iptables防火墙工作原理及作用

Iptables防火墙基础介绍

1.防火墙概述

  概念: 防火墙将不安全的网络流量信息进行隔离
  实现: 硬件(思科 华为) 软件(iptable firewalld)

 

2.基础工作原理:

 1.防火墙是层层过滤的,实际是按照配置规则的顺序从上到下,从前到后进行过滤的。
 2. 如果匹配上规则,即明确表示是阻止还是通过,数据包就不再向下匹配新的规则。
 3. 如果规则中没有明确表明是阻止还是通过的,也就是没有匹配规则,向下进行匹配,直到匹配默认规
     则得到明确的阻止还是通过。
 4. 防火墙的默认规则是所有规则执行完才执行的。

 

基础原理图:

iptables防火墙工作原理及作用

 

3.iptables表和链关系

规则(rules):网络管理员预定义的条件
链(chains): 是数据包传播的路径

四表:
filter表            —过滤数据包
Nat表               —实现访问映射/流量转发 实现内网访问外网/外网访问映射到指定内网主机
Mangle表            —流量数据包进行标记
Raw表               —决定数据包是否被状态跟踪机制处理(取消标记)

五链:
INPUT链             —流量在进入时进行访问控制
OUTPUT链            —流量在出去是进行访问控制
FORWARD链           —流量是否可以经过防火墙 
PREROUTING链        —对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
POSTROUTING链       —对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

注意: iptables是按照顺序读取规则(从上到下)

 

4.iptables数据包过滤匹配过程:

iptables防火墙工作原理及作用

 

二 iptables防火墙基础配置

1.iptables命令格式

   iptables [-t 表] -命令 匹配 操作 (大小写敏感)
  动作选项
     ACCEPT       接收数据包
     DROP         丢弃数据包
     REDIRECT     将数据包重新转向到本机或另一台主机的某一个端口,通常功能实现透明代理或对外开放内网的某些服务
     SNAT         源地址转换
     DNAT         目的地址转换
     MASQUERADE   IP伪装
     LOG          日志功能

 

2.定义规则

   ①先拒绝所有的数据包,然后再允许需要的数据包
      iptalbes -P INPUT DROP
      iptables -P FORWARD DROP
      iptables -P OUTPUT ACCEPT
   ②查看nat表所有链的规则列表
      iptables -t nat -L
   ③查看一些默认iptables配置策略
      iptables -nL
   ④增加,插入,删除和替换规则
     iptables [-t 表名] <-A|I|D|R> 链名 [规则编号] [-i|o 网卡名称] [-p 协议类型] [-s 源ip|源子网] [--sport 源端口号] [-d 目的IP|目标子网] [--dport 目标端口号] [-j 动作]
     参数:-A 增加
          -I 插入
          -D 删除
          -R 替换

 

3.iptable初始化操作: 清除操作

   iptables -F      清除预设表filter中的所有规则链的规则
   iptables -X      清除预设表filter中使用者自定链中的规则
   iptables -Z      把 chain 或者所有 chain(当未指定 chain 名称时)的包及字节的计数器清空。

 

三 配置例子

①禁止IP为192.168.1.5的主机从eth0访问本机
iptables -t filter -A INPUT -s 192.168.1.5 -i eth0 -j DROP

②禁止子网192.168.5.0访问web服务
iptables -t filter -I INPUT 2 -s 192.168.5.0/24 -p tcp --dport 80 -j DROP

③禁止IP为192.168.7.9访问FTP服务
iptables -t filter -I INPUT 2 -s 192.168.7.9 -p tcp --dport ftp -j DROP

④查看filter表中INPUT链的规则
iptables -t filter -L INPUT

⑤删除nat表中的所有规则
iptables -t nat -F

⑥禁止访问www.alittletiger.com网站
iptables -I FORWARD -d www.alittletiger.com -j DROP

⑦禁止192.168.5.23上网
iptables -I FORWARD -s 192.168.5.23 -j DROP

赞赏

微信赞赏支付宝赞赏

Iptables

iptables常用命令参数详解

2019-10-9 13:56:36

Iptables

iptables防火墙NAT表配置方法及例子

2019-10-10 13:43:33

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索