Centos6.5 iptables的Filter详解

最新推荐文章于 2024-03-07 13:33:30 发布
VIP文章 最新推荐文章于 2024-03-07 13:33:30 发布
阅读量2.4w 收藏 10
点赞数 1
分类专栏: linux 文章标签: centos iptables 防火墙 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/canot/article/details/51289176
版权

今天一个同学它的腾讯云服务器出现了个小问题,启动tomcat服务器后。在服务器本机上使用curl 127.0.0.1:8080访问没任何问题。但通过外网ip却一直访问不了。然后我Google的一堆解决方法,最多的还是关于防火墙iptables的配置。虽然最后重新装了一个tomcat后就莫名其妙的正常了。根本不是iptables的问题,但通过解决这个问题查询了大量iptables方面的知识(虽然当初啃《鸟哥的Linux私房菜》的时候看过相关知识,但毕竟没有实践,今天正好借这个机会实际了一把),现在将iptables的一些常用知识总结一下。

1.什么是iptables

iptable其实是Linux下的数据包过滤软件,也是目前最新Linux发行版中默认的防火墙。要想深入了解iptables机制,了解防火墙的规则是必不可少的。由于iptables利用的数据包过滤的机制,所以它会分析数据包的报头数据。根据报头数据与定义的规则来决定该数据包是进入主机还是丢弃。 也就是说,根据数据包的分析资料”对比”预先定义的规则内容,若数据包数据与规则内容相同则进行动作,否则就继续下一条规则的比对。重点在比对与分析顺序。

2.iptables的简单工作原理

举个简单的例子,当我们的iptables定义了十条防火墙规则,那么当Internet来了一个数据包想要进入主机前,会先经过iptables的规则。检查通过则接受(ACCEPT)进入本机取得资源,如果检查不通过,则可能予以丢弃(DROP).一定要注意一点,iptables定义的规则是有顺序,但某个数据包符合Rule1,则会执行Rule1对应的Action1而并不会理会后面所有的Rule。当所有Rule都不匹配,会执行默认操作。
iptables的规则是非常重要的,比如当我们有一台提供WWW的服务的主机,自然我们就要针对port 80端口来启动通过的数据包规则,但我们发现IP为192.169.155.155总是存在恶意操作,所以我们要禁止该IP来访问该服务,最后所有非WWW的数据包全部丢弃,我们来看完成这三个功能的规则顺序。

  • Rule1先阻挡192.168.155.155
  • Rule2再让请求WWW服务的数据包通过
  • Rule3将所有的数据包丢弃

现在我们想一下,如果这三条规则的顺序变了之后,我们还能完成刚刚的需求么?

3.iptables的策略

防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。为了让这些功能交替工作,我们制定出了“表”这个定义,来定义、区分各种不同的工作功能和处理方式。

刚刚我们所说的规则仅仅是iptables表格中的一个链而已。iptables里面有多个表格(table),每个表格都定义出自己的默认策略与规则,且每个表格的用途都不相同。

我们现在用的比较多有如下3个:

  • 1.filter(过滤器,默认的table) 定义允许或者不允许的
  • 2.nat(地址转换) 定义地址转换的
  • 3.mangle(破坏者)功能:修改报文原数据,加特殊标记。
4.上述表中常见的链

与数据包是否进入Linux本机有关的表:Filter

  • INPUT:主要与想要进入Linux主机的数据包有关
  • OUTPUT : 主要与Linux本机所要送出的数据包有关
  • FORWARD : 与Linux本机没有关系,它可以传递数据包到后端的计算机中,与表NAT有关

用来进行来源与目的地的IP或port的转换(主要于Linux主机后的局域网内的主机有关):NAT

  • PREROUTING:在进行路由判断之前所要进行的规则(DNAT/REDIRECT) 。
  • POSTROUTING :在进行路由判断之后所有进行的规则(SNAT/MASQUERADE)。
  • OUTPUT: 与发送出去的数据包有关

