使用Linux系統Iptables防火牆

來源:互聯網
上載者:User

  Linux 的內建firewall機制,是通過kernel中的netfilter模組實現的(www.netfilter.ort)。Linux kernel使用netfilter對進出的資料包進行過濾,netfilter由三個規則表組成,每個表又有許多內建的鏈組成。通過使用iptables命令可以對這些錶鏈進行操作,如添加、刪除和列出規則等。

  一、Netfilter規則表—filter nat mangle

  filter,用於路由網路資料包。是預設的,也就是說如果沒有指定-t參數,當建立一條新規則時,它會預設存放到該表內。

  INPUT 網路資料包流向伺服器

  OUTPUT 網路資料包從伺服器流出

  FORWARD 網路資料包經伺服器路由

  nat,用於NAT表.NAT(Net Address Translation )是一種IP地址轉換方法。

  PREROUTING 網路資料包到達伺服器時可以被修改

  OUTPUT 網路資料包由伺服器流出

  POSTROUTING 網路資料包在即將從伺服器發出時可以被修改

  mangle,用於修改網路資料包的表,如TOS(Type Of Service),TTL(Time To Live),等

  INPUT 網路資料包流向伺服器

  OUTPUT 網路資料包流出伺服器

  FORWARD 網路資料包經由伺服器轉寄

  PREROUTING 網路資料包到達伺服器時可以被修改

  POSTROUTING 網路資料包在即將從伺服器發出時可以被修改

  1.配置Iptables

  當資料包進入伺服器時,Linux Kernel會尋找對應的鏈,直到找到一條規則與資料包匹配。如果該規則的target是ACCEPT,就會跳過剩下的規則,資料包會被繼續發送。如果該規則的target是DROP,該資料包會被攔截掉,kernel不會再參考其他規則。

  Note:如果從始至終都沒有一條規則與資料包匹配,而且表末尾又沒有drop all的規則,那末該資料包會被accept。Cisco則相反,在表末尾會因含deny all的規則。



相關文章

Cloud Intelligence Leading the Digital Future

Alibaba Cloud ACtivate Online Conference, Nov. 20th & 21st, 2019 (UTC+08)

Register Now >

Starter Package

SSD Cloud server and data transfer for only $2.50 a month

Get Started >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。