Iptables:<software iptables and hardware iptables>
一般企業裡都使用的是硬件防火牆<hardware iptables>,因為對內網的防護能力是不可估測的,所以價格也是相當昂貴。如果內部網絡主機不對外網提供服務,而只是為內部提供網絡服務(Samba/FTP/Postfix),那麼就沒必要花費更高的費用來購買硬件防火牆,那麼這是選擇軟件防火牆<software iptables>是不錯的選擇,所以我們又必要了解防火牆的常識.例如:常用到的命令和常用的處理動作。
為了讓服務器更加安全,添加iptables規則是必不可少的,如果對iptables不是很了解的話,可能在服務器上添加規則的時候,難免會造成不可想象的結果,所以要對iptables做下簡單的介紹。
netfilter
位於Linux內核中的包過濾功能體系,稱為Linux防火牆的“內核態”
iptables
位於/sbin/iptables,用來管理防火牆規則的工具,稱為Linux防火牆的“用戶態”
iptables的表、鏈結構
規則鏈
規則的作用:對數據包進行過濾或處理
鏈的作用:容納各種防火牆規則
鏈的分類依據:處理數據包的不同時機
默認包括5種規則鏈
INPUT:處理入站數據包
OUTPUT:處理出站數據包
FORWARD:處理轉發數據包
POSTROUTING鏈:在進行路由選擇後處理數據包(SNAT)
PREROUTING鏈:在進行路由選擇前處理數據包(DNAT)
規則表
表的作用:容納各種規則鏈
表的劃分依據:防火牆規則的作用相似
默認包括4個規則表
raw表:確定是否對該數據包進行狀態跟蹤
mangle表:為數據包設置標記
nat表:修改數據包中的源、目標IP地址或端口
filter表:確定是否放行該數據包(過濾)
數據包過濾的匹配流程
規則表之間的順序
raw->mangle->nat->filter
規則鏈之間的順序
入站:PREROUTINGINPUT
出站:OUTPUTPOSTROUTING
轉發:PREROUTINGFORWARDPOSTROUTING
規則鏈內的匹配順序
按順序依次檢查,匹配即停止(LOG策略例外),若找不到相匹配的規則,則按該鏈的默認策略處理
Linux包過濾防火牆概述
主要是網絡層,針對IP數據包,體現在對包內的IP地址、端口等信息的處理上
