tcp/ip協(xié)議網(wǎng)絡(luò)上一個節(jié)點，大門洞開，套接字會話，需要ip和端口，檢查套接字報文，套接字和tcp/ip協(xié)議差別。主機(jī)防火墻，工作在主機(jī)上。進(jìn)入網(wǎng)卡，到內(nèi)核中的tcp/ip協(xié)議棧，工作在tcp/ip協(xié)議棧上，在一些協(xié)議棧上某些位置放上卡哨，在設(shè)定檢查規(guī)則。

在桃江等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站制作、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計制作定制網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,成都全網(wǎng)營銷,外貿(mào)營銷網(wǎng)站建設(shè),桃江網(wǎng)站建設(shè)費用合理。

網(wǎng)絡(luò)防火墻，在網(wǎng)絡(luò)外部。

防火墻：工作與主機(jī)或網(wǎng)絡(luò)邊緣，對于進(jìn)出的報文根據(jù)定義的規(guī)則做檢查，進(jìn)而對被規(guī)則匹配到的報文最為相應(yīng)處理的套件；

網(wǎng)絡(luò)層防火墻，檢查報文的幀首部，IP首部，tcp首部，不能對數(shù)據(jù)內(nèi)容進(jìn)行檢查。

iptables/netfilter ，netfilter就是tcp/ip協(xié)議棧上的卡哨，用iptables加入規(guī)則

規(guī)則優(yōu)先級從高到低以及能工作的卡哨位置：

 

                raw ：目標(biāo)是關(guān)閉nat表上啟動的連接追蹤功能，PREROUTING OUTPUT

        mangle；修改tcp/ip首部的一些特性，任意位置。

        nat：地址轉(zhuǎn)換,POSTROUTING PREROUTING OUTPUT

        filter；過濾 INPUT FORWORD OUTPUT

INPUT：在數(shù)據(jù)進(jìn)入應(yīng)用空間時設(shè)定的卡哨也叫做鏈。

FORWORD：主機(jī)路由過程的卡哨

OUTPUT：數(shù)據(jù)從應(yīng)用程序發(fā)出時經(jīng)過的卡哨

PREROUTING：數(shù)據(jù)進(jìn)入網(wǎng)卡進(jìn)行路由策略前的卡哨

POSTROUTING：數(shù)據(jù)最后選擇網(wǎng)卡要離開前的卡哨

數(shù)據(jù)報文流程：跟本機(jī)內(nèi)部通信，PREROUTING INPUT OUTPUT POSTROUTING

由本機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù):PREROUTING FORWORD POSTROUTING

注意數(shù)據(jù)報文的流向，決定源IP目標(biāo)IP。

iptables：用戶空間的工具，寫規(guī)則，并自動發(fā)往netfilter，立即生效。

基本語法

iptables 【-t TABLE】 –A 鏈名 匹配條件 –j 處理目標(biāo)

默認(rèn)的表filter

COMMAND：答題上有下邊幾種

1.對鏈上規(guī)則的一些命令-A：在后面加一條規(guī)則

                              -I：插入一條新規(guī)則

                             -D：刪除規(guī)則

                             -R：替換規(guī)則

                             -L：查詢規(guī)則 –L -n：數(shù)字格式顯示地址和端口。-L -v：詳細(xì)格式 --line-numbers顯示規(guī)則行號 –x 不要對計數(shù)器計數(shù)結(jié)果做單位換算，顯示精確值。

2.對鏈的一些命令：-F ：清空規(guī)則鏈

                        -N：自建一個鏈，只能被調(diào)用

                        -X刪除一個自定義鏈

                        -Z計數(shù)器歸零

                        -P：設(shè)定默認(rèn)策略，對filter表來講，默認(rèn)規(guī)則為ACCEPT 或者DROP

                        -E：重命名自定義鏈

iptables 【-t TABLE】 –A 鏈名 匹配條件 –j 處理目標(biāo)

匹配條件：通用匹配

        -s 地址：指定報文源IP地址匹配范圍：可以是IP也可以是網(wǎng)絡(luò)地址，可以用！取反。

         -d地址：報文目標(biāo)ip地址

        -p協(xié)議，指定匹配報文的協(xié)議類型，一般tcp udp icmp

         -i：數(shù)據(jù)報文流入網(wǎng)卡：只能作用在數(shù)據(jù)傳入的前半部分PREROUTING INPUT FORWORD

        -o：數(shù)據(jù)流出網(wǎng)卡:只能作用在數(shù)據(jù)傳入的后半部分 FORWORD OUTPUT POSTROUTING

擴(kuò)展匹配調(diào)用netfilter 用-m

      隱式擴(kuò)展：當(dāng)使用-p {tcp|udp|icmp}中的一種時默認(rèn)調(diào)用了對應(yīng)模塊，可以直接使用擴(kuò)展選項

       -p tcp對tcp/ip協(xié)議生效：--sport指定源端口 –dport 目標(biāo)端口

                                        --tcp-flags syn，ack，rst，fin  syn all（全選，或者值都為1） none（值都為0）

                                         --tcp-flags syn，ack，rst，fin  syn          這是定義tcp第一次握手

                                         --syn  ALL                                            也可以定義tcp第一次握手

       -p icmp主要限制ping的 ：--icmp-type 8是能請求報文類型，0是指響應(yīng)的報文類型

     顯式擴(kuò)展：必須明確指出使用哪個模塊進(jìn)行擴(kuò)展，才能使用擴(kuò)展選項

                -m 擴(kuò)展模塊名稱（在iptables和netfilter上都要有這個模塊）

               1)multiport用于匹配非連續(xù)或者連續(xù)端口，對多指定15個端口

                     --sports 【port，port：port】指定源端口

                      --dports目標(biāo)端口

                      --ports源和目標(biāo)都包含

iptables -I INPUT -s 192.168.0.0/16 -d 192.168.147.128 -p tcp -m multiport --dports 22,80 -j ACCEPT
是主機(jī)防火墻，在目標(biāo)主機(jī)上添加，實現(xiàn)特定ip可以連接主機(jī)的http和ssh服務(wù)
沒指定表就默認(rèn)在filter表上實現(xiàn)過濾，在INPUT鏈上從192.168網(wǎng)段到192.168.147.128的tcp報文使用multiport模塊指定192.168.147.128主機(jī)上的端口可以接受報文

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

網(wǎng)站標(biāo)題：iptables大體了解-創(chuàng)新互聯(lián)
文章網(wǎng)址：http://weahome.cn/article/jopop.html