1、linux中的iptables主机型防火墙工作在2层(识别MAC地址)、3(识别ip)、4层(识别端口)、对TCP/IP数据包进行过滤和限制、属于包过滤型防火墙(除非编译内核才可以使iptables支持7层)
缺点:
- 防火墙可以过滤互联网的数据包、但无法过滤内部网络的数据包
- 电脑本身的操作系统的漏洞、使入侵者可以利用这些漏洞绕过防火墙
- 防火墙无法有效的阻挡病毒的攻击、尤其是应隐藏再数据中的病毒(除非硬件防火墙是可以识别的-硬件防火有7层协议可解析应用层的数据)
- 正常情况下、所有互联网的数据包软件都经过防火墙的过滤、这将造成网络交通的瓶颈、例如在攻击型的数据包出现时、攻击者不寄出数据包、让防火墙疲于过滤数据包、而使一些合法的数据包软件无法正常进出防火墙
#PS:没有绝对安全的操作系统、虽然防火墙有这些缺点但还是能阻挡大多数来自于外网的攻击
四个表:-- 相当于一个保安小队
- filter过滤表
- nat转换表(网络地址转换network address transform) - 内部局域网
- mangle碾压表 - 涉及数据包跟踪(少用)
- 流量整型的表、路由标记用的表、改TOS、TTL、Mark标记策略路由等、内核模块iptables_mangle
- raw表 - 用作流量跟踪的表、数据包跟踪 iptables_raw
#表的先后顺序:raw -》 mangle -》 nat -》 filter
五个链:-- 相当于小队中的各个保安员
- PREROUTING 预路由 - 修改目标地址
- POSTROUTING 已路由 - 修改源地址
- INPUT 入站 -访问本机数据包进行过滤
- OUTPUT 出站 - 本机访问互联网的数据包进行过滤
- FORWARD 转发 - 途径本机的数据包进行过滤
链的顺序:入站 -》 转发 -》 出站
策略:
- 192.168.19.12 DROP #禁止通过
- 192.168.19.100 ACCEPT #允许通过
规则的顺序:ACL逐条匹配、匹配即停止、每一个流量进来都要从上到下逐一匹配
