Linux防火墙学习

Linux防火墙学习

参考文章网站朱双印http://www.zsythink.net/archives/1199

iptables 是用户空间的一种工具,用来修改规则然后规则再储存到内核空间的netfilter中包装成这样一个防火墙的功能

netfilter才是真正的内核中的安全框架
功能数据包内容修改
网络地址转换
数据包过滤(防火墙功能)

IBM developer

Drop和Reject的区别

Drop直接丢弃数据不做任何反馈,然后client等待超时发现自己被阻挡

Reject是直接明确的返回发送一个拒绝(终止)数据包 TCP FIN IMCP PORY UNREACHABLE TCP RESET

reject的优点可以帮助在测试的时候分析师防火墙导致的拦截,还是因为设备故障 drop就没办法

但是drop相对来说更安全,能拖延进攻速度,但是测试的时候没办法详细了解情况

根据规则处理信息包类型 处理入站信息包添加到INPUT链 出站OUPUT
正在转发FOWARD链 PERROUTING路由前链(源映射SNAT源规则) 路由后链POSTROUTING (DNAT目的规则)

大概过程是系统路由到 网卡 pretouting
判断是否为本机 是就 input 不是就 forward
postrouting 出去转发到其他主机
本站出就是 output postrouting 再到主机

解释一下为什么要叫链,因为当中有规则,需要一条一条的过滤匹配,在空间理解上成为链更为形象

链规则相似,而且不易管理
所以为了方便大家提供表的概念来集中管理
基本由iptables提供
filter表
nat表
mangle表
raw表

prerouting规则放在 nat raw mangle表中

规则匹配 匹配条件分两种 一种是基本。一种是扩展

基本就是源地址加目标地址

扩展匹配条件就是很多其他条件
需要对应模块实现

动作

accept drop reject snat masquerde dnat redirect log

发表评论

电子邮件地址不会被公开。 必填项已用*标注