您好,登錄后才能下訂單哦!
iptables從入門到應(yīng)用的實(shí)例分析,很多新手對(duì)此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。
iptables從入門到應(yīng)用
一、簡(jiǎn)介
1.1、是什么?
iptables是隔離主機(jī)以及網(wǎng)絡(luò)的工具,通過自己設(shè)定的規(guī)則以及處理動(dòng)作對(duì)數(shù)據(jù)報(bào)文進(jìn)行檢測(cè)以及處理。
1.2、發(fā)展史
防火墻的發(fā)展史就是從墻到鏈再到表的過程,也即是從簡(jiǎn)單到復(fù)雜的過程。為什么規(guī)則越來越多,因?yàn)榛ヂ?lián)網(wǎng)越來越不安全了,所有防火墻的的規(guī)則也越來越復(fù)雜。防火的工具變化如下:
ipfirewall(墻)-->ipchains(鏈條)--iptables(表)
2.0版內(nèi)核中,包過濾機(jī)制是ipfw,管理工具是ipfwadm;
2.2 版內(nèi)核中,包過濾機(jī)制ipchain,管理工具是ipchains;
2.4版及以后的內(nèi)核中,包過濾機(jī)制是netfilter,管理工具iptables。
二、原理
|
3.4、語法結(jié)構(gòu)解析
語法結(jié)構(gòu)解析如下。
|
|
規(guī)則顯示
1 2 3 4 5 6 7 |
|
3.4.3、鏈
五鏈的功能如圖所示。
3.4.4、條件匹配
條件匹配分為基本匹配和擴(kuò)展匹配,擴(kuò)展匹配又分為顯示匹配和隱式匹配。
基本匹配的特點(diǎn)是:無需加載擴(kuò)展模塊,匹配規(guī)則生效;擴(kuò)展匹配的特點(diǎn)是:需要加載擴(kuò)展模塊,匹配規(guī)則方可生效。
隱式匹配的特點(diǎn):使用-p選項(xiàng)指明協(xié)議時(shí),無需再同時(shí)使用-m選項(xiàng)指明擴(kuò)展模塊以及不需要手動(dòng)加載擴(kuò)展模塊;
顯示匹配的特點(diǎn):必須使用-m選項(xiàng)指明要調(diào)用的擴(kuò)展模塊的擴(kuò)展機(jī)制以及需要手動(dòng)加載擴(kuò)展模塊。
基本匹配的使用選項(xiàng)及功能
1 2 3 4 5 6 |
|
隱式匹配的使用選項(xiàng)及功能
|
1 2 3 |
|
2.iprange(ip范圍)
以連續(xù)地址塊的方式來指明多IP地址匹配條件。
1 2 3 |
|
3.time(時(shí)間范圍)
指定時(shí)間范圍。
1 2 3 |
|
4.string(字符串)
對(duì)報(bào)文中的應(yīng)用層數(shù)據(jù)做字符串模式匹配檢測(cè)(通過算法實(shí)現(xiàn))。
1 2 3 |
|
5.connlimit(連接限制)
根據(jù)每個(gè)客戶端IP作并發(fā)連接數(shù)量限制。
1 2 |
|
6.limit(速率限制)
報(bào)文速率控制。
7.state(狀態(tài))
追蹤本機(jī)上的請(qǐng)求和響應(yīng)之間的數(shù)據(jù)報(bào)文的狀態(tài)。狀態(tài)有五種:INVALID, ESTABLISHED, NEW, RELATED, UNTRACKED.
法則:
1、對(duì)于進(jìn)入的狀態(tài)為ESTABLISHED都應(yīng)該放行;
2、對(duì)于出去的狀態(tài)為ESTABLISHED都應(yīng)該放行;
3、嚴(yán)格檢查進(jìn)入的狀態(tài)為NEW的連接;
4、所有狀態(tài)為INVALIED都應(yīng)該拒絕;
3.4.5、處理動(dòng)作
處理動(dòng)作有內(nèi)置的處理動(dòng)作和自定義的處理動(dòng)作。自定義的處理動(dòng)作用的比較少,因此只介紹內(nèi)置的處理動(dòng)作。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 |
|
3.5、保存和載入規(guī)則
CentOS6和CentOS7保存和載入的規(guī)則稍有差異。
|
|
四、iptables的實(shí)踐應(yīng)用
iptables十分重要與網(wǎng)絡(luò)的安全息息相關(guān),我們理所應(yīng)當(dāng)掌握。不過我們大可不必死記硬背,一定結(jié)合實(shí)際項(xiàng)目,多多練習(xí),效果才會(huì)更好。
4.1、iptables常用規(guī)則
1.放行sshd服務(wù)
1 2 |
|
|
1 2 3 |
|
1 |
|
4.2、如何配置iptables
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
|
4.3、iptables初始化腳本
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 |
|
限制ping 192.168.0.1主機(jī)的數(shù)據(jù)包數(shù),平均2/s個(gè),最多不能超過3個(gè)
放行本機(jī)端的流入流出
看完上述內(nèi)容是否對(duì)您有幫助呢?如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章,請(qǐng)關(guān)注億速云行業(yè)資訊頻道,感謝您對(duì)億速云的支持。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。