Linux学习95 Linux防火墙iptables命令管理入门

一、iptables/netfilter

  1、规则

    a、组成部分:根据规则匹配条件来尝试匹配报文,一旦匹配成功,就由规则定义的处理动作做出处理

      (1)、匹配条件

        1)、基本匹配条件:内建

        2)、扩展匹配条件:扩展模块定义

      (2)、处理动作

        1)、基本处理动作:内建

        2)、扩展处理动作:由扩展模块定义

        3)、自定义处理机制:自定义链

    b、iptables的链:内置链和自定义链

      (1)、内置链:对应于hook function

      (2)、自定义链接:用于内置链的扩展和补充,可实现更灵活的规则管理机制

  2、添加规则时的考量的点

    a、要实现哪种功能:判断添加到哪个表上

    b、报文流经的路径:判断添加到哪个链上

    c、链:链上的规则次序,即为检查的次序;因此,隐含一定的应用法则

      (1)、同类规则(访问同一应用),匹配范围小的放上面

      (2)、不同类的规则(访问不同应用),匹配到报文频率较大的放在上面

      (3)、将那些可由一条规则描述的多个规则合并起来

      (4)、设置默认策略 

二、iptables命令

  他是高度模块化的,由诸多扩展模块实现其检查条件或处理动作的定义

    /usr/lib64/xtables

      IPv6:libip6t_

      IPv4:libipt_,libxt_

  1、iptables [-t table] {-A|-C|-D} chain rule-specification

    chain表示链的意思

  2、iptables [-t table] -I chain [rulenum] rule-specification

    rulenum表示规则号码

  3、iptables [-t table]  -R chain rulenum rule-spectification

  4、iptables [-t table]  -D chain rulenum

  5、iptables [-t table]  -S [chain [rulenum]]

  6、iptables [-t table]  {-F|-L|-Z} [chain [rulenum]] [options...]

  7、iptables [-t table] -N chain

  8、iptables [-t table]  -X [chain]

  9、iptables [-t table]  -P chain target

  10、iptables [-t table]  -E old-chain-name new-chain-name

  11、rule-specification = [matches...] [target]

  12、match = m matchname [per-match-options]

  13、target = -j targetname [per-target-options]

  14、规则格式:iptables [-t table]  COMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]

    a、-t table:

      raw,mangle,nat,[filiter],filiter是默认的

    b、COMMAND:

      (1)、链管理

        -N:new,自定义一条新的规则链

        -X:delete,删除自定义的规则链

        -P:Policy,设置默认策略,对filter表中的链而言,其默认策略有:

          ACCEPT:接收

          DROP:丢弃

23:50

 

Linux学习95 Linux防火墙iptables命令管理入门

上一篇:2子进程的创建与启动


下一篇:Machine Learnign 21 回归项目实例