亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Iptables防火墻四表五鏈概念及使用技巧是什么

發布時間:2022-08-10 16:31:35 來源:億速云 閱讀:182 作者:iii 欄目:開發技術

本篇內容主要講解“Iptables防火墻四表五鏈概念及使用技巧是什么”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“Iptables防火墻四表五鏈概念及使用技巧是什么”吧!

    1.鏈的概念

    在防火墻中,用戶想要成功進入內網環境,就需要發送請求報文,請求報文要和防火墻設置的各種規則進行匹配和判斷,最后執行相應的動作(放行或者拒絕),一個防火墻中通常針對不同的來源設置很多種策略,多個策略形成一個鏈,其實也可以理解成是分組的概念,在Iptables防火墻中針對不同的鏈路共分為五種不同的鏈。

    如下圖所示,當數據報文進入鏈之后,首先匹配第一條規則,如果第一條規則通過則訪問,如果不匹配,則接著向下匹配,如果鏈中的所有規則都不匹配,那么就按照鏈的默認規則處理數據報文的動作。

    Iptables防火墻四表五鏈概念及使用技巧是什么

    2.Iptables五種鏈的概念

    Iptables有五種不同的鏈,分別是INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。

    • INPUT:從外界進入防火墻的數據包會應用此規則鏈中的策略。

    • OUTPUT:當前服務器從防火墻外出的數據表會應用此規則鏈中的策略。

    • FORWARD:轉發數據包時會應用此規則鏈中的策略。

    • PREROUTING:主機外的報文要進入防火墻,所有的數據包進來的時候都會由PREROUTING鏈進行處理。

    • POSTROUTING:主機內的報文要從防火墻出去,需要經過POSTROUTING鏈進行處理。

    3.Iptables數據流向經過的表

    請求報文流入本地要經過的鏈:

    請求報文要進入本機的某個應用程序,首先會到達Iptables防火墻的PREROUTING鏈,然后又PREROUTING鏈轉發到INPUT鏈,最后轉發到所在的應用程序上。

    PREROUTING--->INPUT--->PROCESS

    請求報文從本機流出要經過的鏈:

    請求報文讀取完應用程序要從本機流出,首先要經過Iptables的OUTPUT鏈,然后轉發到POSTROUTING鏈,最后從本機成功流出。

    PROCESS--->OUTPUT--->POSTROUTING

    請求報文經過本機向其他主機轉發時要經過的鏈:

    請求報文要經過本機向其他的主機進行換發時,首先進入A主機的PREROUTING鏈,此時不會被轉發到INPUT鏈,因為不是發給本機的請求報文,此時會通過FORWARD鏈進行轉發,然后從A主機的POSTROUTING鏈流出,最后到達B主機的PREROUTING鏈。

    PREROUTING--->FORWARD--->POSTROUTING

    4.Iptables防火墻四種表的概念

    **Iptables防火墻中表的概念:**在一個鏈中會有很多的防火墻規則,我們將具有同一種類型的規則組成一個集合,這個集合就叫做表,表可以簡單的列成是一些具有同樣類型的規則的分組,例如關于IP地址轉換的策略都放在一個表中、修改數據保報文的策略都放在一個表中。

    在Iptables防火墻中包含四種常見的表,分別是filter、nat、mangle、raw。

    • filter:負責過濾數據包。

      • filter表可以管理INPUT、OUTPUT、FORWARD鏈。

    • nat:用于網絡地址轉換。

      • nat表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING鏈。

    • mangle:修改數據包中的內容,例如服務類型、TTL、QOS等等。

      • mangle表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD鏈。

    • raw:決定數據包是否被狀態跟蹤機制處理。

      • raw表可以管理PREROUTING、OUTPUT鏈。

    5.Iptables防火墻表與鏈之間的優先級概念

    在Iptables防火墻中,表與鏈之間是存在優先級的關系的,因為每張表的作用都是不同的,一張表會同時存放在多個鏈中,當一條數據報文進入一個鏈后,會按照表的優先級順序依次匹配對應的規則。

