Loading... <p style="text-align: left"><span style="font-size: 16px;font-family: 微软雅黑,Microsoft YaHei">iptables 包过滤性防火墙</span></p> <p style="text-align: left"><span style="font-size: 14px;font-family: 微软雅黑,Microsoft YaHei"> <span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> iptables是位于用户空间,是防火墙管理配置规则的工具。</span></span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> iptables的作用:用来添加,删除,管理netfilter规则。</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> Netfilter是位于内核中真正的防火墙,由5个钩子组成,<span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 16px">也叫五个规则链</span>。</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> Netfilter的作用:起到过滤封包,转换与映射IP地址和端口,拆分和修改封包内容,追踪封包等功能</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> 防火墙的组成:4表5链</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> 5链:</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> PREROUTING(路由前)<br style="text-align: left" /> INPUT(数据包流入口)<br style="text-align: left" /> FORWARD(转发链)<br style="text-align: left" /> OUTPUT(数据包出口)<br style="text-align: left" /> POSTROUTING(路由后)</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> 4表:</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> 根据优先级从低到高为:</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> filter:过滤</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> INPUT FORWARD OUTPUT <br style="text-align: left" /></span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> nat:网络地址转换</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> PREROUTING OUTPUT POSTROUTING</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> mangle:报文拆分已和重装,修改报文内容</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> PREROUTING INPUT FORWARD OUTPUT POSTROUTING</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> raw:关闭NAT上启动的连接追踪机制</span></p> <p style="text-align: left"><span style="font-family: 微软雅黑,Microsoft YaHei;font-size: 14px"> PREROUTING OUTPUT</span></p> <p style="text-align: left"> <span style="font-size: 14px"> iptables:四表五链<br style="text-align: left" /> 添加规则时的考量点:<br style="text-align: left" /> (1) 要实现哪种功能:判断添加在哪张表上;<br style="text-align: left" /> (2) 报文流经的路径:判断添加在哪个链上;<br style="text-align: left" /><br style="text-align: left" /> 链:链上规则的次序,即为检查的次序;因此隐含一定的法则<br style="text-align: left" /> (1) 同类规则(访问同一应用),匹配范围小的放上面;<br style="text-align: left" /> (2) 不同类规则(访问不同应用),匹配到报文频率较大的放上面;<br style="text-align: left" /> (3) 将那些可由一条规则描述的多个规则合并为一个;<br style="text-align: left" /> (4) 设置默认策略;</span></p> <p><br style="text-align: left" /><span style="font-size: 14px"><span style="font-family: 微软雅黑,Microsoft YaHei"></span></span></p> 最后修改:2021 年 12 月 10 日 10 : 53 AM © 允许规范转载 赞赏 如果觉得我的文章对你有用,请随意赞赏 赞赏作者 支付宝微信