iptables防火墙策略<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
防火墙是指在内部网和外网之间,专业网和公共网之间的界面上构造的保护屏障,使INTERNET 和INTERNET之间建立一个安全网关,从而保护内部网络免受非法入侵,防火墙主要由服务访问规则,验证工具,包过滤和应用网关4个部分.
现在有两种功能的防火墙:
包过滤防火墙,该防火墙工作网络层,在linux系统下包过滤是内建于
拥有帝国一切,皆有可能。欢迎访问phome.netlinux内核路由功能至上的防火墙类型,具体的讲它针对每一个数据报的报头,按照包过滤规则进行判断,与规则相匹配的包浆依照路由信息继续转发,否则就丢弃.数据包过滤是通过对数据包的IP头和TCP头或UDP头的检查来实现的.
代理防火墙,也叫应用层的网关防火墙(Application Gateway)这种防火墙通过一种代理(Proxy)技术参与到一个TCP连接的全过程.从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用.可以改变数据包的
拥有帝国一切,皆有可能。欢迎访问phome.netip信息.
代理防火墙非常安全但是效率较低,现在一般把上述两种防火墙一起使用.主机发送信息,先经过包过滤防火墙,检查成功后在把包发给网关防火墙,若不成功直接将包丢弃.
典型的防火墙设置有两种网卡:一个流入,一个流出.iptables读取流入和流出数据包的报头,将它们与设定规则相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理.
现在我们学习使用iptables命令
拥有帝国一切,皆有可能。欢迎访问phome.net
Neitfiler Framework/iptables
Neitfiler Framework是网络控制框架,iptables是规则,防火墙布过滤数据,依靠规则过滤,iptables放在防火墙上二者结合使用.
iptables 命令的格式是
#iptables –t table COMMAND Chains[num] match condition –j action
-t table 先指定表
拥有帝国一切,皆有可能。欢迎访问phome.net (注:若不指定默认为filter过滤表);command chains 再指定链与相应的参数;match conditions 做命令匹配条件;-j cation 指定动作(可以不指)
我们要理解iptables的五个内置默认键;即五个链,
拥有帝国一切,皆有可能。欢迎访问phome.net
1.INPUT 进入过滤点
2.OUTPUT 出去过滤点
3.FORWARD 转发过滤点,
4.PREROUTING 路由前过滤点,
5.POSTROUTING 路由后过滤点,
拥有帝国一切,皆有可能。欢迎访问phome.net
[root@station10~]#iptables -t nat -A POSTOUTING -s 192.168.100.0/24 -d 192.168.10.0/24 -p tcp --sport 80 -j SNAT --to-source 192.168.10.10
拥有帝国一切,皆有可能。欢迎访问phome.net |