概述:
iptables:基于软件的形式实现的一种防火墙的软件程序Firewall:工作在主机或网络边缘,对进出的报文按事先定义的规则进行检查,并且由匹配到的规则进行处理的一组硬件或软件,甚至可能是两者的组合
主机防火墙:工作于主机边缘,只能对一台主机起到保护作用
网络防火墙:工作于网络边缘,对多台主机起到保护作用
网络层:网络防火墙
应用层:网关
IDS:入侵检测
HIDS:OSSEC
NIDS:snort
Filesystem:tireware
IPS:入侵防御系统
honeypot:蜜罐
系统评估安全工具:
Nessus,nmap
iptables/netfilter:基于网络层的防火墙,连接追踪(状态检测)
ipfw ipchains iptables
iptables:防火墙规则编写工具
netfiter:网络过滤器,是一个框架
hook_function
INPUT
OUTPUT
FORWARD
POATROUTING
PRERROUTING
过滤:做报文筛选
NAT:Network Address Transltion
DNAT
SNAT
mangle:
raw:
FORWARD:
filter
mangle
INPUT
filter
mangle
OUT
filter
mangle
nat
PREROUTING
mangle
nat
POSTOUTING
mangle
nat
将控制强的放在前面,应用访问频繁的也要放在前面
四表:
fileter,net,mangle,raw
五链
PREROUTING(路由前) INPUT FOREARD OUTPUT POSTROUTING(路由后)
表和链的对应关系
filer:INPUT,FORWARD.OUTPUT
nat:PREROUTING OUTPUT POSTROUTING
mangle:PREROUTING FORWARD POSTROUTING INPUT OUTPUT
规则:检查条件,处理机制,
通:白名单,默认为堵,只对能识别的进行放行
堵:黑名单,默认为通,只对能识别的进行阻截
检查条件:
IP:SIP,DIP
TCP:SPORT,DPORT,FLags
UDP:SPORT,DPORT
ICMP:ICMP-TYPE
扩展机制:
time string state(connection-tracking)
处理机制:
DROP(丢弃),
REJECT(拒绝,并返回)
ACCEPT(允许)
SNAT
DNAT
RETURN(返回)
REDIRECT(端口转发)
LOG(只记录日志)
mangle:做防火墙标记
如何写规则
-t 表 -L 列出 -n 以数值方式显示iptables [-t table] -N chain
创建一条自定义的空规则链
iptables [-t table] -X chain
产出一条自定义的空规则链
iptables [-t table] -E old-chin-name new-chain-name
为链修改名
iptables [-t table] -P chain—name target
为链指定默认策略,修改默认的属性
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
-F 清空链中的规则
规则由编号,在链中自上而下,从1开始
-L list 列出表中的所有规则
-n:数字格式显示ip和port
-v:显示信息,
pkts:packets,被本规则所有匹配到的报文的个数
baytes:被本规则所匹配到的所有报文的大小子和,单位是字节,会执行单位换算
target:目标,即处理机制
port:协议一般为(TCP|UDP|ICMP)
opt:可选项
in:数据包的流入端口
out:数据包的流出接口
scource: