1、linux中的iptables主机型防火墙工作在2层(识别MAC地址)、3(识别ip)、4层(识别端口)、对TCP/IP数据包进行过滤和限制、属于包过滤型防火墙(除非编译内核才可以使iptables支持7层)
缺点:
- 防火墙可以过滤互联网的数据包、但无法过滤内部网络的数据包
- 电脑本身的操作系统的漏洞、使入侵者可以利用这些漏洞绕过防火墙
- 防火墙无法有效的阻挡病毒的攻击、尤其是应隐藏再数据中的病毒(除非硬件防火墙是可以识别的-硬件防火有7层协议可解析应用层的数据)
- 正常情况下、所有互联网的数据包软件都经过防火墙的过滤、这将造成网络交通的瓶颈、例如在攻击型的数据包出现时、攻击者不寄出数据包、让防火墙疲于过滤数据包、而使一些合法的数据包软件无法正常进出防火墙
#PS:没有绝对安全的操作系统、虽然防火墙有这些缺点但还是能阻挡大多数来自于外网的攻击
四个表:-- 相当于一个保安小队
- filter过滤表
- nat转换(网络地址转换network address transform) - 内部局域网
- mangle碾压表 - 涉及数据包跟踪(少用)
- raw生的五个链:-- 相当于小队中的各个保安员
- PREROUTING 预路由
- POSTROUTING 已路由
- INPUT 入站
- OUTPUT 出站
- FORWARD 转发策略:
- 192.168.19.12 DROP #禁止通过
- 192.168.19.100 ACCEPT #允许通过标签:iptables,防火墙,192.168,四层,过滤,识别,数据包 From: https://www.cnblogs.com/littlecc/p/18212680