防火墙策略可以基于流量的源目的地、端口号、协议、应用等信息进行定制,根据定制的策略规则监控出入流量。若流量与某一条策略规则匹配,则进行相应处理,反之则丢弃。
防火墙会从上至下的顺序来读取配置的策略规则,找到匹配项后立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。
防火墙默认策略为拒绝时(堵),需要设置允许规则(通)
防火墙默认策略为允许时(通),需要设置拒绝规则(堵)
iptables服务把用于处理或过滤流量的策略条目称之为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类:
在进行路由选择前处理数据包(PREROUTING)
处理流入的数据包(INPUT)
处理流出的数据包(OUTPUT)
处理转发的数据包(FORWARD)
在进行路由选择后处理数据包(POSTROUTING)
[root@localhost ~]# iptables –F //清空防火墙策略
[root@localhost ~]# iptables –L //查看防火墙规则
[root@localhost ~]# service iptables save //保存防火墙规则tcp/ip
物理层、数据链路层MAC、传输层tcp/ip、网络层 数据包 、应用层
主机型、网络型
包过滤的工作层次
主要是网络层,针对IP数据包
体现在对包内的IP 地址,
规则链
规则作用:对数据包进行过滤或处理
链作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
默认5链
INPUT
OUTPUT
FORWARD
POSTROUTING
PRENROUTING
INPUT
OUTPUT
PORWARD
规则表
表的作用:容纳各种规则链
表的划分依据:防火墙规则的作用相似
默认4表
raw
mangle
nat
filer
规则表之间的顺序
raw->mangle->nat->filtor
规则链之间的顺序
入站:PRENROUTING->INPUT
pasv_enable=YES
pasv_min_port=24000
pasv_max_port=29000
target prot opt source destination
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpts:24000:29000
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpts:20:21
ACCEPT tcp — 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT tcp — 192.168.230.1 0.0.0.0/0 tcp dpt:22
ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 3
ACCEPT icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 0
DROP icmp — 0.0.0.0/0 0.0.0.0/0 icmp type 8
常用的显式匹配条件
| 多端口匹配 | -m multiport –sports //源端口-m multiport –dports //目标端口 |
|---|---|
| IP范围匹配 | -m iprange –src-range //IP范围-m iprange –dst-range //目标范围 |
| MAC地址匹配 | -m mac –mac-source //MAC地址源匹配-m mac –mac-destination //MAC地址目标匹配 |
| 状态匹配 | -m state –state |
数据包状态:
| NEW | 新的链接,将进行三次握手 |
|---|---|
| RELATED | 和一个已经建立的链接有关联性的数据包状态 //主要用于FTP服务里 |
| INVALID | 非法的,无效的 |
| ESTABLISHED | 已经进行三次握手链接 |