Linux学习95 Linux防火墙iptables命令管理入门

一、iptables/netfilter

1、规则

  a、组成部分:根据规则匹配条件来尝试匹配报文,一旦匹配成功,就由规则定义的处理动作做出处理

    (1)、匹配条件

      1)、基本匹配条件:内建

      2)、扩展匹配条件:扩展模块定义

    (2)、处理动作

      1)、基本处理动作:内建

      2)、扩展处理动作:由扩展模块定义

      3)、自定义处理机制:自定义链

  b、iptables的链:内置链和自定义链

    (1)、内置链:对应于hook function

    (2)、自定义链接:用于内置链的扩展和补充,可实现更灵活的规则管理机制

2、添加规则时的考量的点

  a、要实现哪种功能:判断添加到哪个表上

  b、报文流经的路径:判断添加到哪个链上

  c、链:链上的规则次序,即为检查的次序;因此,隐含一定的应用法则

    (1)、同类规则(访问同一应用),匹配范围小的放上面

    (2)、不同类的规则(访问不同应用),匹配到报文频率较大的放在上面

    (3)、将那些可由一条规则描述的多个规则合并起来

    (4)、设置默认策略 

二、iptables命令

他是高度模块化的,由诸多扩展模块实现其检查条件或处理动作的定义

  /usr/lib64/xtables

    IPv6:libip6t_

    IPv4:libipt_,libxt_

1、iptables [-t table] {-A|-C|-D} chain rule-specification

  chain表示链的意思

2、iptables [-t table] -I chain [rulenum] rule-specification

  rulenum表示规则号码

3、iptables [-t table]  -R chain rulenum rule-spectification

4、iptables [-t table]  -D chain rulenum

5、iptables [-t table]  -S [chain [rulenum]]

6、iptables [-t table]  {-F|-L|-Z} [chain [rulenum]] [options...]

7、iptables [-t table] -N chain

8、iptables [-t table]  -X [chain]

9、iptables [-t table]  -P chain target

10、iptables [-t table]  -E old-chain-name new-chain-name

11、rule-specification = [matches...] [target]

12、match = m matchname [per-match-options]

13、target = -j targetname [per-target-options]

14、规则格式:iptables [-t table]  COMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]

  a、-t table:

    raw,mangle,nat,[filiter],filiter是默认的

  b、COMMAND:

    (1)、链管理

      -N:new,自定义一条新的规则链

      -X:delete,删除自定义的规则链

      -P:Policy,设置默认策略,对filter表中的链而言,其默认策略有:

        ACCEPT:接收

        DROP:丢弃

23:50

相关推荐