linux网络_防火墙-iptables基础

定义：

防火墙：是用于实现Linux下访问控制的功能。

分类：硬件或者软件防火墙。

三、4层的防火墙，叫网络层的防火墙；7层的防火墙，即代理层的网关。

TCP/IP的七层模型，第三层是网络层，三层的防火墙会在这层对源地址和目标地址进行检测。

对于七层的防火墙，无论你源端口或者目标端口，源地址或者目标地址是什么，都将对你全部的东西进行检查。

因此，对于设计原理来说，七层防火墙更加安全，可是这却带来了效率更低。

不管是在哪一个网络中，防火墙工做的地方必定是在网络的边缘。而咱们的任务就是须要去定义到底防火墙如何工做，即防火墙的策略，规则，以达到让它对出入网络的IP、数据进行检测。

原理：

工做在用户空间中，定义规则的工具，自己并不算是防火墙。它们定义的规则，可让在内核空间当中的netfilter来读取。而放入内核的地方必需要是特定的位置，必须是tcp/ip的协议栈通过的地方。而这个tcp/ip协议栈必须通过的地方，能够实现读取规则的地方就叫作 netfilter.(网络过滤器)

在内核空间中选择了5个位置：

    1.内核空间中：从一个网络接口进来，到另外一个网络接口去的

    2.数据包从内核流入用户空间的

    3.数据包从用户空间流出的

    4.进入/离开本机的外网接口

    5.进入/离开本机的内网接口

这五个位置也被称为五个钩子函数（hook functions）,也叫五个规则链。
1.PREROUTING (路由前)
2.INPUT (数据包流入口)
3.FORWARD (转发网卡)
4.OUTPUT(数据包出口)
5.POSTROUTING（路由后）
       NetFilter规定的五个规则链，任何一个数据包，只要通过本机，必将通过这五个链中的其中一个链。  
 

用的比较多个功能有3个：

1.filter 定义容许或者不容许的

2.nat 定义地址转换的 

3.mangle功能:修改报文原数据

filter来说通常只能作在3个链上：INPUT ，FORWARD ，OUTPUT
nat来说通常也只能作在3个链上：PREROUTING ，OUTPUT ，POSTROUTING
mangle则是5个链均可以作：PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING

规则的写法:

 iptables定义规则的方式比较复杂:
 格式：iptables [-t table] COMMAND chain CRETIRIA -j ACTION
 -t table ：3个filter nat mangle
 COMMAND：定义如何对规则进行管理
 chain：指定你接下来的规则究竟是在哪一个链上操做的，当定义策略的时候，是能够省略的。 5个链
 CRETIRIA:指定匹配标准
 -j ACTION :指定如何进行处理

 好比：不容许172.16.0.0/24的进行访问。
 iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP
 固然你若是想拒绝的更完全：
 iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

 iptables -L -n -v#查看定义规则的详细信息
 

详解COMMAND:

1.链管理命令（这都是当即生效的）
-P :设置默认策略的（设定默认门是关着的仍是开着的）
默认策略通常只有两种
iptables -P INPUT (DROP|ACCEPT)  默认是关的/默认是开的
好比：
iptables -P INPUT DROP 这就把默认规则给拒绝了。而且没有定义哪一个动做，因此关于外界链接的全部规则包括Xshell链接之类的，远程链接都被拒绝了。
        -F: FLASH，清空规则链的(注意每一个链的管理权限)
    iptables -t nat -F PREROUTING
    iptables -t nat -F 清空nat表的全部链
        -N:NEW 支持用户新建一个链
            iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
        -X: 用于删除用户自定义的空链
            使用方法跟-N相同，可是在删除以前必需要将里面的链给清空昂了
        -E：用来Rename chain主要是用来给用户自定义的链重命名
            -E oldname newname
         -Z：清空链，及链中默认规则的计数器的（有两个计数器，被匹配到多少个数据包，多少个字节）
            iptables -Z :清空
 
2.规则管理命令
         -A：追加，在当前链的最后新增一个规则
         -I num : 插入，把当前规则插入为第几条。
            -I 3 :插入为第三条
         -R num：Replays替换/修改第几条规则
            格式：iptables -R 3 …………
         -D num：删除，明确指定删除第几条规则
        
3.查看管理命令 “-L”
 附加子命令
 -n：以数字的方式显示ip，它会将ip直接显示出来，若是不加-n，则会将ip反向解析成主机名。
 -v：显示详细信息
 -vv
 -vvv :越多越详细
 -x：在计数器上显示精确值，不作单位换算
 --line-numbers : 显示规则的行号
 -t nat：显示全部的关卡的信息
 
五：详解匹配标准

1.通用匹配：源地址目标地址的匹配
 -s：指定做为源地址匹配，这里不能指定主机名称，必须是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
并且地址能够取反，加一个“!”表示除了哪一个IP以外
 -d：表示匹配目标地址
 -p：用于匹配协议的（这里的协议一般有3种，TCP/UDP/ICMP）
 -i eth0：从这块网卡流入的数据
流入通常用在INPUT和PREROUTING上
 -o eth0：从这块网卡流出的数据
流出通常在OUTPUT和POSTROUTING上
        
2.扩展匹配
2.1隐含扩展：对协议的扩展
    -p tcp :TCP协议的扩展。通常有三种扩展
--dport XX-XX：指定目标端口,不能指定多个非连续端口,只能指定单个端口，好比
--dport 21  或者 --dport 21-23 (此时表示21,22,23)
--sport：指定源端口
--tcp-fiags：TCP的标志位（SYN,ACK，FIN,PSH，RST,URG）
    对于它，通常要跟两个参数：
1.检查的标志位
2.必须为1的标志位
--tcpflags syn,ack,fin,rst syn   =    --syn
表示检查这4个位，这4个位中syn必须为1，其余的必须为0。因此这个意思就是用于检测三次握手的第一次包的。对于这种专门匹配第一包的SYN为1的包，还有一种简写方式，叫作--syn
    -p udp：UDP协议的扩展
        --dport
        --sport
    -p icmp：icmp数据报文的扩展
        --icmp-type：
echo-request(请求回显)，通常用8 来表示
因此 --icmp-type 8 匹配请求回显数据包
echo-reply （响应的数据包）通常用0来表示
                  
2.2显式扩展（-m）
     扩展各类模块
      -m multiport：表示启用多端口扩展
      以后咱们就能够启用好比 --dports 21,23,80
                  
        
六：详解-j ACTION

 经常使用的ACTION：  DROP：悄悄丢弃 通常咱们多用DROP来隐藏咱们的身份，以及隐藏咱们的链表  REJECT：明示拒绝  ACCEPT：接受 custom_chain：转向一个自定义的链  DNAT  SNAT  MASQUERADE：源地址假装  REDIRECT：重定向：主要用于实现端口重定向  MARK：打防火墙标记的  RETURN：返回 在自定义链执行完毕后使用返回，来返回原规则链。