iptables之网络防火墙
防火墙,作用就是用于实现Linux下访问控制的功能,它分为硬件的或者软件的防火墙或者软件的防火墙两种,无论是在那个网络中,防火墙工作的地方一定是在网络的边缘,而我们的任务就是需要定义防火墙到底应如何工作,即判断防火墙的策略,规则,已达到让它对出入网络的IP,数据进行检测。
防火墙的策略
防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。为了让这些功能交替工作,我们制定出了“表”这个定义,来定义、区分各种不同的工作功能和处理方式。
我们现在用的比较多个功能有3个:
1.filter 定义允许或者不允许的
2.nat 定义地址转换的
3.mangle功能:修改报文原数据
来演示一个网络防火墙的实验
实验环境:
Firewall router: hostname firewall.magedu.com inside ip:192.168.153.7 outsite ip: 10.10.10.7
inside hostname: inside.magedu.com ip:192.168.153.101
outside hostname:outside.magedu.com ip:10.10.10.102
白名单默认都拒绝,只有写进去的在允许
测试
