一、iptables/netfilter
1、规则
a、组成部分:根据规则匹配条件来尝试匹配报文,一旦匹配成功,就由规则定义的处理动作做出处理
(1)、匹配条件
1)、基本匹配条件:内建
2)、扩展匹配条件:扩展模块定义
(2)、处理动作
1)、基本处理动作:内建
2)、扩展处理动作:由扩展模块定义
3)、自定义处理机制:自定义链
b、iptables的链:内置链和自定义链
(1)、内置链:对应于hook function
(2)、自定义链接:用于内置链的扩展和补充,可实现更灵活的规则管理机制
2、添加规则时的考量的点
a、要实现哪种功能:判断添加到哪个表上
b、报文流经的路径:判断添加到哪个链上
c、链:链上的规则次序,即为检查的次序;因此,隐含一定的应用法则
(1)、同类规则(访问同一应用),匹配范围小的放上面
(2)、不同类的规则(访问不同应用),匹配到报文频率较大的放在上面
(3)、将那些可由一条规则描述的多个规则合并起来
(4)、设置默认策略
二、iptables命令
他是高度模块化的,由诸多扩展模块实现其检查条件或处理动作的定义
/usr/lib64/xtables
IPv6:libip6t_
IPv4:libipt_,libxt_
1、iptables [-t table] {-A|-C|-D} chain rule-specification
chain表示链的意思
2、iptables [-t table] -I chain [rulenum] rule-specification
rulenum表示规则号码
3、iptables [-t table] -R chain rulenum rule-spectification
4、iptables [-t table] -D chain rulenum
5、iptables [-t table] -S [chain [rulenum]]
6、iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
7、iptables [-t table] -N chain
8、iptables [-t table] -X [chain]
9、iptables [-t table] -P chain target
10、iptables [-t table] -E old-chain-name new-chain-name
11、rule-specification = [matches...] [target]
12、match = m matchname [per-match-options]
13、target = -j targetname [per-target-options]
14、规则格式:iptables [-t table] COMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]
a、-t table:
raw,mangle,nat,[filiter],filiter是默认的
b、COMMAND:
(1)、链管理
-N:new,自定义一条新的规则链
-X:delete,删除自定义的规则链
-P:Policy,设置默认策略,对filter表中的链而言,其默认策略有:
ACCEPT:接收
DROP:丢弃
23:50