Linux防火墙之“四链五表”
防火墙介绍
- 防火墙是位于内外网之间的一组软硬件部件的组合,
主要目的是保护内外网的数据流通的安全
,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 - 能够指定火墙策略的两个工具包:
iptables和firewalld
- Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的
包过滤防火墙或称作网络层防火墙
(iptables) - Firewalld:只用于管理Linux防火墙的命令程序,属于
“用户态”
(User Space。又称为用户空间)的防火墙管理体系。支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
iptables和firewalld的关系
四表五链
常说防火墙三表五链,其实应该说四表五链比较合适,不过raw表应用较少,因此也常用“三表五链”
来描述防火墙
四表
优先级:
- 当数据包抵达防火墙时,将依次应用raw、mangle、nat和filter表中对应链内的规则(如果有)如下图所示
五表
INPUT链用于处理访问防火墙本机的数据,OUTPUT链用于处理防火墙本机访问其他主机的数据
FORWARD链用于处理需要经过防火墙转发的数据包,源地址、目标地址均不是防火墙本机
POSTROUTING、PREROUTING链分别用于在确定路由后、确定路由前对数据包进行处理
对应关系
- filter表,包含三个规则链:INPUT,FORWARD,OUTPUT。
- nat表,包含三个规则链:PREROUTING,POSTROUTING,OUTPUT。
- mangle表,包含五个规则链:PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。
- raw表,包含两条规则链:OUTPUT、PREROUTING。
在处理各种数据包时,5种默认规则链的应用时间点
- INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则。
- OUTPUT链:当防火墙本机向外发送数据包(出战)时,应用此链中的规则。
- FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用此链中的规则。
- PREROUTING链:在对数据包作路由选择之前,应用此链中的规则。
- POSTROUTING链:在对数据包作路由选择之后,应用此链中的规则。
注:INPUT、OUTPUT链更多的应用在“主机防火墙”
中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTING链更多的应用在“网络防火墙”
中,特别是防火墙服务器作为网关使用时的情况。
iptables 命令的管理控制选项
举例如下:
- 增
- 追加:iptables -A INPUT/OUTPUT(链名) -p (协议) tcp/udp 可以指定网卡(用-i 和-o 参数),可以指定源地址/目标地址(-d -s ) --dport (指定端口号) -j ACCEPT
- 插入:iptables -I(默认第一)可以指定序号。实例:iptables -I INPUT -p tcp --dport 80 -j ACCEPT
- 删
- 表名默认是fitler可以省略,但是链名一定要加(如:INPUT )
- iptables -t 表名(可以省略不计) -D链序号 (第几条策略,从上往下 )
- 改
- iptables -R INPUT/OUTPUT 7(一定要跟对应链的序号) -p tcp --dport 80 -j ACCEPT
- 查
- service iptables status
- iptables -t 接想要查询的表名(有四个) -L
- iptables -L -v -n
- iptables -vnL (有参数顺序的要求)
注: drop是丢弃;reject是拒绝
Linux防火墙之“四链五表”相关推荐
- 防火墙(5)——五表
(1)五表 在iptables中不指定table默认filter表. 其实一共有五种表,分别为filter nat mangle security raw表,他们都是盛放链的容器 filter表是处理 ...
- linux防火墙(四)—— SNET和DNET原理及应用
图(1) 一.SNAT策略 应用环境:局域网主机共享单个公网IP地址接入Internet,简单的说就是企业内部局域网想访问外部服务器时,网关型防火墙需要开启的SNAT应用策略. SNAT策略原理:网关 ...
- 从零开始之驱动发开、linux驱动(四十五、DM9000网卡驱动)
这里我们肯定不是要从零开始编写网卡驱动的. 因为编写网卡驱动时,需要网络基础知识,特别是网络底层的知识,目前还没学. 将来我可能选择在,网络,图像视屏,或USB这个三个方向,选择一个深入钻研. 这里主 ...
- Linux防火墙配置
目录 一.实验目的及要求 二.实验环境 三.实验原理 1.防火墙的概念 2.防火墙的分类 3.Linux防火墙 (1):netfilter (2):iptables 4.iptables的规则表.规则 ...
- Linux防火墙详解
防火墙介绍 inux防火墙主要工作在网络层,属于典型的包过滤防火墙.在RHEL中常用的有两种火墙工具iptables和firewalld,但软件本身其实并不具备防火墙功能,他们的作用都是在用户空间中管 ...
- 【正点原子Linux连载】第四十五章 pinctrl和gpio子系统实验 -摘自【正点原子】I.MX6U嵌入式Linux驱动开发指南V1.0
1)实验平台:正点原子阿尔法Linux开发板 2)平台购买地址:https://item.taobao.com/item.htm?id=603672744434 2)全套实验源码+手册+视频下载地址: ...
- Linux防火墙与iptables命令
Linux防火墙与iptables命令 防火墙概念 一.Firewalld与iptables简介 1.1Firewalld 1.2Firewalld.iptables 二.iptables 2.1四表 ...
- Linux防火墙iptables学习
http://blog.chinaunix.net/uid-9950859-id-98277.html 要在网上传输的数据会被分成许多小的数据包,我们一旦接通了网络,会有很多数据包进入,离开,或者经过 ...
- [系统安全] 四十五.APT系列(10)Metasploit后渗透技术信息收集、权限提权和功能模块详解
您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...
最新文章
- 动态规划python_机器人是如何规划路径的?动画演示一下吧
- Js结束,项目进行中
- 【大脑】改善记忆力的食物有哪些
- 每天学一点儿shell:正则表达式
- vim7.1在windows下的编码设置[转]
- [UE4]把枪抽象为一个类
- java中来获取UUID
- android system读写权限设置,当然需要root访问权限才能写入Android的system目录
- idea jdbc封装_真赞!IDEA 中这么玩 MyBatis,让编码速度飞起!
- 多线程(一):初识多线程
- 添加组件_苹果ios14怎么添加删除小组件 小组件叠放添加设置教程
- morhpia(4)-更新
- 公司买网络设备,至少16口
- 联想电脑Fn热键驱动
- 解决 Android 7.0 SQLiteCantOpenDatabaseException: unknown error (code 14)
- 记忆减退之---钽电容
- HTML的学习---为了python爬虫网页
- 测绘遥感地信 国内外期刊大全
- php mysql 性能_php插入mysql方式性能分析
- 面向对象分析与设计--遛狗玩
热门文章
- 离散数学英文名词解释及知识点汇总(第二章)
- Spring Boot 集成Mybatis实现多数据源
- Logo图标快速生成软件(Sothink Logo Maker) v3.5 官方设计师版
- 破解WIFI的一些参数说明
- 斯蒂文斯理工学院计算机专业排名,美国斯蒂文斯理工学院综合排名情况
- Educational Codeforces Round 103 (Rated for Div. 2)前四题
- Ubuntu 16.04 鼠标光标消失的解决方法(右键可弹窗,可以点击)
- DPDK的igb_uio内核态和用户态实现
- Kafka文件的存储机制
- 刘作虎会是OPPO、一加和realme们的领路人吗?