欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Iptables防火墻四表五鏈概念及使用技巧詳解

 更新時(shí)間:2022年08月10日 14:45:31   作者:jiangxl  
這篇文章主要為大家介紹了Iptables防火墻四表五鏈概念及使用技巧詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪

1.鏈的概念

在防火墻中,用戶想要成功進(jìn)入內(nèi)網(wǎng)環(huán)境,就需要發(fā)送請(qǐng)求報(bào)文,請(qǐng)求報(bào)文要和防火墻設(shè)置的各種規(guī)則進(jìn)行匹配和判斷,最后執(zhí)行相應(yīng)的動(dòng)作(放行或者拒絕),一個(gè)防火墻中通常針對(duì)不同的來(lái)源設(shè)置很多種策略,多個(gè)策略形成一個(gè)鏈,其實(shí)也可以理解成是分組的概念,在Iptables防火墻中針對(duì)不同的鏈路共分為五種不同的鏈。

如下圖所示,當(dāng)數(shù)據(jù)報(bào)文進(jìn)入鏈之后,首先匹配第一條規(guī)則,如果第一條規(guī)則通過(guò)則訪問(wèn),如果不匹配,則接著向下匹配,如果鏈中的所有規(guī)則都不匹配,那么就按照鏈的默認(rèn)規(guī)則處理數(shù)據(jù)報(bào)文的動(dòng)作。

2.Iptables五種鏈的概念

Iptables有五種不同的鏈,分別是INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。

  • INPUT:從外界進(jìn)入防火墻的數(shù)據(jù)包會(huì)應(yīng)用此規(guī)則鏈中的策略。
  • OUTPUT:當(dāng)前服務(wù)器從防火墻外出的數(shù)據(jù)表會(huì)應(yīng)用此規(guī)則鏈中的策略。
  • FORWARD:轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)會(huì)應(yīng)用此規(guī)則鏈中的策略。
  • PREROUTING:主機(jī)外的報(bào)文要進(jìn)入防火墻,所有的數(shù)據(jù)包進(jìn)來(lái)的時(shí)候都會(huì)由PREROUTING鏈進(jìn)行處理。
  • POSTROUTING:主機(jī)內(nèi)的報(bào)文要從防火墻出去,需要經(jīng)過(guò)POSTROUTING鏈進(jìn)行處理。

3.Iptables數(shù)據(jù)流向經(jīng)過(guò)的表

請(qǐng)求報(bào)文流入本地要經(jīng)過(guò)的鏈:

請(qǐng)求報(bào)文要進(jìn)入本機(jī)的某個(gè)應(yīng)用程序,首先會(huì)到達(dá)Iptables防火墻的PREROUTING鏈,然后又PREROUTING鏈轉(zhuǎn)發(fā)到INPUT鏈,最后轉(zhuǎn)發(fā)到所在的應(yīng)用程序上。

PREROUTING--->INPUT--->PROCESS

請(qǐng)求報(bào)文從本機(jī)流出要經(jīng)過(guò)的鏈:

請(qǐng)求報(bào)文讀取完應(yīng)用程序要從本機(jī)流出,首先要經(jīng)過(guò)Iptables的OUTPUT鏈,然后轉(zhuǎn)發(fā)到POSTROUTING鏈,最后從本機(jī)成功流出。

PROCESS--->OUTPUT--->POSTROUTING

請(qǐng)求報(bào)文經(jīng)過(guò)本機(jī)向其他主機(jī)轉(zhuǎn)發(fā)時(shí)要經(jīng)過(guò)的鏈:

請(qǐng)求報(bào)文要經(jīng)過(guò)本機(jī)向其他的主機(jī)進(jìn)行換發(fā)時(shí),首先進(jìn)入A主機(jī)的PREROUTING鏈,此時(shí)不會(huì)被轉(zhuǎn)發(fā)到INPUT鏈,因?yàn)椴皇前l(fā)給本機(jī)的請(qǐng)求報(bào)文,此時(shí)會(huì)通過(guò)FORWARD鏈進(jìn)行轉(zhuǎn)發(fā),然后從A主機(jī)的POSTROUTING鏈流出,最后到達(dá)B主機(jī)的PREROUTING鏈。

PREROUTING--->FORWARD--->POSTROUTING

4.Iptables防火墻四種表的概念

**Iptables防火墻中表的概念:**在一個(gè)鏈中會(huì)有很多的防火墻規(guī)則,我們將具有同一種類型的規(guī)則組成一個(gè)集合,這個(gè)集合就叫做表,表可以簡(jiǎn)單的列成是一些具有同樣類型的規(guī)則的分組,例如關(guān)于IP地址轉(zhuǎn)換的策略都放在一個(gè)表中、修改數(shù)據(jù)保報(bào)文的策略都放在一個(gè)表中。

在Iptables防火墻中包含四種常見(jiàn)的表,分別是filter、nat、mangle、raw。

  • filter:負(fù)責(zé)過(guò)濾數(shù)據(jù)包。
    • filter表可以管理INPUT、OUTPUT、FORWARD鏈。
  • nat:用于網(wǎng)絡(luò)地址轉(zhuǎn)換。
    • nat表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING鏈。
  • mangle:修改數(shù)據(jù)包中的內(nèi)容,例如服務(wù)類型、TTL、QOS等等。
    • mangle表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD鏈。
  • raw:決定數(shù)據(jù)包是否被狀態(tài)跟蹤機(jī)制處理。
    • raw表可以管理PREROUTING、OUTPUT鏈。

