linux-防火墙技术基础配置讲解
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-03-29
| 防火墙(firewall)技术 什么是防火墙呢?就是工作在网络边缘,按照管理员定义的规则,对于进出的报文进行规制匹配动作检测这一的组件. 防火墙分为硬件与软件防火墙,防火墙工作在网络的边缘,防火墙自身是不会发生作用的,它只是一个组件. 防火墙策略 rules (规则) policy 防火墙的类型 市面主要有二种 工作的三四层的网络层防火墙 工作在七层的 代理网关 工作在三层的: 工作在网络层 所有进出ip首部 进行规检测 工作在七层的:防火墙比较安全,但是效率比较低 只要发现目标 传输报文规则 就做出处理的匹配处理 三层的防火墙只拆开三层发现没有问题后封装后发送. 七层的拆开所有的数据包再封装发送. inux系统上自带的防火墙 iptables 前身ipfwiptables ->写成规则放在内核中才能生效 tcp/IP stack协议栈放在内核中, 在 kernel(rules)中 才生效 能给内核打交道的文件 /proc /sys 防火墙想要生效  放在内核空间中iptables/netfilter 网络过滤器 五个关卡 过滤数据 数据包的走向 ---ssh--- // \\ 外网 《--- 服务器 《--- 内网 地址转换 在路由之前转换不同的功能,需要在不同的位置实现 不同的位置还有使用不同的规则链和处理机制 NETFILET 有五个位置实现过滤 hook functions 钩子函数 五个内置的量 chains五个关卡 数据包 就要就如我们网卡的那一刻的也就是路由器的叫做 PREROUTING 路由器 到本机内部 INPUT 流入接口 转发关卡 FORWARD 流出的端口 output
POSTROUTING 内置的5个规则链 防火墙策略 “通” 默认门是光着的 谁都不让进 要明确谁能进 “堵” 默认门是开着的 1,允许/不允许 filter 2,地址转换 nat 过滤与转发是分开的 为了避免交叉我们专一定义一个表的东西来实现定义区分同一个链上的不同功能的规则. 表 3,修改报文源数据 mangle (这个表格主要是与特殊数据包的路由标记有关) 回顾ip首部格式思考一下? =三表五链= filter表 只能做到三个链上 input forward output(大写) nat表 prerouting output postrouting 大写 mangle表 prerouting input forward OUTPUT POSTROUTING 数据包是自上而下检测的 一旦匹配到了就不在检测了 要把严格的放在上面, 处理机制 自己定义的链 要与基准链串联起来才能工作可以删除自己定义的链 不能删除内部的链 怎么写防火墙规则 iptables 语法规则 iptables的命令会对网络数据包进行过滤及阻止.  不要在远程主机上进行防火墙的练习i ptables 至少有3个默认的table(filter nat mangle) 比较常用的是filter 它是默认的表格,另一个则是net表格较常用,mangle比较少用................. 鸟哥上面的资料 1.规则的清除与观察 #iptables [-t tables][-L][-nv] -t:后面接table 例如nat或filter 若省略次项目,则使用默认的filter -L:列出目前的table的规则 -n:不进行ip与HOSTNAME的反查 显示信息的速度会快的很多 -v:列出更多信息,包括通过规则的数据包总个数、相关的网络接口等 ===== #iptables [-t tables] [-FXZ] 参数 -F :清除所有的已定规则 -X:除掉所有用的“自定义”的链(应该说的tables)
-Z;将所有的chain的计数与流量通过都归零. ................... 2.定义默认策略 #iptables [-t nat] -P [INPUT,OUTPUT,FORWARD] [ACCEPT,DROP] -P 定义策略(Policy) 注意 这个p位大写 ACCEPT :该数据包可接受 DROP : 该数据包直接丢弃 不让client端知道为何丢弃. 范例 将本机的input设为DROP 请他的 |
||
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: shell之1 100下一篇: linux中变量的使用
关于linux-防火墙技术基础配置讲解的所有评论
