网络资源控制-Netfiter防火墙设置

Netfilter概述

。在和心中过滤:没有进程
。在OSI参考模型中2,3和4层评估策略
。仅仅监控数据包头
。由内核中netfilter模块,和iptables用户使用软件组成

默认针对第2(mac,src,dst),3(ip),4(tcp,udp)层进行控制,还有协议,总共7种进行设置。

ratelimit网速;time时间设置

#/etc/init.d/iptables restart  //刷新iptables规则

采用linux内核linux-2.6.30.5

#make menuconfig打开内核配置界面

匹配规则
。规则按次序列出
。包按照每个规则顺序测试
。当首先匹配,将评估目的地:通常退出检测链
。规则可以指定用啦匹配的多个文件
。在一条规则中每个条件都必须满足才认定为匹配(逻辑和关系)
。如果没有相匹配的将应用规则链的策略

Netfilter表和链

filtering point Table
filter nat mangle
INPUT X   X
FORWARD X   X
OUTPUT X X X
PREROUTING   X X
POSTROUTING   X X

 

 

 

 

 

 

 

 

网络资源控制-Netfiter防火墙设置

 

从一个网段发往另一个网段,一般走的是forward(抓发)并没有input和output

简单例子:

网络资源控制-Netfiter防火墙设置

 

 

链基本操作
。列出链或表中的规则(-L或者-vL)(list)
。追加一条规则到链中(-A)(append)
。插入规则到链中(-I)(insert)
    。-I  CHAIN(作为第一条规则插入)
    。-I  CHAIN3(插入作为第三条规则)
。删除单独一条规则(-D)
    。-D CHAIN3(删除链中第三条规则)
    。-D CHAIN RULE(显式的删除规则)

#iptables -L -n  //查看防火墙规则,L是列出 ,-n是以数字显示出端口,不然会以字母形式显示端口,加上n直接解析成数字,--line-number会显示规则编号,-F(flush)清空规则

#system-config-securitylevel  //将红帽默认规则添加起来。

删除规则第三条规则:

网络资源控制-Netfiter防火墙设置

网络资源控制-Netfiter防火墙设置

 

常见匹配条件
。IP地址或网络
    。-s 192.168.0.0/24  //s是源头发送
    。-d 192.168.0.1  //目标地址
。网络接口
    。-i lo  //inbound
    。-o eth1  //outbound
。条件可以使用“!”取反
    。-i eth0 -s "!" 192.168.0.0/24
规则的目的地
。内置目的地:DROP,ACCEPT
。扩展的目的地:LOG,REJECT,自定义链
    。REJECT    发送通告返回给发送者
    。LOG    连接到系统日志Kernel设备
    。    LOG匹配不会退出检测链
。目的地是可选的,但每条规则不能多于一个,如果缺少的话,采用此链的缺省策略
通用匹配条件 续
。传输协议和端口
    。-p tcp --dport 80    //p代表协议类型,dport目的端口
    。-p udp --sport 53    //sport源地址端口
    。指定一段端口可以使用start:end //连续端口
。ICMP类型
    。-p icmp --icmp-type host-unreachable
规则的永久生效
。iptables不是一个进程,仅用来转载 规则的
。规则在重启后不会生效
    。service iptables save将保存规则到/etc/sysconfig/iptables中(确保这个文件有着正确的SELinux上下文属性!)
    。可以使用SysV方式管理,它在配置网络之前运行

#iptables-restore /root/iptables.orginal  //将规则写入文件,使用iptable-restore直接读取  

# tcpdump表达式匹配,可以捕捉很多种类型
#tcpdump -i eth0 -n tcp port 80  //抓取tcp协议80端口信息
#tcpdump -i eth0 -n tcp port 80  -w test.dump    //抓取tcp协议80端口信息保存到test.dump文件中
利用tcpdump抓包,画图,使用iptables写入规则,之后测试规则是否生效。

网络资源控制-Netfiter防火墙设置

 

跟踪连接
。提供了监控包的“状态”
    。可以测试包的特定上下文信息
。简化了规则
    。不适用跟踪连接,规则通常成对定义(入方向&出方向)
。实现“状态”扩展匹配方式
。识别的状态:NEW,established,related,invalid
。需要更多的内存

#modprobe -l  //打印所有内核信息

#modprobe -l | grep conntr  

 

网络资源控制-Netfiter防火墙设置

上一篇:html绝对路径与绝对路径表示法


下一篇:.NET 基础-3