##7.Iptables企业常用场景
1、场景1:做主机防火墙功能(filter表的INPUT链)。
2、场景2:局域网共享上网,做网关(nat表的POSTROUTING链)。半个路由器,NAT功能,zebra+squid。
3、场景3:端口及IP映射(nat表的PREROUTING链),硬防的NAT功能。
4、场景4:实现IP一对一映射(DMZ)
ptables工作流程小结:
1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。
2、如果匹配上了规则,即明确表明是阻止还是通过,此时数据包就不在向下匹配新规则了。
3、如果所有规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,向下进行匹配,
直到匹配默认规则得到明确的阻止还是通过。
4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的(最后执行的规则)。
##9.iptables的表(tables)和链(chains)
链:对进、出、经过起一个称呼区别下就叫表
表:按照功能区分,起一个称呼
包含关系
iptables(用户空间)==>netfilter(内核空间)
==>4个表(tables)===>5个链=(chains)==>规则(policy)
5表:
filter(作用:主机防火墙) ,iptables默认的表。*****
nat(作用:端口或IP映射或共享上网)*****
mangle(配置路由标记ttl\tos\mark),忽略
raw(忽略)
security:(忽略)
不同的表包含的链:
filter:INPUT,OUTPUT,FORWARD *****
NAT :POSTROUTING,PREROUTING,OUTPUT *****
mangle:INPUT,OUTPUT,FORWARD,POSTROUTING,PREROUTING
raw(忽略)
security:(忽略)
帮助:man iptables
链:
*INPUT:进入主机的数据包。主机防火墙(filter表的INPUT链)
OUTPUT:流出主机的数据包。
FORWARD:流经主机的数据包。
*PREROUTING:进入服务器最先经过的链,NAT端口或IP映射(导向)。(nat表的PREROUTING链)
*POSTROUTING:在流出服务器最后经过的链,NAT共享上网。局域网共享上网(nat表的POSTROUTING链)
面试题:精通4表5链及工作原理流程
##11.iptables实践:
https://www.cnblogs.com/fengzhilaoling/p/12454424.html
重点:
1、iptables包过滤流程。
2、iptables4表5链作用和关系。
3、iptables工作原理(4表5链)。
4、iptables常用命令参数。
5、部署一个企业级主机防火墙案例。
课外阅读:
(1)生产环境大于254台机器网段划分及路由解决方案详解01
http://v.youku.com/v_show/id_XNTAyMjAwMzI0.html
(2) linux route命令深入浅出与实战案例精讲
http://oldboy.blog.51cto.com/2561410/1119453
http://oldboy.blog.51cto.com/2561410/974194
必看3遍以上。