IPtable
ip的table ip的表格
IPtable只是netfilter的前段管理工具;netfilter是Linux 内核提供的数据流量管理模块;
IPtable /netfilter 数据流量管理框架;
普遍人问IPtable 就是一个防火墙
1、网络防火墙
首先:网络防火墙一般处在外网出口处;
主要对于内外网交互的流量进行监控与过滤
2、主机防火墙(并不是360.XXX管家)
主机有内核空间和用户空间,netfilter的过滤模块运行在内核空间,但是,他又无法提供数据匹配,我们需要函数调用netfilter模块,匹配数据流量。
5个钩子匹配数据流量:就有我们所说的Chain(钩子函数)
PREROUTEING
FORWARD
OUTPUT
POSTOUTING
流量三种:
1、到达主机的流量
2、通过的主机的流量
3、主机发起的流量
4张表来决定行为:
1、raw 保持连接(建议关闭这个表)
2、mangle 数据包修改
3、nat nat映射 包括SNAT DNAT
4、filter 数据报过滤(默认启用)
那些表,可以关联哪些表
raw ---OUTPUT PEEROUTING
mangle --- INPUT OUTPUT PEEROUTING PREROUTEING FORWAED
nat ---------- OUTPUT PEEROUTING PREROUTEING
filter------INPUT OUTPUT FORWAED
注意:写策略时需要关联钩子,策略是属于“钩子”的,而“钩子”只做策略匹配,但是不能进行数据操作,我们需要在关联表,每一种表决定了一种行为操作;
表--------包含链,而链包含策略;
3、iptables的用法:
iptables [-t table] {-A|-C|-D} chain rule-specification
ip6tables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
- t 指定 表
-A 添加策略 在下面添加
-l 添加链 在最上面添加
建议:工作是一定要用-A不要用-I
-D 删除策略
-R 替换链表需要指定所替换的编号
-S 显示链表所有的用法
-P指定链表的默认行为
IPtable -t filter -P INPUT DORP
建议:写白名单
-N 自己定义链表
如果策略过多,我们需要将策略分类,这就用自己定义链表来分类;
让后在将自己定义的链表调用在其他的可以陪陪数据流量的链表上。
-X 清楚自定义的策略
iptable -t filter -X 【chain】
-v 可以查看策略匹配的数据包
-vv 详细查看数据报的匹配情况
-Z 显示没有匹配到的数据报的链,或者,显示没有用规则的链
-F 清空指定链上面的所有规则
-E 替换链的名称
-L list 显示所选chain上面所有规则rule
-----------------------------------------------------------------------------------------------------------------------------------P 指定协议 udp tcp esp ah
-s
-d
-j jump DROP ACCEPT
-i 进入的网卡
-o 出去的网卡
-c 设置收发数据包的警告值
-n 不做解析
---line--number 显示策略行号
-f tcp协议的标签----sys ack rst pus
【大多数进行数据匹配的参数都可以使用感叹号取反;】
原文地址:https://www.cnblogs.com/wangshilin/p/11436125.html