    Iptables防火墻表的優先級順序:raw--->mangle--->nat--->filter。

    如下圖所示,當數據報文進入PREROUTING鏈時,首先規匹配raw表中的規則,然后在匹配mangle表中的規則,最后在匹配nat表的規則,按照優先級順序依次匹配。

    [外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-4e31sEnS-1657242939282)(G:\01-運維技術文檔整理\Iptables\01-Iptables防火墻核心理論概念.assets\image-20220428235007852.png)]

    6.Iptables防火墻表和鏈之間的使用技巧

    從以下三個問題中掌握防火墻表和鏈之間的使用技巧。

    首先牢記各個鏈對應的表有那些:

    鏈名對應的表名
    INPUTmangle、nat、filter
    OUTPUTraw、mangle、Nat、filter
    FORWARDmangle、filter
    PREROUTINGraw、mangle、nat
    POSTROUTINGmangle、nat

    記憶技巧:進出第一關的鏈都沒有fileter表,第一個進鏈除fileter都包含,input除raw都有、output全有、出鏈只有mangle和nat、forward只有mongle和filter。

    **問題1:**

    來自于10.0.0.1的地址,訪問本機的web服務請求都不允許,應該在哪個表的哪個鏈上設定規則?

    源地址為10.0.0.1的IP訪問本機的WEB請求時不允許,屬于數據流入的操作,首先要分析會經過那些Iptables鏈?

    源地址到本地服務會經過Iptables的PREROUTING和INPUT鏈,做這種規則時,都會堅定最近位置處做策略,但是也要結合實際的功能,PREROUTING鏈離源地址最近,但是沒有過濾的表,在PREROUTING中的表有mangle、nat,沒有負責做過濾的表,因此就要判斷第二個鏈,也就是INPUT鏈,在INPUT鏈中包含mangle、nat、filter表,在INPUT鏈中添加策略是最合適的。

    最終的結果就是在INPUT鏈的filter表中添加具體的策略。

    **問題2:**

    所有由本機發往10.0.0.0/24網段的TCP服務都不允許?

    從本機發往其他主機的TCP服務請求,屬于數據流出的操作,會經過PREROUTING鏈和OUTPUT鏈,到達目標地址的數據保溫都拒絕,這種類似的需求,一般都是由過濾表filter來實現,PREROUTING鏈包含的表有mangle、nat這兩張,沒有過濾表,OUTPUT鏈有raw、mangle、Nat、filter四張表,最終的結果就是在OUTPUT鏈的filter表添加具體的策略。

    **問題3:**所有來自己本地內部網絡的主機,向互聯網發送web服務器請求都允許?

    到達本機的請求報文向互聯網發送請求,屬于數據轉發的操作,會經過PREROUTING、FORWARD和POSTROUTING三個連,這種允許和拒絕都是在filter表中操作的,因此找到含有filter表并且距離目標端最近的鏈中添加合適的規則,最終的結果就是在filter表中添加具體的操作。

    結論:

    1)首先要知道要實現的需求含義,然后根據需求判斷出要在哪一個表中實現該策略。

    2)然后摸清楚報文要經過的鏈,堅定在距離源/目的最近的鏈做策略。

    3)最后根據鏈包含的表,判斷出要將規則添加到哪一個鏈的表中。

    7.Iptables防火墻幾種動作

    ACCEPT:將數據包放行。

    REJECT:拒絕該數據包通行,阻攔數據包。

    DROP:丟棄數據包,不給予任何處理。

    REDIRECT:重定向。

    到此,相信大家對“Iptables防火墻四表五鏈概念及使用技巧是什么”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

    向AI問一下細節

    免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

    AI

    正蓝旗| 皋兰县| 贵南县| 南宫市| 元江| 崇义县| 祁门县| 盐源县| 肥东县| 嘉黎县| 原平市| 洪雅县| 平乡县| 福建省| 镇康县| 玛沁县| 芷江| 尖扎县| 黑水县| 称多县| 华阴市| 门源| 金乡县| 内江市| 沂源县| 奉新县| 苏州市| 健康| 兰州市| 江永县| 广饶县| 双江| 桂东县| 尤溪县| 吴旗县| 资溪县| 黔西县| 高碑店市| 阿巴嘎旗| 朝阳区| 徐闻县|