目录
1.iptables防火墙
1.包过滤防火墙 (网络层)
对于用户来说 透明 处理快 易于维护 但无法检查应用层 病毒
2.应用层防火墙(应用层)
对于应用层检查 安全 增加防火墙负载
2.通信五元素和四元素
五元素 源ip 目标ip 源端口 目标端口 协议
四元素 源ip 目标ip 源端口 目标端口
3.五规则链四规则表(四表无链)
五链
INPUT 处理入站数据包
OUTPUT 处理出战数据包
FORWARD 处理转发数据包
PREROUTING 进行路由选择前处理数据包
POSTROUTING 进行路由离开后处理数据包
四表
raw表 跟踪包状态
mangle表 修改包头部信息
nat表 修改数据包中 源 目标ip 或端口
filter表 确定是否放行改数据包
按照表顺序一次查当前表中的链 看是否有匹配规则 有则停止 无则用链默认策略处理
表里有链 链里有规则
4.使用
iptables 命令
-vnL 查看 -t 指定表名(默认filter) -F 清空
添加规则
iptables -t filter -A INPUT -p icmp -j REJECT
-A 添加新的 -j 指定控制类型
-A 指定再末尾添加一条 -I 在指定链中插入一条新的 未指定序号默认第一条
-P 指定默认规则 -D 删除 -L查看 -n 数字显示字段 -v 详细看
-F 清除所有规则 -p 指定要匹配的数据包协议类型 -s 源ip地址(也可以是网段)
-d 目的ip地址 -i 数据包进入本机网络接口(或网络设备)
-- sport 指定源端口号 -- dport 指定目的端口号
删除
iptables -D INPUT 序号
通用匹配
包括网络协议 ip地址 端口号 网络接口(网卡设备)
隐藏/显示 扩展匹配
批量禁端口
iptables -A INPUT -s 目的ip -p tcp --dport 22:80 -j REJECT
iptables -A INPUT -s 目的ip -p tcp -m multiport --dport 80,22,20,21 -j REJECT
禁范围ip
iptables -A INPUT -p icmp -m iprange --src-range ip范围 -j REJECT