|
7.2.1 规则链与策略 在iptables命令中设置数据过滤或处理数据包的策略叫做规则,将多个规则合成一个链。
举例来说:小区门卫有两条的规则,将这两个规则可以合成一个规则链: 遇到外来车辆需要登记。
严禁快递小哥进入社区。 但是光有策略还不能保证社区的安全,我们需要告诉门卫(iptables)这个策略(规则链)是作用于哪里的,并赋予安保人员可能的操作有这些,如:“允许”,“登记”,“拒绝”,“不理他”,对应到iptables命令中则常见的控制类型有: ACCEPT:允许通过.
LOG:记录日志信息,然后传给下一条规则继续匹配.
REJECT:拒绝通过,必要时会给出提示.
DROP:直接丢弃,不给出任何回应. 其中REJECT和DROP的操作都是将数据包拒绝,但REJECT会再回复一条“您的信息我已收到,但被扔掉了”。
通过ping命令测试REJECT情况会是这样的: [root@localhost ~]# ping -c 2 192.168.10.10 PING 192.168.10.10 (192.168.10.10) 56(84) bytesof data. From 192.168.10.10 icmp_seq=1 Destination PortUnreachable From 192.168.10.10 icmp_seq=2 Destination PortUnreachable --- 192.168.10.10 ping statistics --- 2 packets transmitted, 0 received, +2 errors,100% packet loss, time 3002ms 但如果是DROP则不予响应: [root@localhost ~]# ping -c 4 192.168.10.10 PING 192.168.10.10 (192.168.10.10) 56(84) bytesof data. --- 192.168.10.10 ping statistics --- 4 packets transmitted, 0 received, 100% packetloss, time 3000ms 而规则链则依据处理数据包的位置不同而进行分类: PREROUTING:在进行路由选择前处理数据包
INPUT:处理入站的数据包
OUTPUT:处理出站的数据包
FORWARD:处理转发的数据包
POSTROUTING:在进行路由选择后处理数据包 Iptables中的规则表是用于容纳规则链,规则表默认是允许状态的,那么规则链就是设置被禁止的规则,而反之如果规则表是禁止状态的,那么规则链就是设置被允许的规则。 raw表:确定是否对该数据包进行状态跟踪 mangle表:为数据包设置标记 nat表:修改数据包中的源、目标IP地址或端口 filter表:确定是否放行该数据包(过滤) 规则表的先后顺序:raw→mangle→nat→filter
后面的内容请访问下面的链接!!
转载:《linux就该这么学》 http://www.linuxprobe.com/chapter-07/
| 
帐号登录
QQ登录
微信登录
发表于 2016-2-19 13:33:34
