防火墙的种类:
1 包过滤技术
静态包过滤:预先设立规则进行过滤
动态包过滤 :跟踪报文,实时观察数据是否有危险,这种技术占用更多资源
2 应用代理技术
有些包过滤不能防止,代理机制,代理必须审核,审核通过才能连接,更加完善,工作效率比较低,消耗时间多。
3 状态检测技术
上述两个技术后发展起来的,保留对包分析后,对连接构建一个状态结构,对数据包内容进行监控,监控每个对话内容。
Linux内核中,有一个Netfilter 来处理各种数据包
真正提供包过滤的是Netfilter,iptables就像一个车的方向盘,控制了数据包的走向,和具体规则的过滤。
Netfilter存在三张表。
filter,net,mangle
net 做网络地址转换用的,可以改变数据包的源地址或目的地址
filter表结构
--------------------------->FORWARD------------------------------------------>
- -
- -
- -
- -
------->INPUT----->本地应用程序------>OUTPUT--->---
当有数据发往本地是,数据要经过INPUT 链,可以在这里加入一些规则,
OUTPUT是要过滤要经本地出去的数据包,
FORWARD是要过滤经过本地路由去其他地方的数据。
这三个链上可以指定不同的规则,规则都是由自己定义的。
(1)Iptables
语法结构:
iptables [-t 表名] -命令 -匹配 -j 动作/目标
例如:iptables -A INPUT -p icmp -j DROP
-A 表示添加
-D 表示删除
-p 表示协议
注意iptables 命令对大小写敏感
DROP 丢弃、ACCEPT 允许通过、
表名: filter nat mangle
[] 表示可以不加,没有指定表的话,默认 filter
注意:
iptables 命令执行完不需要重启
查看当前表中所指定的规则
iptables -L
修改表中链的默认规则
例子:iptables -P FORWARD DROP
清除链的规则
iptables -t filter -F INPUT
其中-t filter可以省略,如果不加INPUT,表示对所有的链进行清除
防止内部网络访问外部的网络
iptables -A FORWARD -d www.sex.org -j DROP
iptables -A FORWARD -d 202.103.1.6 -j DROP
防止外网访问内网
iptables -P FORWORD DROP
只能访问固定端口,安全。
网络地址转换等。
分享到:
相关推荐
iptables 学习笔记,iptables 思维导图,有需要的拿去
iptables学习笔记.pdf
iptables 学习
Linux防火墙iptables学习笔记.pdf
IPTABLES学习心得,实用的个人总结
本人的iptables学习笔记,对于从入门到实践,步步跟进,最后拿曾经做的一个路由器计费项目作为案例来分析,希望对即将使用iptables的兄弟姐妹有帮助.
以前精略的学习过iptables的配置,这次好好的学习了一下原手册
包含iptables中很多的指令组合,同时还有很多实例供学习参考使用。
iptables防火墙学习笔记iptables防火墙学习笔记iptables防火墙学习笔记iptables防火墙学习笔记
教程名称:Linux下IPtables的配置全攻略课程目录:【】Iptables学习笔记【】Iptables服务全攻略之实战配置【】Iptables配置指南【】iptables配置案例【】Linux Iptables配置文件【】LINUX下IPtables的详细配置【】...
linux防火墙,iptables学习,想看的朋友下载看
iptables简单使用说明,iptables简介,iptables相关表的介绍
iptables 实验手册
Linux中的防火墙是由netfilter/iptables网络构架实现的包过滤防火墙,可以实现大部分硬件防火墙的功能,所以可以在企业的应用方案中可以作为硬件防火墙的替代品。 如果Linux的内核是在2.4以上的版本,都可以使用...
2013年最新的iptables源码,欢迎下载学习。
学习情境项目管理与维护Iptables防火墙学习教案.pptx
从零开始学iptables,包括网络基础讲解,可快速入门。
iptables工具配置实例,对于入门学习非常有帮助。