tcp/ip協(xié)議網(wǎng)絡(luò)上一個(gè)節(jié)點(diǎn)，大門洞開(kāi)，套接字會(huì)話，需要ip和端口，檢查套接字報(bào)文，套接字和tcp/ip協(xié)議差別。主機(jī)防火墻，工作在主機(jī)上。進(jìn)入網(wǎng)卡，到內(nèi)核中的tcp/ip協(xié)議棧，工作在tcp/ip協(xié)議棧上，在一些協(xié)議棧上某些位置放上卡哨，在設(shè)定檢查規(guī)則。

在桃江等地區(qū)，都構(gòu)建了全面的區(qū)域性戰(zhàn)略布局，加強(qiáng)發(fā)展的系統(tǒng)性、市場(chǎng)前瞻性、產(chǎn)品創(chuàng)新能力，以專注、極致的服務(wù)理念，為客戶提供成都網(wǎng)站制作、網(wǎng)站建設(shè) 網(wǎng)站設(shè)計(jì)制作定制網(wǎng)站,公司網(wǎng)站建設(shè),企業(yè)網(wǎng)站建設(shè),品牌網(wǎng)站制作,成都全網(wǎng)營(yíng)銷,外貿(mào)營(yíng)銷網(wǎng)站建設(shè),桃江網(wǎng)站建設(shè)費(fèi)用合理。

網(wǎng)絡(luò)防火墻，在網(wǎng)絡(luò)外部。

防火墻：工作與主機(jī)或網(wǎng)絡(luò)邊緣，對(duì)于進(jìn)出的報(bào)文根據(jù)定義的規(guī)則做檢查，進(jìn)而對(duì)被規(guī)則匹配到的報(bào)文最為相應(yīng)處理的套件；

網(wǎng)絡(luò)層防火墻，檢查報(bào)文的幀首部，IP首部，tcp首部，不能對(duì)數(shù)據(jù)內(nèi)容進(jìn)行檢查。

iptables/netfilter ，netfilter就是tcp/ip協(xié)議棧上的卡哨，用iptables加入規(guī)則

規(guī)則優(yōu)先級(jí)從高到低以及能工作的卡哨位置：

 

                raw ：目標(biāo)是關(guān)閉nat表上啟動(dòng)的連接追蹤功能，PREROUTING OUTPUT

        mangle；修改tcp/ip首部的一些特性，任意位置。

        nat：地址轉(zhuǎn)換,POSTROUTING PREROUTING OUTPUT

        filter；過(guò)濾 INPUT FORWORD OUTPUT

INPUT：在數(shù)據(jù)進(jìn)入應(yīng)用空間時(shí)設(shè)定的卡哨也叫做鏈。

FORWORD：主機(jī)路由過(guò)程的卡哨

OUTPUT：數(shù)據(jù)從應(yīng)用程序發(fā)出時(shí)經(jīng)過(guò)的卡哨

PREROUTING：數(shù)據(jù)進(jìn)入網(wǎng)卡進(jìn)行路由策略前的卡哨

POSTROUTING：數(shù)據(jù)最后選擇網(wǎng)卡要離開(kāi)前的卡哨

數(shù)據(jù)報(bào)文流程：跟本機(jī)內(nèi)部通信，PREROUTING INPUT OUTPUT POSTROUTING

由本機(jī)轉(zhuǎn)發(fā)的數(shù)據(jù):PREROUTING FORWORD POSTROUTING

注意數(shù)據(jù)報(bào)文的流向，決定源IP目標(biāo)IP。

iptables：用戶空間的工具，寫規(guī)則，并自動(dòng)發(fā)往netfilter，立即生效。

基本語(yǔ)法

iptables 【-t TABLE】 –A 鏈名 匹配條件 –j 處理目標(biāo)

