Linux 网络访问控制[通俗易懂]

大家好，又见面了，我是你们的朋友全栈君。

网络访问控制：netfilter模块，可以对数据进行允许、丢弃、修改操作 数据包分类：源IP地址、目标IP地址、使用接口、使用协议、端口号、连接状态 过滤点：input、forward、output、prerouting、postrouting 功能点：filter、nat、mangle

规则： iptables的基本语法格式 iptables [-t 表名] 命令选项 ［链名］ ［条件匹配］ ［-j 目标动作或跳转］

防火墙处理数据包的四种方式 ACCEPT 允许数据包通过 DROP 直接丢弃数据包，不给任何回应信息 REJECT 拒绝数据包通过，必要时会给数据发送端一个响应的信息。 LOG 在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则

IPTables配置 最好配置第一条iptables规则为允许来自客户端主机的SSH。 iptables配置文件：/etc/sysconfig/iptables 通过iptables添加的规则不会永久保存。如果需要永久保存，可以执行service iptables save将iptables规则保存在/etc/sysconfig/iptables。 CentOS/RHEL系统会带有默认iptables规则，保存自定义规则会覆盖这些默认规则。

iptables通过规则对数据进行访问控制 一个规则使用一行配置 规则按顺序排列 当收到、发出、转发数据包时，使用规则对数据包进行匹配，按规则顺序进行逐条匹配 数据包按照第一个匹配上的规则执行相关动作：丢弃、放行、修改 没有匹配规则，则使用默认动作（每个chain拥有各自的默认动作）

常用功能： 做为服务器使用：过滤到本机的流量、过滤到本机发出的流量 作为路由器使用：过滤转发的流量、对转发数据的源/目标IP进行修改

基本操作： 列出现有iptables规则：iptables -L 插入一个规则：iptables -I INPUT 3 -p tcp –dport 22 -j ACCEPT 删除一个iptables规则：iptables -D INPUT 3 iptables -D INPUT -s 192.168.1.1 -j DROP 删除所有规则：iptables -F

匹配参数： 基于IP地址：-s 192.168.0.1 -d 192.168.0.2 基于接口：-i eth0 -o eth1 基于协议及端口：-p tcp –dport 22 -p udp –sport 53 -p icmp 取反参数：’l’ -s ‘l’ 192.168.1.1/24

常用NAT: 通过NAT进行跳转：iptables -t nat -A PREROUTING -p tcp –dport 80 -j DNAT –to-dest 192.168.1.10 通过NAT对出向数据进行跳转：iptables -t nat -A OUTPUT -p tcp –dport 80 -j DNAT –to-dest 192.168.1.10:8080 通过NAT对数据流进行伪装：iptables -t nat -A PREROUTING -o eth0 -j MASQUERADE 通过NAT隐藏源IP地址：iptables -t nat -A PREROUTING -j SNAT –to-source 1.2.3.4

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/163422.html原文链接：https://javaforall.cn