iptables完全控制
目标
- 搭建一套企业实际使用的防火墙规则
- 防攻击
- 数据包转发
- 实际使用意义
Netfilter
—Linux用于数据包处理,iptables会调用其使用
Hook point
—数据包在Netfilter中的挂载点
Netfilter与iptables关系
iptables规则组成
4表5链
表:filter、nat、mangle、raw
链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
作用:
mangle:修改数据包,改变包头内容(TTL、TOS、MARK)
raw:数据包状态跟踪分析
filter:访问控制、规则匹配
nat:地址转发
数据包在规则表、链匹配流程
具体规则
- 访问控制:ACCEPT、DROP、REJECT
- 改写数据包:SNAT、DNAT
- 信息记录:LOG
规则组成
iptables规则组成
场景应用
场景一
1 | iptables -I INPUT -p tcp dprot 80 -j ACCEPT |
待续。