5.Iptables防火墻表與鏈之間的優(yōu)先級(jí)概念

在Iptables防火墻中,表與鏈之間是存在優(yōu)先級(jí)的關(guān)系的,因?yàn)槊繌埍淼淖饔枚际遣煌?,一張表?huì)同時(shí)存放在多個(gè)鏈中,當(dāng)一條數(shù)據(jù)報(bào)文進(jìn)入一個(gè)鏈后,會(huì)按照表的優(yōu)先級(jí)順序依次匹配對(duì)應(yīng)的規(guī)則。

Iptables防火墻表的優(yōu)先級(jí)順序:raw--->mangle--->nat--->filter。

如下圖所示,當(dāng)數(shù)據(jù)報(bào)文進(jìn)入PREROUTING鏈時(shí),首先規(guī)匹配raw表中的規(guī)則,然后在匹配mangle表中的規(guī)則,最后在匹配nat表的規(guī)則,按照優(yōu)先級(jí)順序依次匹配。

[外鏈圖片轉(zhuǎn)存失敗,源站可能有防盜鏈機(jī)制,建議將圖片保存下來(lái)直接上傳(img-4e31sEnS-1657242939282)(G:\01-運(yùn)維技術(shù)文檔整理\Iptables\01-Iptables防火墻核心理論概念.assets\image-20220428235007852.png)]

6.Iptables防火墻表和鏈之間的使用技巧

從以下三個(gè)問(wèn)題中掌握防火墻表和鏈之間的使用技巧。

首先牢記各個(gè)鏈對(duì)應(yīng)的表有那些:

鏈名對(duì)應(yīng)的表名
INPUTmangle、nat、filter
OUTPUTraw、mangle、Nat、filter
FORWARDmangle、filter
PREROUTINGraw、mangle、nat
POSTROUTINGmangle、nat

記憶技巧:進(jìn)出第一關(guān)的鏈都沒(méi)有fileter表,第一個(gè)進(jìn)鏈除fileter都包含,input除raw都有、output全有、出鏈只有mangle和nat、forward只有mongle和filter。

**問(wèn)題1:**

來(lái)自于10.0.0.1的地址,訪問(wèn)本機(jī)的web服務(wù)請(qǐng)求都不允許,應(yīng)該在哪個(gè)表的哪個(gè)鏈上設(shè)定規(guī)則?

源地址為10.0.0.1的IP訪問(wèn)本機(jī)的WEB請(qǐng)求時(shí)不允許,屬于數(shù)據(jù)流入的操作,首先要分析會(huì)經(jīng)過(guò)那些Iptables鏈?

源地址到本地服務(wù)會(huì)經(jīng)過(guò)Iptables的PREROUTING和INPUT鏈,做這種規(guī)則時(shí),都會(huì)堅(jiān)定最近位置處做策略,但是也要結(jié)合實(shí)際的功能,PREROUTING鏈離源地址最近,但是沒(méi)有過(guò)濾的表,在PREROUTING中的表有mangle、nat,沒(méi)有負(fù)責(zé)做過(guò)濾的表,因此就要判斷第二個(gè)鏈,也就是INPUT鏈,在INPUT鏈中包含mangle、nat、filter表,在INPUT鏈中添加策略是最合適的。

最終的結(jié)果就是在INPUT鏈的filter表中添加具體的策略。

**問(wèn)題2:**

所有由本機(jī)發(fā)往10.0.0.0/24網(wǎng)段的TCP服務(wù)都不允許?

從本機(jī)發(fā)往其他主機(jī)的TCP服務(wù)請(qǐng)求,屬于數(shù)據(jù)流出的操作,會(huì)經(jīng)過(guò)PREROUTING鏈和OUTPUT鏈,到達(dá)目標(biāo)地址的數(shù)據(jù)保溫都拒絕,這種類似的需求,一般都是由過(guò)濾表filter來(lái)實(shí)現(xiàn),PREROUTING鏈包含的表有mangle、nat這兩張,沒(méi)有過(guò)濾表,OUTPUT鏈有raw、mangle、Nat、filter四張表,最終的結(jié)果就是在OUTPUT鏈的filter表添加具體的策略。

**問(wèn)題3:**所有來(lái)自己本地內(nèi)部網(wǎng)絡(luò)的主機(jī),向互聯(lián)網(wǎng)發(fā)送web服務(wù)器請(qǐng)求都允許?

到達(dá)本機(jī)的請(qǐng)求報(bào)文向互聯(lián)網(wǎng)發(fā)送請(qǐng)求,屬于數(shù)據(jù)轉(zhuǎn)發(fā)的操作,會(huì)經(jīng)過(guò)PREROUTING、FORWARD和POSTROUTING三個(gè)連,這種允許和拒絕都是在filter表中操作的,因此找到含有filter表并且距離目標(biāo)端最近的鏈中添加合適的規(guī)則,最終的結(jié)果就是在filter表中添加具體的操作。

結(jié)論:

1)首先要知道要實(shí)現(xiàn)的需求含義,然后根據(jù)需求判斷出要在哪一個(gè)表中實(shí)現(xiàn)該策略。

2)然后摸清楚報(bào)文要經(jīng)過(guò)的鏈,堅(jiān)定在距離源/目的最近的鏈做策略。

3)最后根據(jù)鏈包含的表,判斷出要將規(guī)則添加到哪一個(gè)鏈的表中。

7.Iptables防火墻幾種動(dòng)作

ACCEPT:將數(shù)據(jù)包放行。

REJECT:拒絕該數(shù)據(jù)包通行,阻攔數(shù)據(jù)包。

DROP:丟棄數(shù)據(jù)包,不給予任何處理。

REDIRECT:重定向。

以上就是Iptables防火墻四表五鏈概念及使用技巧詳解的詳細(xì)內(nèi)容,更多關(guān)于Iptables防火墻四表五鏈的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章!

相關(guān)文章

最新評(píng)論