linux安全---防火墙(iptables)理论解析
linux安全防护墙(iptables)
文档内容
| iptables规则链 | |
| iptables规则表 | |
| iptables匹配流程 | |
| iptables命令 | |
| 规则的匹配类型 | |
| 例-----基于IP和端口的防火墙控制 | |
| 防火墙应用与策略 |
防火墙分类
(1)硬件防火墙:思科ASA防火墙,H3C的Sepath防火墙等
(2)软件防火墙:IPTABLES等
按架设的位置,可以分为主机和网关防火墙
Linux操作系统里内置的
(1)netfilter:包过滤体系,“内核状态”
(2)iptables:位于/sbin/iptables。管理防火墙工具 “用户态”
注:主要对网络层
规则链
作用:对数据包进行过滤和处理,容纳各种
规则表
表的作用:容纳各种规则链
表的规划依据:防护墙规则的动作相似
默认包括4个规则表
raw表:确定是否对该数据包进行状态跟踪
mangle表:为数据包设置标记
net表:修改数据包中的源,目标IP地址或端口
filter表:确定是否被放行该数据包(过滤)
匹配顺序
raw->mangle->nat->filter
链表结构关系图
iptables命令语法很简单,大多数针对管理防火墙的应用,都可以用命令解决
格式: iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
最重要的来了,本章实际应用分析
SNAT策略的原理
源地址转换,Source Network Address Translation
修改数据包的源地址
DNAT策略
在internet环境中,通过网关服务器中正确设置DNAT策略可实现企业所注册的网络或域名必须对应公网IP地址
前提条件
局域网的Web服务器能够访问INTERNET
网关的外网IP地址有正确的DNS解析记录
linux网关支持IP路由转发
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
企业共享上网案例
前提条件:
*局域网各主机正确设置IP地址/子网掩码
*局域网各主机正确设置默认网关地址
*linux网关支持IP路由转发
企业防火墙脚本编写与实际应用
示例:
以上是防火墙“网关型”脚本
- 定义基本变量,便于脚本的维护,重用
- 加载必要的内核模块,将频繁用到的模块载入到内核
- 调整/proc参数,linux内核控制及调优
- 具体的防火墙规则,按表,链分别设置规则,包括默认策略
++++完++++