redhatiptables详解.pptxVIP

Netfilter/iptables信息包过滤系统 Netfilter/iptables 架构 Netfilter是表的容器，表是链的容器，而链又是规则的容器 2个表6个链若干规则组成 Filter表的链(chain) 处理入站信息包的规则被添加到INPUT链中 处理出站信息包的规则被添加到OUTPUT链中 处理正在转发信息包的规则被添加到FORWARD链中 NAT表的链(chain) SNAT的信息包被添加到POSTROUTIN链 DNAT的信息包被添加到PREROUTING链 直接从本地出站的信息包被添加到OUTPUT链 数据包在Filter表中穿越流程 iptables常用命令 #iptables -L 列出表/链中的所有规则 #iptables -F 清除预设表filter中所有规则链中的规则 #iptables -X 清除预设表中使用者自定链中的规则 设置链的默认规则 #iptables -P INPUT ACCEPT #iptables -P OUTPUT ACCEPT #iptables -P FORWARD DROP #iptables -t nat -P POSTROUTING DROP #iptables -t nat -P PREROUTING DROP iptables常用命令 管理规则表中的规则： 参数如下: （-A）添加新规则到规则表 （- I）插入新规则到规则表的某个位置 （-R）替换规则表中的规则 （-D）删除规则表中的某条规则 iptables详细参数 指定规则操作的源地址　 -s　或 --source　或 -src 指定规则操作的目标地址 -d　或 --destination 或 -dst   例: 允许来自/24的数据包访问防火墙 iptables -A INPUT -s /24 -d /0 -j ACCEPT   “-j”选项是“--jump”的简写，它指明了匹配该条规则的数据包的具体处理方法，可能是ACCEPT、DROP等 iptables详细参数 指定协议（TCP、UDP或ICMP） -p 或 --protocol   例:禁止icmp协议通过 iptables -A INPUT -p icmp -j DROP iptables详细参数 指定源端口　 --sport 或 - - source-port 指定目的端口 --dport 或 - - destination-port   iptables详细参数 指定数据包进入的接口　-i 或 --in-interface 指定数据包送出的接口　-o 或 --out-interface INPUT规则表中只允许指定-i接口 OUTPUT规则表 中只允许指定-o接口 FORWARD表可以指定这两种接口 特殊案例 iptables -P INPUT DROP iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP Netfilter/iptables NAT系统的工作原理 使用iptables来创建NAT规则，使用”-t nat”参数来修改NAT table，告诉Linux内核哪些连接请求将被改变和如何改变 SNAT的信息包被添加到POSTROUTIN链 DNAT的信息包被添加到PREROUTING链 直接从本地出站的信息包被添加到OUTPUT链 NAT—Network Address Translation 在NAT table中，数据包通常被送到几个不同的目的地DNAT、SNAT和MASQUERADE，通常我们可以根据这个把NAT分为两种不同的类型： Destination NAT（DNAT） Source NAT（SNAT） MASQUERADE (特殊SNAT) DNAT Destination NAT Destination NAT规则在PREROUTING chain中定义，它改变数据包中目的地址的值 --to-destination[:port]　指定转换后的目标地址[:port]，可以简写成 --to [:port]，端口，是一个可选项，仅在指明TCP或UDP协议时使用 例: 转换数据包目