Linux安全管理之Iptables

Linux 网络防火墙
     netfilter:frame
     iptables:数据报文过滤，nat,mangle等规则生产的工具
网络报文：
     IP报文首部：
     Tcp报文首部：

     Framework:
          默认规则：
               开放：堵
               关闭：通
          规则：
               ·匹配标准
                    IP：源地址，目的地址
                    TCP：源端口、目标端口,(syn=1,fin=0,rst=0,ack=0)
                    UDP：源端口、目标端口
                    ICMP：icmp-type
               ·处理办法
                    数据报文过滤
    
IPtables命令配置：    
     iptables
          -nvL  查看防火墙的规则
          -F    清除当前的规则，临时 /etc/init.d/iptables save
          -Z        计数器清零
          -t       指定表名，默认不加-t则指filter
     filter:
          input 进入本机
          ouput 本机发送
          forwork 本机无关的包
     nat:
          prerouting:在刚刚达到防火墙是改变它的目的地址；
          output:改变本地产生的包的目的地址；
          postrouting:在包离开防火墙是改变其源地址；
     mangle:
          主要用于给数据包打标记，然后根据标记去操作哪些表；
    
     eg:
          iptable -nvl -t nat
          iptable -A/-D INPUT -s 10.10.10.10 -p tcp -sport 22 -d 10.159.10.10 --dport 80 -j Drop
         
          -A / -I: 增加
          -D : 删除
          -P : 默认规则
         
     NAT：
     [root@localhost ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
     [root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
     第一个命令涉及到了内核参数相关的配置文件，它的目的是为了打开路由转发功能，否则无法实现我们的应用。
     第二个命令则是iptables对nat表做了一个IP转发的操作，-o 选项后跟设备名，表示出口的网卡，MASQUERADE表示伪装的意思。         
    
     备份与还原：
     iptables -save > myipt.rule
     iptables -restore < myipt.rule  
     ```