linux防火墙(iptables)

最新推荐文章于 2024-04-29 19:32:19 发布
最新推荐文章于 2024-04-29 19:32:19 发布
阅读量878 收藏 1
点赞数
分类专栏: linux相关 文章标签: 防火墙 linux linux内核 filter 网络 output
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jianghui1980/article/details/1882440
版权

防火墙就是一台主机,其安全防护措施被可以强化,且可信任,一定要坐落在网络的枢纽点,必须能够过滤往来网络的所有的包。

    由于linux内核中有一个称为netfilter的子系统,当包经过linux内核时候,必须一次经过此子系统的各个检查点,因此,放火墙就是我们通过命令行工具iptables设定的各个检查规则的总和。

   netfilter在防火墙的应用中可以对包进行三种处理方式,过滤filtering,拆分mangling,转址nating。

   过滤对于包的处理有几种,通过,丢弃,拒绝(丢弃则包来源不会收到任何的通知,而拒绝则会给包来源一个icmp通知)。而对于包的识别主要有以下几个条件:

协议类型:tcp udp icmp等

通信端口:tcp或者udp协议

包类型:syn/ack,数据,icmp echo request等

来源地址:

目的地址。

   ip过滤发生在网络层,所以,它无法识别出应用程序本身,也就是说,如果我们想封锁telnet包,只是封锁23端口是完全不行的,其完全可以用另一个端口,例如2323来访问,netfilter对此完全无能为力,需要用别的proxy server来封锁telnet服务。

  iptalbes将网络包处理规则归纳为三个表table,分别是filter,nat,mangle,每个表由若干个链chain组成,每条链由一系列规则rule组成,每条规则描述一种匹配条件match和一种目标target,其中,匹配条件挑选包,而目标是对包的处理。

    iptables的优势在于规则比较简单明了,可以用有限的规则写出比较强大的防火墙,并且逻辑很清楚。写防火墙规则的步骤,基本上是用文字描述出想要达到的目的,然后用iptables实现。

    iptables在内核对于包的处理过程中定义了5个检查点hook point,每个检查点对应一组链。分别是PREROUTING INPUT FORWARD POSTROUTING OUTPUT。这些链供管理员安排过滤表规则,每一个规则代表一次检测或者影响包流动的机会。

FORWARD 经过网关(从某接口近来,再从另一个接口处去)的包。 (mangle filter)

INPUT即将递交给本地进程的包(mangle filter)

OUTPUT本地进程刚刚产生的包(mangle nat filter)

POSTROUTING即将进入网络接口而离开的包(mangle nat)

PREROUTING刚从网络接口进入的有效包。(mangle nat)

 iptables主要命令以及参数列表:

命令:command

-t table: nat mangle filter

-A  增加一条规则

-D 删除一条规则

-I 插入一条规则

-R 替换一条规则

-L 列出指定链的规则,如果不指定链,将列出所有的规则

-F 清空链表

-Z 计数值归零

-N 创建新链

-X 删除用户自定义链

-P 默认targer,默认处理方式

-E 重命名链

-h 帮助

参数: parameters

-p 协议:tcp udp icmp all

-s 源地址

-d 目的地址

-j 处理方式 ACCEPT DROP REJECT or USER-SPECIFIED

-g goto

-i 从某网络设备进入

-o 从某网络设备出去

[!] -f 处理碎片包 fragment

-c 初始化计数值

-v verbose输出,通常用来统计流量

-n numeric 以ip形式显示

-x 准确的输出流量,不用M K等显示

-line-numbers 在列出的每一个规则之前加上行号

-m 加载需要的模块

 

 

