对iptables的理解

对iptables的理解

   张吉吉     2019年9月29日 00:19     1977    

1、要知道iptables根本不是linux的防火墙,这只是一个代理工具,就是一个工具,而真正的核心是netfilter。真正起作用的是内核中的netfilter的框架,这是一个安装框架。


2、iptables+netfilter才真正狗造成了防火墙,以供用户使用。


3、5个链

prerouting\input\forward\output\postrouting


4、四张表

filter:主管包的过滤,防火墙

nat:负责网络地址的转换

mangle:拆解报文,做出修改,重新封装。

raw:关闭nat表上的连接追踪机制。


5、(1)在用linux ping一个不存在的ip的时候返回

From 192.168.0.215 icmp_seq=1 Destination Host Unreachable

用windows去ping一个不存在的ip的时候返回

来自 192.168.0.132 的回复: 无法访问目标主机。

(2)用linux ping一个DROP掉包的ip的时候返回

一直都是空的

用windows ping一个DROP掉包的ip的时候返回

请求超时

DROP是不能返回状态的。

(3)用linux ping一个REJECT掉包的ip的时候返回

From 192.168.0.216 icmp_seq=4 Destination Port Unreachable

用windows ping一个REJECT掉包的ip的时候返回

来自 192.168.0.216 的回复: 无法连到端口。

但是这里如果是REJECT的包的话,是可以返回不同类型的回复

icmp-net-unreachable,

icmp-host-unreachable,

icmp-port-unreachable,

icmp-proto-unreachable,

icmp-net-prohibited,

icmp-host-prohibited

icmp-admin-prohibited

默认的是标红的那个

所以返回的信息还是很不一样的,通过返回的信息可以稍微判断出主机的状态。


6、如何保存配置文件

(1)在rh6的版本的时候,用的就是iptables进行管理的,

service iptables save就可以保存到/etc/sysconfig/iptables这个文件中

(2)在rh7的版本统一的使用firewalld进行管理,但是根本还是iptables.

并且没有了配置文件/etc/sysconfig/iptables,但是倒是有iptables-config这个管理文件,不知道是什么意图,但是可以安装iptables.

yum install iptables iptables-services,就如同6版本一样了。

如果不进行安装的话,可以使用iptables-save去保存一份配置文件,用iptables-reload去恢复配置。


文章评论

0

其他文章