Iptables:<software iptables and hardware iptables>
一般企业里都使用的是硬件防火墙<hardware iptables>,因为对内网的防护能力是不可估测的,所以价格也是相当昂贵。如果内部网络主机不对外网提供服务,而只是为内部提供网络服务(Samba/FTP/Postfix),那么就没必要花费更高的费用来购买硬件防火墙,那么这是选择软件防火墙<software iptables>是不错的选择,所以我们又必要了解防火墙的常识.例如:常用到的命令和常用的处理动作。
为了让服务器更加安全,添加iptables规则是必不可少的,如果对iptables不是很了解的话,可能在服务器上添加规则的时候,难免会造成不可想象的结果,所以要对iptables做下简单的介绍。
netfilter
位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”
iptables
位于/sbin/iptables,用来管理防火墙规则的工具,称为Linux防火墙的“用户态”
iptables的表、链结构
规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
默认包括5种规则链
INPUT:处理入站数据包
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
POSTROUTING链:在进行路由选择后处理数据包(SNAT)
PREROUTING链:在进行路由选择前处理数据包(DNAT)
规则表
表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用相似
默认包括4个规则表
raw表:确定是否对该数据包进行状态跟踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标IP地址或端口
filter表:确定是否放行该数据包(过滤)
数据包过滤的匹配流程
规则表之间的顺序
raw->mangle->nat->filter
规则链之间的顺序
入站:PREROUTINGINPUT
出站:OUTPUTPOSTROUTING
转发:PREROUTINGFORWARDPOSTROUTING
规则链内的匹配顺序
按顺序依次检查,匹配即停止(LOG策略例外),若找不到相匹配的规则,则按该链的默认策略处理
Linux包过滤防火墙概述
主要是网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理上
