Day11 后端笔记 | 青训营笔记

132 阅读2分钟

@[TOC]

防火墙的分类

  • 软件防火墙 : 对数据包进行过滤 , 软件包的传送、转发 .. 是否允许某一个IP、 端口 加入主机。
    • 包过滤防火墙:网络层 的限制 、 控制流 、 控制访问广 、 防御效果好.
    • 应用层防火墙 : 主要控制行为 (用户 、 访问时间 。。)
  • 硬件防火墙 : 防御 DDOS 攻击 、 大流量的攻击 、 同时兼容软件防火墙的一部分。
  • iptable: 主要是包过滤防火墙 , 对IP 端口、TCP、UDP、ICMP协议进行控制。

在这里插入图片描述

iptables 的表和链

在这里插入图片描述

  • filter : 进行过滤
  • nat : 网络地址转换 (内网 -> 公网 用户才能进行访问)
  • input:(客户端(用户) - > 服务端 方向为:进入 ) 多数对这个进行操作
  • output 返回 forward分享
  • prerotting : 路由器转换、线路由器之前进行预处理。

filter过滤

在这里插入图片描述

  • iptables -vnL 查询filter 表里的具体规则链 和详细信息
  • 规则链 : chain 过滤方向 input policy 默认过滤规则 注意大小写 因为显示了域名 所以很慢
  • -A 在已有的规则链中添加 -I 插入到第一条规则链 在这里插入图片描述 在这里插入图片描述

在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述

  • iptables 设置原则 ① 默认允许 只阻止 某些IP (软件测试的情况) ② 全部阻止 ,只允许我们某一些IP进行访问 。

    在这里插入图片描述

  • -D 删除指定规则 在这里插入图片描述 在这里插入图片描述

  • 因为 阻止INPUT : 客户端 -》 服务端的处理 ,如果没有阻止一些端口 , 那么会对CPU造成开销。 阻止 OUTPUT : 服务端 -> 客户端 : 数据表——》 主机 ——》 客户端 被阻止了,数据被丢掉 不合理!!

  • -i 设置 in出去网络接口(网卡)图中对于eth0

  • -o 设置out出去网络接口 -p + 协议(tcp udp icmp ) 处理协议 --dport 协议接口
    在这里插入图片描述

在这里插入图片描述

nat表 (网络地址装换表)

在这里插入图片描述

  • PREROUTING 一般使用在 公司 内网的服务器 映射到外网 。
  • POSTROUTING 公司内网通过某一个节点统一代理进行上网 内网 转外网 待补充

iptables 的配置文件

  • 使设置 永久保存 ! 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述 在这里插入图片描述