文章目录
背景
1、防火墙就是通过定义一些有顺序的规则,并管理进入到网络内的主机数据数据包的一种机制,更广义的来说,只要能够分析与过滤进出我们管理的网络的数据包的数据,就是防火墙。
2、防火墙就是维护网络安全。
3、做此实验时必须关掉firewalld,同时开启firewalld和iptables两者相互之间会产生影响。
4、实验环境:
(1)下载iptables数据包过滤软件(内核2.4以后的Linux使用iptables作为防火墙的软件)
使用uname -r 追踪内核版本。
(2)打开服务
(3)准备三个主机(一个真机,两个虚拟机desktop和server)
(4)在desktop主机上下载iptables,同时准备两块网卡,ip分别为eth0172.25.254.136和eth1192.168.0.136.在server主机上设置ip为192.168.0.236。
一、什么是iptables?
1、Linux的数据包过滤软件:iptables,这个防火墙软件里面有多个表格(table),每个表格都定义出自己的默认策略与规则,且每个表格的用途都不相同。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中
2、iptables规则:规则是有顺序的。如果前面的规则比对成功,那么就不会理会后面的规则了。
当规则顺序排列错误时,会产生严重的错误。
二、iptables的三表五链
1、三表 :管理本机进出的Filter、管理后端主机(防火墙内部的其他的计算机)的NAT、管理特殊标志使用的Mangle(较少使用)。
2、
(1)==Filter(过滤网):==主要跟进入Linux本机的数据包有关,是默认的table。
INPUT:主要与想要进入Linux本机的数据包有关
OUTPUT:主要与Linux本机所要送出的数据包有关
PORWARD:与Linux本机没有关系,它可以传递数据包到后端的计算机中,与NAT的table相关性较高
(2)==NAT(地址转换):==是Network Address Translation 的缩写,这个表格主要用来进行来源与目的地的ip或port的转换,与Linux本机无关,主要与Linux主机后的局域网内计算机相关。