easyui 做的网站,wordpress注册表单插件,中企动力是正规公司吗,wordpress淘宝客排名主题目录
一、防火墙概念
1.软件防火墙
2.iptables默认规则
3.iptables的五链
4.iptables动作
5.四表五链
6.iptables实例 一、防火墙概念
linux下防火墙一般分为软件防火墙、硬件防火墙
硬件防火墙#xff1a;在硬件的级别实现防火墙过滤功能#xff0c;性能高#xf…目录
一、防火墙概念
1.软件防火墙
2.iptables默认规则
3.iptables的五链
4.iptables动作
5.四表五链
6.iptables实例 一、防火墙概念
linux下防火墙一般分为软件防火墙、硬件防火墙
硬件防火墙在硬件的级别实现防火墙过滤功能性能高但成本也很高
软件防火墙在软件系统内核级别实现网络流量过滤性能稍弱但是成本也很低 1.软件防火墙
在linux上提供的软件防火墙名字叫做iptables它是一个防火墙命令行工具iptables还是一个客户端代理
通过iptables的代理将用户配置的安全策略执行到对应的安全框架中netfilter
iptables只是个命令行工具处于用户空间离用户最近
真正实现流量过滤的软件是netfileter处于系统内核空间和操作系统离得是最近的
iptablesnetfilter共同组成了linux的软件防火墙一般就用来代替昂贵的硬件防火墙了 centos7系统下
firewalld软件有替代了iptables工具
iptables是把用户配置的防火墙规则交给内核层的netfiler工具去处理
firewalld服务把用户配置的防火墙规则交给内核层的nftables网格过滤器去处理 2.iptables默认规则 iptables默认会自上而下的读取防火墙规则匹配到正确规则后就结束匹配的工作并且执行对应的工作。
如果读取的防火墙所有规则都没有符合就执行默认的策略。
默认策略一般分为两种 允许拒绝 当默认规则全都是拒绝的时候你就得设置一些允许通过的流量否则所有的流量都禁止了
当默认的规则全部都是允许的时候就得设置一些拒绝的匹配规则以保证服务器的安全
防火墙的规则默认是存储在linux内核空间的信息包中这些规则定义了源地址信息目的地址信息传输协议类型服务类型
当数据包符合规则条件的时候iptables就根据所定义的动作来处理这些数据包放行拒绝丢弃 3.iptables的五链 iptables把用于处理和过滤流量的策略称之为规则多条规则就组成了一个规则链并且规则链还有默认的动作规则链根据数据包所处的不同位置进行不同的分类
linux默认的五个规则链 路由选择前处理数据包prerouting链处理流入的数据包input链处理流出的数据包output链处理转发的数据包forward链进行路由选择后处理数据包postrouting链 主要使用的都是input链 4.iptables动作
服务器流量在通过input链之后进入到服务器内还得遵循一些动作去处理数据包 accpet允许数据包通过reject拒绝数据包通过还会给客户端一个响应告知对方被拒绝log在linux系统的日志目录下/var/log/message中记录防火墙日志在进行下一个数据包处理drop直接丢弃数据包不给予任何的回复SNAT源地址转换解决内网用户用同一个公网的问题用于forward链DNAT目标地址转换redirect在本机做端口映射 5.四表五链 表 raw高级功能如网址过滤mangle数据包修改QOS用于实现服务质量net地址转换用于网关路由器filter包过滤用于防火墙规则 链 input链处理输入数据包output链处理输出数据包forward链处理转发数据包prerouting链用于目标地址转化DNATpostouting链用于源地址转换SNAT 动作 accpet允许数据包通过reject拒绝数据包通过还会给客户端一个响应告知对方被拒绝log在linux系统的日志目录下/var/log/message中记录防火墙日志在进行下一个数据包处理drop直接丢弃数据包不给予任何的回复SNAT源地址转换解决内网用户用同一个公网的问题用于forward链DNAT目标地址转换redirect重定向映射透明代理masqueradeIP伪装NAT用于ADSLLOG日志记录 6.iptables实例
禁止服务器被ping
# -A 指定链 -p 指定协议 --icmp-type 8 指定icmp协议的类型 -s 指定源ip端 -j 动作
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j REJECT
删除指定规则
iptables -D INPUT 1
禁止访问服务器的80端口
iptables -A INPUT -p tcp --dport 80 -j DROP
禁止服务器被ping动作为丢弃
# -A 指定链 -p 指定协议 --icmp-type 8 指定icmp协议的类型 -s 指定源ip端 -j 动作
iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
