iptables之網絡防火牆
防火牆,作用就是用於實現Linux下訪問控制的功能,它分爲硬件的或者軟件的防火牆或者軟件的防火牆兩種,無論是在那個網絡中,防火牆工作的地方一定是在網絡的邊緣,而我們的任務就是需要定義防火牆到底應如何工作,即判斷防火牆的策略,規則,已達到讓它對出入網絡的IP,數據進行檢測。
防火牆的策略
防火牆策略一般分爲兩種,一種叫“通”策略,一種叫“堵”策略,通策略,默認門是關着的,必須要定義誰能進。堵策略則是,大門是洞開的,但是你必須有身份認證,否則不能進。所以我們要定義,讓進來的進來,讓出去的出去,所以通,是要全通,而堵,則是要選擇。當我們定義的策略的時候,要分別定義多條功能,其中:定義數據包中允許或者不允許的策略,filter過濾的功能,而定義地址轉換的功能的則是nat選項。爲了讓這些功能交替工作,我們制定出了“表”這個定義,來定義、區分各種不同的工作功能和處理方式。
我們現在用的比較多個功能有3個:
1.filter 定義允許或者不允許的
2.nat 定義地址轉換的
3.mangle功能:修改報文原數據
來演示一個網絡防火牆的實驗
實驗環境:
Firewall router: hostname firewall.magedu.com inside ip:192.168.153.7 outsite ip: 10.10.10.7
inside hostname: inside.magedu.com ip:192.168.153.101
outside hostname:outside.magedu.com ip:10.10.10.102
白名單默認都拒絕,只有寫進去的在允許
測試