摘要:
下面总结了5条套路,总结在此,以备后用: 1、规则的顺序非常重要。 如果报文已经被前面的规则匹配到,IPTABLES则会对报文执行对应的动作,通常是ACCEPT或者REJECT,报文被放行或拒绝以后,即使后面的规则也能匹配到刚才放行或拒绝的报文,也没有机会再对报文执行相应的动作了(前面规则的动作为L 阅读全文
摘要:
前文一直在介绍iptables的匹配条件,并没有对动作进行过总结,那么此处,我们就来总结一下iptables中的动作。 之前的举例中已经用到了一些常用动作,比如ACCEPT、DROP、REJECT等。 其实,"动作"与"匹配条件"一样,也有"基础"与"扩展"之分。 同样,使用扩展动作也需要借助扩展模 阅读全文
摘要:
我们一起来回顾一下之前的知识,在第一篇介绍iptables的文章中,我们就描述过防火墙的概念,我们说过,防火墙从逻辑上讲,可以分为主机防火墙与网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙: 往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 在前文的举例 阅读全文
摘要:
前文中,我们一直在定义规则,准确的说,我们一直在iptables的默认链中定义规则,那么此处,我们就来了解一下自定义链。 你可能会问,iptables的默认链就已经能够满足我们了,为什么还需要自定义链呢? 原因如下: 当默认链中的规则非常多时,不方便我们管理。 想象一下,如果INPUT链中存放了20 阅读全文
摘要:
前文中一直在强调一个概念:报文在经过iptables的链时,会匹配链中的规则,遇到匹配的规则时,就执行对应的动作,如果链中的规则都无法匹配到当前报文,则使用链的默认策略(默认动作),链的默认策略通常设置为ACCEPT或者DROP。 那么,当链的默认策略设置为ACCEPT时,如果对应的链中没有配置任何 阅读全文
摘要:
这篇文章我们就不多讲了,可以类比tcp扩展模块来做做实验,这里我们只是给出相应的例子 udp扩展常用的扩展匹配条件 --sport:匹配udp报文的源地址 --dport:匹配udp报文的目标地址 #示例iptables -t filter -I INPUT -p udp -m udp --dpor 阅读全文
摘要:
之前我们在讲tcp模块时讲了匹配条件--dport 等,没有讲到--tcp-flags这个匹配条件,这节我们单独来讲讲这个匹配条件的含义及用法。在讲之前 我们来聊聊关于tcp 头信息及三次握手的相关知识 上图展示了tcp头信息的结构,其中source port,destination port就是我 阅读全文