iptables..docVIP

Linux防火墙 基本知识 1、工作原理 不阻止内部主动访问外部，但阻止外部主动访问内部。 回应包不属于外主动访问内 分类： 分类一： 硬件防火墙：思科、华3、天融信 软件防火墙：windows防火墙ISA----升级到---TMG、iptables 分类二（七层模型）： 应用网关防火墙：过滤应用层协议-------应用层 包过滤防火墙：过滤IP、端口号、协议(tcp/udp)--------网络层 Linux防火墙是典型的包过滤防火墙 3、Linux包过滤防火墙概述 Netfilter----内核级防火墙 位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”-----框架，默认为空 iptables 位于/sbin/iptables,用来管理防火墙规则的工具------给框架写规则 称为Linux防火墙的“用户态“ 包过滤的工作层次 主要是网络层，针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 Linux框架的四表五链 四表 raw: 追踪流经防火墙的数据包，判断主动发出还是被动收回 用于决定数据包是否被状态跟踪机制处理 mangle: 标记和标识，给数据包打标签 对数据包进行特殊标记，结合这些标记可以在filter表中对数据包进行有选择性的处理 nat:内外互访，网络防火墙，在网关上配置 filter:过滤数据包，主机防火墙，在服务器主机上配置 注：生成环境中raw和mangle不用，其功能用路由器替代 五链 PREROUTING：处理外部访问DMZ区的数据包 POSTROUTING：处理LAN区访问WAN区的数据包 OUTPUT：处理防火墙主动向外发送的数据包 INPUT：处理进站的数据包 FORWARD：转发链，处理源、目地址都不是防火墙，但必须流经防火墙的数据包 注： 内访外：先NAT再路由 外访内：先路由再NAT QOS 质量服务，所有流经路由器的数据包打标签，标明是什么包，然后排队有选择性的处理 DHCP中继协议 服务器上手动配置网关、IP，关闭不用的网卡 yum install dhcp -y Vim /etc/sysctl.conf(开启路由转发) sysctl -p vim /etc/sysconfig/dhcrelay # Command line options here DHCRELAYARGS= # DHCPv4 only INTERFACES=eth0 eth1 # DHCPv4 only DHCPSERVERS=192.168.100.1 (dhcp服务器地址） service dhcrelay restart chkconfig dhcrelay on dhcrelay 192.168.100.1 7、iptables的框架：表--链--规则 主机防火墙（凡是未被明确允许的，一概拒绝） Linux防火墙开、关 setup 带*： 开启 不带*： 关闭 iptables 命令的语法格式: iptables [-t表名] 管理选项 [链名] [条件匹配] [-j 目标] iptables -t filter -A INPUT -p tcp -s 192.168.100.0/24 --dport 139 -j ACCEPT 从 service iptables start chkconfig iptables on 1)管理选项 (查看规则：-nvL iptables -t filter -nvL --line-numbers或iptables -nvL --line-numbers 注： 如果不写表名，默认查filter； 清空规则后，默认允许ACCEPT； pkts bytes:这条规则一共处理了多少个数据包，以及多少字节 in：从哪一个接口进来的 out:从哪一个接口出去的 --line-numbers 显示序列号 (删除： -F (清除当前表中所有链的规则) iptables -t filter -F -D 删除指定行 iptables -D INPUT 3 (修改： -P：修改链的默认规则 iptables -P INPUT DROP -A：在末尾添加规则 iptables -t filter -A INPUT -I： 在行首添加规则 iptables -t filter -I INPUT 添加到指定行 iptables -I INPUT 3 -p udp -s 192.168.100.0/24 --dport 137 -j ACCEPT. -R：修改现有规则 iptables -I INPUT 3 -p udp -s 192.168.100.0/24 --dport 1388 -j ACC