一、防火墙介绍
网络中的防火墙,是一种将内部网络和外部网络分开的方法,是一种隔离技术,防火墙在内网与外网通信时进行访问控制,依据所设置的规则对数据包作出判断,最大限度地阻止网络中的黑客破坏企业网络,从而加强企业网络安全。
防火墙的分类
1:硬件防火墙:如思科的ASA防火墙,H3C的sepath防火墙等。
2:软件防火墙:如iptables------->firewalld 等等
iptables防火墙
linux操作系统中默认内置一个软件防火墙,即iptables防火墙
1.netfilter
位于linux内核中的包过滤功能体系,称为linux防火墙的“内核态”
2.iptables
位于/sbin/iptables,用于管理防火墙规则的工具,称为linux防火墙的“用户态”
包过滤的工作层次
主要是网络层,针对ip数据包,体现在对包内的ip地址、端口等信息的处理上。
二、iptables规则链
1、规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙的规则
链的分类依据:处理数据包的不同时机
2、默认包括5种规则链
INPUT:处理入栈的数据包
OUTPUT:处理出栈的数据包
FORWARD:处理转发的数据包
POSTROUTING:在进行路由选择后处理数据包
PREROUTING:在进行路由选择前处理数据包
三、iptables规则表
1、规则表
表的作用:容纳各种规则链
2、默认包括4个规则表
raw表:确定是否对该数据包进行状态跟踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标ip地址或端口
fiter表:确实是否被放行该数据包(过滤)
IPtables匹配流程
1
规则表之间的顺序
raw-mangle-nat-filter
2规则连之间的顺序
入站:PREROUTING-INPUT
出站:OUTPUT-POSTROUTING
转发:PREROUTING-FORWARD-POSTROUTING
3,规则链内的匹配顺序
按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配规则,按该链接的默认策略处理
iptables的命令
1 语法结构
iptables[-t 表名] 选项 [链名] [条件 ] [-j 控制类型]
注意事项:
不指定表名时,默认指定filter表
不指定链名的时候,默认指定表内的所有的连
除非设置链的默认策略,否则必须指定匹配条件
选项、链名、控制类型使用大写字母,其余均为小写
2、数据包的常见控制类型
ACCEPT:允许通过
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给出提示
LOG:记录日志信息,然后传给下一条规则继续匹配