理机制
自定义处理机制
注意:报文不会经过自定义链,只能在内置链上通过规则进行引用后生效
iptables:规则管理工具
添加、修改、删除、显示等:
规则和链有计数器:
pkgs:由规则或链所匹配到的报文的个数
bytes:由规则或链匹配到的所有报文大小之和
iptables命令:
iptables [-t table] {-A|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-spec
iptables:包过滤防火墙
firewall:防火墙,隔离工具:工作于主机或网络边缘,对于进出本主机或网络的报文根据事先定义好的检查规则做匹配检测,对于能够被规则所匹配到的报文做出相应处理的组件:
主机防火墙
网络防火墙
入侵检测系统(IDS):
·网络入侵检测系统 NIDS
·主机入侵检测系统 HIDS
对于IDS常用的检测服务有:snort等
入侵防御系统(IPS),比如蜜罐
部署一套入侵检测系统是非常麻烦的,因为必须检测网络任意一个位置
对于IPS常用的检测服务有: tripwire 等
ipfw
ipchains
iptables/netfilter
framework(内核中的网络报文过滤或处理框架):netfilter
hook function(钩子函数)
rule utils(规则管理工具):iptables
表功能:
filter:过滤,防火墙:
nat:网络地址转换(network address teanslation)
mangle:拆解报文,做出修改,封装报文
raw:关闭nat表上启用的连接追踪机制
链(内置):
PREOUTING:路由角色发生之前
INPUT:
FORWARD:转发
OUTPUT:
POSTROUTING:路由角色发生之后
PREOUTING,POSTROUTING:是tcp/ip协议栈上的功能
流入:PREOUTING --> INPUT
流出:OUTPUT --> POSTROUTING
转发:PREOUTING --> FORWARD --> POSTROUTING
表各功能的分别实现:
filter:INPUT,FORWARD,OUTPUT
nat:PREOUTING(DNAT),OUTPUT,POSTROUTING(SNAT)
mangle:PREOUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
raw:PREOUTING,OUTPUT
路由发生时刻:
报文进入本机后
判断目标主机
报文发出之前
判断经由那个接口送往下一跳
iptables:四表五链
添加规则时的考量点:
(1)要实现那种功能,判断添加在那张表
(2)报文流经的路径,判断添加在那个链上
链:链上规则次序,即为检查次序,因此隐含一定的法则
(1)同类规则(访问同一应用),匹配范围小的放上面
(2)不同类规则(访问不同应用),匹配到报文频率较大的放上面
(3)将那些可由一条规则描述的多个规则合并为一个
(4)设置默认策略
功能的优先级次序:raw --> mangle --> nat --> filter
规则:
组成部分:报文的匹配条件,匹配到之后的处理动作
匹配条件:根据协议报文特征指定
基本匹配条件
扩展匹配条件
处理动作:
内建处理机制
自定义处理机制
注意:报文不会经过自定义链,只能在内置链上通过规则进行引用后生效
iptables:规则管理工具
添加、修改、删除、显示等:
规则和链有计数器:
pkgs:由规则或链所匹配到的报文的个数
bytes:由规则或链匹配到的所有报文大小之和
iptables命令:
iptables [-t table] {-A|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-spec
最低0.47元/天 解锁文章
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
