防火墙策略可以基于流量的源目的地、端口号、协议、应用等信息进行定制,根据定制的策略规则监控出入流量。若流量与某一条策略规则匹配,则进行相应处理,反之则丢弃。

防火墙会从上至下的顺序来读取配置的策略规则,找到匹配项后立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。

防火墙默认策略为拒绝时(堵),需要设置允许规则(通)

防火墙默认策略为允许时(通),需要设置拒绝规则(堵)

iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类:

在进行路由选择前处理数据包(PREROUTING)

处理流入的数据包(INPUT)

处理流出的数据包(OUTPUT)

处理转发的数据包(FORWARD)

在进行路由选择后处理数据包(POSTROUTING)

[root@localhost ~]# iptables –F		//清空防火墙策略
[root@localhost ~]# iptables –L		//查看防火墙规则
[root@localhost ~]# service iptables save		//保存防火墙规则

tcp/ip

物理层、数据链路层MAC、传输层tcp/ip、网络层 数据包 、应用层

主机型、网络型

包过滤的工作层次

主要是网络层,针对IP数据包

体现在对包内的IP 地址,

规则链

规则作用:对数据包进行过滤或处理

链作用:容纳各种防火墙规则

链的分类依据:处理数据包的不同时机

默认5链

INPUT

OUTPUT

FORWARD

POSTROUTING

PRENROUTING

INPUT

OUTPUT

PORWARD

规则表

表的作用:容纳各种规则链

表的划分依据:防火墙规则的作用相似

默认4表

raw

mangle

nat

filer

规则表之间的顺序

raw->mangle->nat->filtor

规则链之间的顺序

入站:PRENROUTING->INPUT

pasv_enable=YES

pasv_min_port=24000

pasv_max_port=29000

target     prot opt source               destination        

ACCEPT     tcp  —  0.0.0.0/0            0.0.0.0/0           tcp dpts:24000:29000

ACCEPT     tcp  —  0.0.0.0/0            0.0.0.0/0           tcp dpts:20:21

ACCEPT     tcp  —  0.0.0.0/0            0.0.0.0/0           tcp dpt:80

ACCEPT     tcp  —  192.168.230.1        0.0.0.0/0           tcp dpt:22

ACCEPT     icmp —  0.0.0.0/0            0.0.0.0/0           icmp type 3

ACCEPT     icmp —  0.0.0.0/0            0.0.0.0/0           icmp type 0

DROP       icmp —  0.0.0.0/0            0.0.0.0/0           icmp type 8

常用的显式匹配条件

多端口匹配-m multiport –sports //源端口
-m multiport –dports //目标端口
IP范围匹配-m iprange –src-range //IP范围
-m iprange –dst-range //目标范围
MAC地址匹配-m mac –mac-source //MAC地址源匹配
-m mac –mac-destination //MAC地址目标匹配
状态匹配-m state –state

数据包状态:

NEW新的链接,将进行三次握手
RELATED和一个已经建立的链接有关联性的数据包状态 //主要用于FTP服务里
INVALID非法的,无效的
ESTABLISHED已经进行三次握手链接

该文章采用「CC 协议」,转载必须注明作者和本文链接.
分类: Linux