日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

ubuntu系統(tǒng)關(guān)閉防火墻命令 ubuntu防火墻設(shè)置( 三 )

云知道

  • nat表
主要用于修改數(shù)據(jù)包的IP地址、端口號等信息(網(wǎng)絡(luò)地址轉(zhuǎn)換,如SNAT、DNAT、MASQUERADE、REDIRECT) 。屬于一個流的包(因?yàn)榘拇笮∠拗茖?dǎo)致數(shù)據(jù)可能會被分成多個數(shù)據(jù)包)只會經(jīng)過這個表一次 。如果第一個包被允許做NAT或masqueraded,那么余下的包都會自動地被做相同的操作,也就是說,余下的包不會再通過這個表 。表對應(yīng)的內(nèi)核模塊為 iptable_nat,包含三個鏈:
PREROUTING鏈:作用是在包剛剛到達(dá)防火墻時改變它的目的地址OUTPUT鏈:改變本地產(chǎn)生的包的目的地址POSTROUTING鏈:在包就要離開防火墻之前改變其源地址
  • mangle表
主要用于修改數(shù)據(jù)包的ToS(Type Of Service,服務(wù)類型)、TTL(Time To Live,生存周期)指以及為數(shù)據(jù)包設(shè)置mark標(biāo)記,以實(shí)現(xiàn)Qos(Quality Of Service,服務(wù)質(zhì)量)調(diào)整以及策略路由等應(yīng)用,由于需要相應(yīng)的路由設(shè)備支持,因此應(yīng)用并不廣泛 。包含五個規(guī)則鏈——PREROUTING,POSTROUTING,INPUT,OUTPUT,F(xiàn)ORWARD 。
  • raw表
是自1.2.9以后版本的iptables新增的表,主要用于決定數(shù)據(jù)包是否被狀態(tài)跟蹤機(jī)制處理 。在匹配數(shù)據(jù)包時,raw表的規(guī)則要優(yōu)先于其他表 。包含兩條規(guī)則鏈——OUTPUT、PREROUTING
iptables中數(shù)據(jù)包和4種被跟蹤連接的4種不同狀態(tài):
  • NEW:該包想要開始一個連接(重新連接或?qū)⑦B接重定向)
  • RELATED:該包是屬于某個已經(jīng)建立的連接所建立的新連接 。例如:FTP的數(shù)據(jù)傳輸連接就是控制連接所 RELATED出來的連接 。–icmp-type 0 ( ping 應(yīng)答) 就是–icmp-type 8 (ping 請求)所RELATED出來的 。
  • ESTABLISHED :只要發(fā)送并接到應(yīng)答,一個數(shù)據(jù)連接從NEW變?yōu)镋STABLISHED,而且該狀態(tài)會繼續(xù)匹配這個連接的后續(xù)數(shù)據(jù)包 。
  • INVALID:數(shù)據(jù)包不能被識別屬于哪個連接或沒有任何狀態(tài)比如內(nèi)存溢出,收到不知屬于哪個連接的ICMP錯誤信息,一般應(yīng)該DROP這個狀態(tài)的任何數(shù)據(jù) 。
鏈和表的關(guān)系
  • PREROUTING 的規(guī)則可以存在于:raw表,mangle表,nat表 。
  • INPUT 的規(guī)則可以存在于:mangle表,filter表,(centos7中還有nat表,centos6中沒有) 。
  • FORWARD 的規(guī)則可以存在于:mangle表,filter表 。
  • OUTPUT 的規(guī)則可以存在于:raw表mangle表,nat表,filter表 。
  • POSTROUTING 的規(guī)則可以存在于:mangle表,nat表 。
規(guī)則根據(jù)指定的匹配條件來嘗試匹配每個流經(jīng)此處的報文,一旦匹配成功,則由規(guī)則后面指定的處理動作進(jìn)行處理
匹配條件分為基本匹配條件與擴(kuò)展匹配條件
基本匹配條件:
源地址Source IP,目標(biāo)地址 Destination IP
擴(kuò)展匹配條件:
除了上述的條件可以用于匹配,還有很多其他的條件可以用于匹配,這些條件泛稱為擴(kuò)展條件,這些擴(kuò)展條件其實(shí)也是netfilter中的一部分,只是以模塊的形式存在,如果想要使用這些條件,則需要依賴對應(yīng)的擴(kuò)展模塊 。
源端口Source Port, 目標(biāo)端口Destination Port
處理動作
處理動作在iptables中被稱為target(這樣說并不準(zhǔn)確,我們暫且這樣稱呼),動作也可以分為基本動作和擴(kuò)展動作 。
此處列出一些常用的動作,之后的文章會對它們進(jìn)行詳細(xì)的示例與總結(jié):
o    ACCEPT:允許數(shù)據(jù)包通過 。o    DROP:直接丟棄數(shù)據(jù)包,不給任何回應(yīng)信息,這時候客戶端會感覺自己的請求泥牛入海了,過了超時時間才會有反應(yīng) 。o    REJECT:拒絕數(shù)據(jù)包通過,必要時會給數(shù)據(jù)發(fā)送端一個響應(yīng)的信息,客戶端剛請求就會收到拒絕的信息 。o    SNAT:源地址轉(zhuǎn)換,解決內(nèi)網(wǎng)用戶用同一個公網(wǎng)地址上網(wǎng)的問題 。o    MASQUERADE:是SNAT的一種特殊形式,適用于動態(tài)的、臨時會變的ip上 。o    DNAT:目標(biāo)地址轉(zhuǎn)換 。o    REDIRECT:在本機(jī)做端口映射 。o    LOG:在/var/log/messages文件中記錄日志信息,然后將數(shù)據(jù)包傳遞給下一條規(guī)則,也就是說除了記錄以外不對數(shù)據(jù)包做任何其他操作,仍然讓下一條規(guī)則去匹配 。

推薦閱讀