默認(rèn)的表filter

COMMAND：答題上有下邊幾種

1.對(duì)鏈上規(guī)則的一些命令-A：在后面加一條規(guī)則

                              -I：插入一條新規(guī)則

                             -D：刪除規(guī)則

                             -R：替換規(guī)則

                             -L：查詢規(guī)則 –L -n：數(shù)字格式顯示地址和端口。-L -v：詳細(xì)格式 --line-numbers顯示規(guī)則行號(hào) –x 不要對(duì)計(jì)數(shù)器計(jì)數(shù)結(jié)果做單位換算，顯示精確值。

2.對(duì)鏈的一些命令：-F ：清空規(guī)則鏈

                        -N：自建一個(gè)鏈，只能被調(diào)用

                        -X刪除一個(gè)自定義鏈

                        -Z計(jì)數(shù)器歸零

                        -P：設(shè)定默認(rèn)策略，對(duì)filter表來(lái)講，默認(rèn)規(guī)則為ACCEPT 或者DROP

                        -E：重命名自定義鏈

iptables 【-t TABLE】 –A 鏈名 匹配條件 –j 處理目標(biāo)

匹配條件：通用匹配

        -s 地址：指定報(bào)文源IP地址匹配范圍：可以是IP也可以是網(wǎng)絡(luò)地址，可以用！取反。

         -d地址：報(bào)文目標(biāo)ip地址

        -p協(xié)議，指定匹配報(bào)文的協(xié)議類型，一般tcp udp icmp

         -i：數(shù)據(jù)報(bào)文流入網(wǎng)卡：只能作用在數(shù)據(jù)傳入的前半部分PREROUTING INPUT FORWORD

        -o：數(shù)據(jù)流出網(wǎng)卡:只能作用在數(shù)據(jù)傳入的后半部分 FORWORD OUTPUT POSTROUTING

擴(kuò)展匹配調(diào)用netfilter 用-m

      隱式擴(kuò)展：當(dāng)使用-p {tcp|udp|icmp}中的一種時(shí)默認(rèn)調(diào)用了對(duì)應(yīng)模塊，可以直接使用擴(kuò)展選項(xiàng)

       -p tcp對(duì)tcp/ip協(xié)議生效：--sport指定源端口 –dport 目標(biāo)端口

                                        --tcp-flags syn，ack，rst，fin  syn all（全選，或者值都為1） none（值都為0）

                                         --tcp-flags syn，ack，rst，fin  syn          這是定義tcp第一次握手

                                         --syn  ALL                                            也可以定義tcp第一次握手

       -p icmp主要限制ping的 ：--icmp-type 8是能請(qǐng)求報(bào)文類型，0是指響應(yīng)的報(bào)文類型

     顯式擴(kuò)展：必須明確指出使用哪個(gè)模塊進(jìn)行擴(kuò)展，才能使用擴(kuò)展選項(xiàng)

                -m 擴(kuò)展模塊名稱（在iptables和netfilter上都要有這個(gè)模塊）

               1)multiport用于匹配非連續(xù)或者連續(xù)端口，對(duì)多指定15個(gè)端口

                     --sports 【port，port：port】指定源端口

                      --dports目標(biāo)端口

                      --ports源和目標(biāo)都包含

iptables -I INPUT -s 192.168.0.0/16 -d 192.168.147.128 -p tcp -m multiport --dports 22,80 -j ACCEPT
是主機(jī)防火墻，在目標(biāo)主機(jī)上添加，實(shí)現(xiàn)特定ip可以連接主機(jī)的http和ssh服務(wù)
沒(méi)指定表就默認(rèn)在filter表上實(shí)現(xiàn)過(guò)濾，在INPUT鏈上從192.168網(wǎng)段到192.168.147.128的tcp報(bào)文使用multiport模塊指定192.168.147.128主機(jī)上的端口可以接受報(bào)文

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)題目：iptables大體了解-創(chuàng)新互聯(lián)
標(biāo)題URL：http://www.rwnh.cn/article8/jopop.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供關(guān)鍵詞優(yōu)化、網(wǎng)站建設(shè)、全網(wǎng)營(yíng)銷推廣、品牌網(wǎng)站設(shè)計(jì)、營(yíng)銷型網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)