|
一、前序安全防火墙 【主机】selinuxpamnis防火墙:软件 Windows:ISA LINUX iptables硬件 cisco pix ---》asa 天融信 ---》网络安全卫士 H3C ---->SECPATH 神州数码 --也有自己的防火墙没有规则,说明防火墙没有启动。setup,如果界面出现乱码,vim /etc/sysconfig/i18n 语言禁掉启动之后,默认是有规则的。一般都先去除默认规则,然后,按自己要求,重设。去除默认规则如下:setup二、iptables是什么?通过编译内核知道,用户空间是通过构造函数来调用内核空间的已定义的东西了。表格nat POSTROUTING 【路由判断之后,比对过路由表之后,已经判断从哪个接口出了】 SNAT PREROUTING 【路由判断之前,还没有比对路由表了】 DNAT OUTPUT 一般不用filter INPUT OUTPUT FORWARDmangle(群集会调用) QOSraw上面是针对nat表,下面是针对filter表。三、iptables的分类层次 网络层 【包过滤】 三层 来源 目标 icmp arp 四层 tcp udp 源端口 目标端口 tcp标志位 【syn ack fin rst】 支持应用多 过滤有限 应用层 代理网关【squid】 三层 来源 目标 icmp arp 四层 tcp udp 源端口 目标端口 tcp标志位 【syn ack fin rst】 应用层 协议 【http ftp ssh telnet qq xunlei pplive】 网址 sina 域名 .sina.com.cn 支持应用少 过滤灵活 帐号四、iptables举例分清:走的时候换的是来源,回来换的是目的。例1:snat的应用之访问外网webping 192.168.101.254 不通有很大的延迟,可以ping通了!xp下route print查看路由表 看到已经有数据包匹配了~这里的http://192.168.101.254 管理页面以下:个人手写笔记!‘例2:DNAT 的使用测试:远程打开给管理员一个密码原理的windows server 2003 的那台机器,访问远程到xp上看:在内网xp上,访问http://192.168.101.6在internet的那台101.6机器上用netstat –an 查看来源ip是谁这里因为做了SNAT,所以,来源ip为192.168.101 .3例3:如果是pppoe ,每天的ip都是不同的,就不能只固定192.168.101.3一个了,该怎么办?在内网ping 192.168.101.6是通的,看看有没有数据包匹配
(以上内容不代表本站观点。) --------------------------------- |
本網站是"非商業"(non-commercial)。
