热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Linux防火墙系统

   Linux系统上的防火墙是由iptablesetfilter组成,其中iptables是规则的制定工具,netfilter在内核协议框架中定义了5个卡点位置,并在这5个位置通

     Linux系统上的防火墙是由iptables/netfilter组成,其中iptables是规则的制定工具,netfilter在内核协议框架中定义了5个卡点位置,并在这5个位置通过钩子函数对进出的数据包进行过滤,从而达到防火墙的功能,iptables工具工作在用户空间,它可以制定一些规则然后送达到内核空间,然后结合netfilter的钩子函数及处理方法对数据包进行放行或者拒绝处理。防火墙里面有许多个table,每个表格里面都定义许多的规则,并且每个表格的用途不同,iptables按用途和功能对其分类成四个表,这四个表又由五个链组成,这五个链对应上面五个钩子函数。

     防火墙的四个表分别为:filter,nat,mangle,raw;默认表是filter,表的处理优先级依次为:raw,mangle,nat,filter。每个表的处理功能分别为

    ##filter:一般的过滤功能;

    ##nat:用于nat功能(地址转换、隐射,端口隐射);

    ##mangle:用于对特定数据包的修改,(较少使用);

    ##raw:一般是为了不在让iptables做数据包的链接跟踪处理,从而提高性能;

     四个表下的五个链分别为:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

    ##INPUT:通过路由表判断后目的地是本机,然后进入本机内部资源

blob.png

    ##OUTPUT:由本机产生的数据向外部转发

blob.png

    ##FORWARD:通过路由表判断后目的地不是本机,然后通过路由转发到其他地方

blob.png

blob.png

blob.png

blob.png

blob.png

    ##PREROUTING:流入的数据包进入路由表之前

    ##POSTROUTING:传出的数据包到达网卡出口前

iptables的语法格式:  iptables [-t TABLE] SUBCOMMAND CHAIN CRETERIA -j TARGET

    ## -t TABLE: 指定表,默认为filter,包括filter,nat,mangle,raw四表

    ## SUBCOMMAND:对链的操作(被引用中的链,无法删除和改名)

        -F 清空指定表的指定链上所有的规则;省略链名时,清空表中的所有链

blob.png

        -N 新建一个用户自定义的链;自定义链只能作为默认链上的跳转对象,即在默认链通过引用来生效自定义链

blob.png

        -X 删除用户自定义的空链;非空自定义链和内置链无法删除

blob.png

        -Z 将规则的计数器置为0

        -P 设置链的默认处理机制;当所有都无法匹配或有匹配有无法做出有效处理机制时,默认策略即生效

blob.png

        -E 重命名自定义链

blob.png

    ##iptables 规则管理

        -A 在链尾追加一条规则

blob.png

blob.png

        -I 在指定位置插入一条规则

blob.png

blob.png

        -D 删除指定规则

blob.png

        -R 替换指定的规则

blob.png

        -L 列出指定链上的所有规则

blob.png

blob.png

blob.png

    ##CRETERIA: 匹配条件

检查IP首部、检查TCP、UDP或ICMP首部,也可以基于扩展机制,进行额外的检查,如做连接追踪;注意,可同时指定多个条件,默认多条件要同时满足。匹配条件又分通用匹配和扩展匹配

        ##通用匹配

            [!] -s,-src,--source  IP|Network  :检查报文中的IP地址

            -d,--dst--destination  :检查报文中的目标IP地址

            -p      :检查报文中的协议,包括tcp,udp,icmp

            -i,--in-interface   :数据报文的流入接口,通常用于PREROUTING,INPUT,FORWARD链上的规则

            -o,--out-interface  :数据报文的流入接口,通常用于FORWARD,OUTPUT,POSTROUTING链上的规则

        ##扩展匹配

            隐形扩展:如果在通用匹配上使用-p选项指明了协议的话,则使用-m选项指明对其协议的扩展就变得可有可无

                tcp:针对tcp协议

                    --dport PORT[-PORT]

                    --sport

                    --tcp-flags LIST1 LIST2

                        LIST1 :要检查的标志位

                        LIST2 :在LIST1中出现过的且为1标记位;而余下的则必须为0;

                    --syn :用于匹配tcp会话三次握手中的第一次

blob.png

                udp:针对udp协议

                    --sport

                    --dport

blob.png

                icmp:针对icmp协议

                    --icmp-types

                        8:echo request

                        0:echo reply

blob.png

blob.png

            显式扩展:必须指明使用的扩展机制

                -m 模块名称 (每个模块会引入新的匹配机制)

                    multiport扩展: 定义多端口匹配,最多指定15个端口

                        --source-ports,--sport

                        --destination-ports

                        --ports

blob.png

                    iprange扩展:指定连续的IP地址范围,在匹配非整个网段地址时使用

                        [!]--src-range IP

                        [!]--dst-range IP

blob.png

                    srting扩展:检查报文中出现的字符串,与给定的字符串做匹配

                        --algo

                        --string"STRING"

                        --hex-string"HEX_STRING":HEX_STRING为编码成16进制格式的字符串

blob.png

                    time扩展:基于时间区间的访问控制

                        --datestart

                        --dattestop

                        --timestart

                        --timestop

                        --weekdays

blob.png

                    connlimit扩展:基于连接数作限制;对每个IP能够发起的并发连接数作限制

                        --connlimit-above

blob.png

                    limit扩展:基于发包速率作限制

                        --limit

                        --limit-burst

blob.png

                    state扩展:启用连接追踪模板记录连接

                        NEW:新建立的连接,连接追踪模板中无相应记录时,客户端第一次发出的请求

blob.png

                        ESTABLISHED:NEW状态后,边距追踪模板中的记录删除之前进行的通信过程

blob.png

                        RELATED:相关联的连接

blob.png

                        INVALIED:无法识别的状态

    ##TARGET:采取的动作

        -j :跳转目标

            ACCEPT :允许接受

            DROP :丢弃

            REJECT :拒绝

SNAT:主要用于实现内网客户端访问外部主机时使用,要定义在POSTOUTING链,也可以在OUTPUT上使用

blob.png

blob.png

blob.png

DNAT:主要用于发布内部服务器,让内网中的服务器在外网中可以被访问到,要定义在PREROUTING链

blob.png

blob.png

blob.png

blob.png


推荐阅读
author-avatar
海岛迷情
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有