Linux中Iptables使用

概念：网络中的防火墙，是一种将内部网络和外部网络分开的方法，是一种隔离技术

作用：

防火墙在内网与外网通信时进行访问控制，依据所设置的规则对数据包作出判断，最大限度地阻止网络中的黑客破坏企业网络，从而加强了企业网络安全

防火墙的分类

硬件防火墙，如思科的ASA防火墙

软件防火墙，如iptables

linux包过滤防火墙的概述

linux操作系统中默认内置一个软件防火墙，即iptables防火墙

Netfilter

位于linux内核中的包过滤功能体系

称为linux防火墙的“内核态”

Iptables

位于/sbin/iptables，用来管理防火墙规则的工具

称为linux防火墙的“用户态”

规则链

规则的作用：对数据包进行过滤或处理

链的作用：容纳各种防火墙规则

链的分类依据：处理输出包的不同时机

默认包括5种规则链

input：处理入站数据包

output：处理出站数据包

forward：处理转发数据包

postrouting链：在进行路由选择后处理数据包

prerouting链：在进行路由选择钱处理数据包

规则表

表的作用：容纳各种规则链

表的划分依据：防火墙规则的作用相似

默认包括4个规则表

raw表：确定是否对数据包进行状态跟踪

mangle表：为数据包设置标记

nat表：修改数据包中的源、目标IP地址或端口

filter表：确定是否放行该数据包

规则表之间的顺序

#raw-mangle-nat-filter

规则链之间的顺序

入站：prerouting-input

出站：output-postrouting

转发：prerouting-forward-postrouting

规则链内的匹配顺序

按顺序依次检查，匹配即停止

若找不到匹配规则，按该链的默认策略处理

filter：过滤器

input：进入

output：出去

forward：转发

accept：允许

reject：拒绝

drop：丢弃

iptables规则操作

添加

-A 在链的末尾追加一条规则

-I 在链的开头插入一条规则

查看

-L 列出所有的规则条目

-n 以数字形式显示地址、端口等信息

-v 以更详细的方式显示规则信息

--line-numbers 查看规则时，显示规则的序号

删除、清空规则

-D 删除链内指定序号

-F 清空所有的规则

设置默认策略

-P 为指定的链设置默认规则

通用匹配

可直接使用、不依赖其他条件或扩展

包括网络协议、IP地址、网络接口等条件

隐含匹配

要求以特定的协议匹配作为前提

包括端口、TCP标记、ICMP类型等条件

常见的通用匹配条件

协议匹配 -p 协议名

协议匹配 -s 源地址 -d 目的地址

接口匹配 -I 入站网卡 -o 出站网卡