目录
1.五张表:filter ,nat,mangle,raw,security
2.五条链:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
IPTables - 基础用法
一、IPTables防火墙介绍
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架”中,这个“安全框架"才是真正的防火增,这人推框架的名字叫netfiter。netfiter才是防火增真正的安全架(tramework).netfilter位于内核空间。iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架,netfilter/iptables (下文中管你为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替品贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换 (NAT)等功能
iptables 是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables 会查找其对应的匹配规则。如果找不到,iptables 将对其采取默认操作。
iptables的结构是由表(tables)组成,而tables是由链组成,链又是由县体的规则组成。因此我们在编写iptables规则时,要先指定表再指定链。tables的作用是区分不同功能的规则,并目存储这些规则
1.五张表:filter ,nat,mangle,raw,security
(1)filter表:默认表,负责过滤数据包
(2)nat表:用于网络地址转换(IP,端口)
(3)mangle表:主要应用于修改数据包,流量整形,给数据包打标识
(4)raw表:这个表很少被用到,主要用于配置连接跟踪相关内容,使用频率较少
(5)security表:这个表用于安全Linux的防火墙规则,是IPTables最近新增的表,使用频率较低
2.五条链:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
(1)INPUT:匹配目标IP是本机的数据包
(2)OUTPUT:匹配出口数据包
(3)FORWARD:匹配流经本机的数据包
(4)PREROUTING:修改目的地址,用来做 DNAT 。如:把内网中的80端口映射到互联网端口
(5)POSTROUTING:修改源地址,用来做 SNAT 。如:局域网共享一个公网IP接入Internet。
3.规则
基于防火墙策略设置的各类防护规则,防火墙规则的执行顺序认为从前到后依次执行,遇到匹配的规则就不再继续向下检查,如果遇到不匹配的规则就会继续向下进行。
IPTables默认没有设置规则的情况下,是允许所有流量还是拒绝呢???
在默认情况下,iptables规则是允许所有流量的。也就是说,如果没有显式地定义任何规则,那么iptables将不会阻止或过滤任何流量。
然而,这并不意味着它是完全无保护的。默认情况下,iptables有一些内置的规则,称为"INPUT"、"FORWARD"和"OUTPUT"链,它们对某些流量进行了基本的限制。例如,INPUT链规则会阻止从外部网络到本地网络的未请求的流量,但不会阻止本地网络之间的流量。
因此,尽管在默认情况下iptables不阻止任何流量,但仍然建议为特定的应用程序或服务定义明确的规则,以确保只有预期的流量能够通过。
但为什么我的CentOS上并没有给刚安装好的IPTables配置任何规则,但他依旧阻止了来自外部的流量???
这可能是因为CentOS在安装时默认配置了iptables规则以保护系统的安全。虽然你没有显式地配置任何规则,但CentOS可能已经设置了一些默认规则来限制外部访问。
这些默认规则可能包括阻止未请求的流量、只允许本地流量等。这些规则的目的
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