一些匹配条件

mac  --mac-source

icmp --icmp-type

udp  --destnation-port   --dport  --source-port  -sport

tcp  --dport  --mss  --sport  --syn  --tcp-flags  --tcp-option

一些有用的扩展模块

1、limit

--limit rate   n/second  n/minute  n/hour  n/day

--limit-burst

2、account

--aaddr  netword/netmask   192.168.0.0/24

--aname 定义统计保存的文件名字

--ashort  记录较简短的统计信息

读取计数 cat  /proc/net/ip_account/Xxx

3、connlimit

限定每一个ip地址的tcp并发访问数量

--connlimit-above

--connlimit-mask

target扩展

DNAT 用在nat表的OUTPUT PREROUTING

--to-destination

SNAT 用在nat表的POSTROUTING链

--to-source

Jianghui1980
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux防火墙iptables入门教程
09-15
Iptables是专为Linux操作系统打造的极其灵活的防火墙工具。对Linux极客玩家和系统管理员来说,iptables非常有用。本文将向你展示如何配置最通用的Linux防火墙
iptables防火墙规则选项
Richardlygo的博客
05-21 495
Linux网络防火墙 netfilter:Frame iptables:数据报文过滤,NAT,mangle等生成工具; 网络:IP报文首部,TCP报文首部 防火墙:硬件,软件:规则(匹配标准,处理办法) Framework: 默认规则: 开放:堵 关闭:通 规则:匹配标准 IP:SIP,DIP TCP:SPORT,DPORT, SYN=1, FIN=...
iptables学习心得
u012749168的博客
10-17 2051
iptables防火墙分为网络防火墙和应用层防火墙网络防火墙主要针对源地址和目标地址来进行检查。应用层防火墙几乎可以实现所有的检测。七层防火墙虽然更加安全,但是却带来了效率的降低。所以,在不同的场合选择不同的防火墙iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的
iptables详解
陌生人别恋的博客
06-03 5730
iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器;注意:-A:添加一条规则,默认是加在最后。注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用PREROUTING,也可以满足要求,但是如果用户的要求是让服务器提供转发功能,添加到PREROUTING链中,"转发"功能也将被拒绝掉。注意:链名要大写;注...
iptables
子曰小玖的博客
05-20 2669
Name iptables - administration tool for IPv4 packet filtering and NAT Synopsis iptables [-t table] -[AD]chain rule-specification [options]iptables [-t table] -Ichain [rulenum] rule-specification [options]iptables [-t table] -Rchain rulenum rule-sp...
Linux 防火墙 iptables
weixin_67033761的博客
06-04 880
1
Linux防火墙iptables
08-23
一个详尽的linux防火墙学习资料,其中详细介绍了iptables的配置使用方法
linux防火墙iptables用denyhosts防止黑客入侵.zip
01-07
linux iptables用denyhosts防止黑客入侵.zip
linux 防火墙iptables rpm安装包兼容centos
12-12
tar -zxvf iptables.tar.gz cd iptables rpm -Uvh *.rpm --force
tar 压缩命令的最有用的一个选项了
Jianghui1980的专栏
05-26 1101
tar cf - rootfs.rls | ssh [email protected]  "tar -C /home/et3320 -xvf -"把整个的rootfs.rls目录给上传到1.2的/home/et3320目录。 且tar不改变任何连接和文件等的信息。注意的一点是,打包和登陆的用户都必须是root用户,否则,某些文件或者设备会丢失。 Because tar saves the o
mysql+apache2+php安装配置
Jianghui1980的专栏
10-26 1093
1、安装apache(1)下载源代码切换到/usr/localcd /usr/local最新版本是apache2.2.6wget http://apache.mirror.phpchina.com/httpd/httpd-2.2.6.tar.gz(2)解压缩tar -zxvf httpd-2.2.6.tar.gz(3)安装cd /httpd-2.2.6./configure --prefix=/u
简单的一个可以让终端不断dhcp到不同IP的脚本
Jianghui1980的专栏
05-25 950
#! /bin/sh#       change the range of the dhcpd.conf. so every time the client can get the#       different IP after the dhcp leases.set -x# if the dhcpd is running then kill itdhcp_pid=`ps -A |gr
shell 脚本之“比较” 以及简单截取
Jianghui1980的专栏
10-23 923
shell中的比较分为几种:1、文件的比较-e filename  文件是否存在  [ -f filename ]-d dirname 目录是否存在 [ -d dirname ] -f filename 文件是否为常规文件 [ -f filename ]-L filename 文件是否为符号连接 [ -L filename ]-w filename 文件是否为可写 [ -w
关于僵尸进程
Jianghui1980的专栏
09-10 743
定义,僵尸进程就是已经死亡的(defunct)进程 ,但是仍然在进程表占了一个位置的进程。由于进程表容量有限,如果这样的进程太多,就会占用完进程表的空间,然后系统性能就会降低,而且可能导致系统瘫痪。如何产生,僵尸进程的产生,一般来说是因为子进程结束,而父进程由于某种设计上的失误在处于睡眠状态或者死循环状态,这样,子进程的结束信息就会存在进程表里面,无法传递给父进程处理,就成了个僵尸进程。但是如
nfs服务的服务器端配置简例
Jianghui1980的专栏
05-26 654
1.安装apt-get install nfs-comman nfs-kernel-server portmap(最新的debain不需要安装nfs-comman)2.配置vi /etc/exports/home/et3320/rootfs 192.168.1.*(rw,no_root_squash)/home/fred/rootfs 192.168.1.*(rw,no_root_squash)3
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 231
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
Linux』 第一章 基本操作指令(上)
m0_54443558的博客
04-28 908
Linux 基本指令
Linux】开始认识软硬链接
最新发布
JLX_1的博客
04-29 2765
本文通过对文件系统的总结,讲解了Linux中的软硬链接

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值