一、前序
安全
防火墙 【主机】
selinux
pam
nis
防火墙:
软件 Windows:ISA LINUX iptables
硬件 cisco pix ---》asa
天融信 ---》网络安全卫士
H3C ---->SECPATH
神州数码 --也有自己的防火墙
没有规则,说明防火墙没有启动。
setup,如果界面出现乱码,vim /etc/sysconfig/i18n 语言禁掉
启动之后,默认是有规则的。
一般都先去除默认规则,然后,按自己要求,重设。去除默认规则如下:setup
二、iptables是什么?
通过编译内核知道,用户空间是通过构造函数来调用内核空间的已定义的东西了。
表格
nat POSTROUTING 【路由判断之后,比对过路由表之后,已经判断从哪个接口出了】 SNAT
PREROUTING 【路由判断之前,还没有比对路由表了】 DNAT
OUTPUT 一般不用
filter INPUT OUTPUT FORWARD
mangle(群集会调用) QOS
raw
上面是针对nat表,下面是针对filter表。
三、iptables的分类
层次
网络层 【包过滤】 三层 来源 目标 icmp arp
四层 tcp udp 源端口 目标端口
tcp标志位 【syn ack fin rst】
支持应用多 过滤有限
应用层 代理网关【squid】
三层 来源 目标 icmp arp
四层 tcp udp 源端口 目标端口
tcp标志位 【syn ack fin rst】
应用层 协议 【http ftp ssh telnet qq xunlei pplive】
网址 sina
域名 .sina.com.cn
支持应用少 过滤灵活
帐号
四、iptables举例
分清:走的时候换的是来源,回来换的是目的。
例1:snat的应用之访问外网web
ping 192.168.101.254 不通
有很大的延迟,可以ping通了!
xp下route print查看路由表
看到已经有数据包匹配了~
这里的http://192.168.101.254 管理页面
以下:个人手写笔记!‘
例2:DNAT 的使用
测试:远程打开
给管理员一个密码
原理的windows server 2003 的那台机器,访问
远程到xp上看:
在内网xp上,访问http://192.168.101.6
在internet的那台101.6机器上用netstat –an 查看来源ip是谁
这里因为做了SNAT,所以,来源ip为192.168.101 .3
例3:如果是pppoe ,每天的ip都是不同的,就不能只固定192.168.101.3一个了,该怎么办?
在内网ping 192.168.101.6是通的,看看有没有数据包匹配
本文转自 gjp0731 51CTO博客,原文链接:http://blog.51cto.com/guojiping/1250679
