跳至內容
阿里BaBa電腦筆記
使用者工具
登入
網站工具
工具
顯示頁面
舊版
反向連結
最近更新
多媒體管理器
網站地圖
登入
最近更新
多媒體管理器
網站地圖
足跡:
linux:security:netfilter
本頁是唯讀的,您可以看到原始碼,但不能更動它。您如果覺得它不應被鎖上,請詢問管理員。
======NetFilter防火牆(未完成...)====== 先正名:**NetFilter**就是俗稱的iptable。事實上,iptable只是Linux防火牆的一個介面,真正幕後運作是以Kernel-Base的**NetFilter**,它是Linux kernel的一部分,因此執行效能是當然很好。 =====看圖說故事:===== {{:linux:iptables_small.png?500|}}圖片來源:[[http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/index.html|RedHat - Security Guide]] * **chain**:就是圖中藍色部分。 =====iptables Syntax===== * 往下新增規則 iptables -t [filter|nat|mangle] -A CHAIN <rule> -j <ACCEPT|DROP|REJECT> * 指定在第幾筆往上插入規則 iptables -t [filter|nat|mangle] -I CHAIN number <rule> -j <ACCEPT|DROP|REJECT> * 指定刪除第幾筆規則 iptables -D CHAIN number * 刪除指定CHAIN的所有規則 iptables -F CHAIN =====iptables 之 rule Syntax===== * 來源ip或網域:<code>-s 192.168.1.55 或 -s 192.168.1.0/24 </code> * 目地ip或網域:<code>-d 192.168.1.55 或 -d 192.168.0.0/24 </code> * udp/tcp 及來源阜口及目的阜口<code>-p <udp|tcp> --dport portNmuber 或 -p <udp|tcp> --sport portnumber</code> * icmp <code>-p icmp --icmp-type icmp類型</code> * 進出介面<code>-i eth0 (從哪個介面進來) 或 -o eth0 (從哪個介面出去)</code> * 連線追蹤<code>-m state --state <NEW|ESTABLISHED|RELATED|INVALID> NEW 建立連線的狀態 ESTABLISHD 已成功連線的狀態 RELATED 封包是與我們主機發送出去的封包有關 ; 常和 ESTABLISHD,RELATED 一起運用 INVAL 無效的封包,例如資料破損的封包狀態 </code> =====Table與Chain關係===== 網路封包首先必須經過mangle table,nat table,最後才是filter table - filter(iptable預設) * INPUT<code>處理流入的封包。</code> * FORWARD<code>處理流入的封包,經防火牆router table判斷非本機所要封包,轉送出去。</code> * OUTPUT<code>處理流出的封包。</code> - nat * PREROUTING<code>處理流入的封包,未經防火牆路由之前。與DNAT有關:遠端連線者,存取防火牆內部LAN的伺服器過程</code> * OUTPUT<code>處理未經防火牆路由之前的流出封包</code> * POSTROUTING<code>處理防火牆路由之後的流出封包。與SNAT有關:就是典型家用ip分享器(router)讓內部網路都能連上網路的功用</code> - mangle(可以隨意改變封包表頭) * PREROUTING * FORWARD * INPUT * POSTROUTING ======參考資料====== - [[http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Security_Guide/sect-Security_Guide-IPTables.html|RedHat - Security Guide 2.6. IPTables]] - [[http://linux.vbird.org/linux_server/0250simple_firewall.php|鳥哥 防火牆與 NAT 伺服器]]
linux/security/netfilter.txt
· 上一次變更: 2013/07/06 01:28 (外部編輯)
頁面工具
顯示頁面
舊版
反向連結
回到頁頂