与特殊的数据包的路由标志有关:Mangle 上述5个了链都可以做

由于Filter是默认的table,并且如果iptables只是用来保护Linux主机本身的话,只用关注Filter表格内的INPUT和OUTPUT这两条链即可。其余的两个table也不常用,因此我们重点学习Filter。

5.iptables中规则的查看

如果在安装Linux的时候没有选择防火墙,那么iptables在一开始应该是没有规则的。如果在安装的时候选择自动建立防火墙机制,那么就有默认的防火墙规则。我们来看查看iptables规则的命令。


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  不能说的秘密go
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    10
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Centos6.5 镜像文件下载

				
			

			

				

					12-27
				

			

		

		

			
				
Centos6.5镜像文件 Linux。。

			
		

	



                

              
                



	

		

			

				
					
centos7安装Docker以及使用

				
			

			

				

					qq_47614329的博客
				

				

					04-26
					
					2521
					
				

			

		

		

			
				
centos7安装Docker以及使用

			
		

	



                


  
              

                


	

		

			

				
					
linux l7filter命令行,centos 6 上安装l7 filter尝试过滤xunlei

				
			

			

				

					weixin_34901243的博客
				

				

					05-01
					
					320
					
				

			

		

		

			
				
平台:Centos 6 x86_64,默认内核版本2.6.341,准备yum update -yyum install -y ncurses-devel gcc make bc wget patch grub2,下载相关安装包wget http://download.clearfoundation.com/l7-filter/netfilter-layer7-v2.23.tar.gzwget ht...

			
		

	





	

		

			

				
					
CentOS系统使用iptables配置网卡端口ip信息

					
最新发布

				
			

			

				

					qq_43359234的博客
				

				

					03-07
					
					317
					
				

			

		

		

			
				
防火墙(Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。Linux系统的防火墙功能是由内核实现的,包过滤防火墙工作在TCP/IP的网络层,防火墙不属于应用程序,集成与内核空间,没有进程iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;

			
		

	



		

			
		



	

		

			

				
					
CentOS 7下 iptables/netfilter使用详解(一)

				
			

			

				

					weixin_34007879的博客
				

				

					05-05
					
					607
					
				

			

		

		

			
				
一、理论部分1、什么是防火墙防火墙:(英文:Firewall),隔离工具  防火墙其实就是一个组件,这个组件能够屏蔽来自于互联网,或来自于企业内部的用户的***操作(DDos***,端口扫描等等);主要目的是防范非授权的访问的!它工作于网络或主机的边缘(通信报文的进出口),对于进出本网络或主机的报文根据事先定义的检查规则做匹配检测,对于能够被规则...

			
		

	





	

		

			

				
					
【环境配置】centos 配置防火墙,查看端口和进程

				
			

			

				

					luolinll1212的专栏
				

				

					01-03
					
					381
					
				

			

		

		

			
				
1,基本操作
service iptables status # 查看防火墙状态
service iptables stop # 停止防火墙

service iptables start # 启动防火墙
service iptables restart # 重启防火墙

chkconfig iptables off # 永久关闭防火墙
chkconfig iptables on # 永久关闭后重...

			
		

	





	

		

			

				
					
linux进程管理

				
			

			

				

					weixin_33795743的博客
				

				

					11-07
					
					572
					
				

			

		

		

			
				
1.查进程ps命令查找与进程相关的PID号:ps a 显示现行终端机下的所有程序,包括其他用户的程序。ps -A 显示所有程序。ps c 列出程序时,显示每个程序真正的指令名称,而不包含路径,参数或常驻服务的标示。ps -e 此参数的效果和指定"A"参数相同。ps e 列出程序时,显示每个程序所使用的环境变量。ps f 用ASCII字符显示树状结构,表达程序间的...

			
		

	





	

		

			

				
					
centos 对某ip开放 防火墙端口_CentOS6.5 配置防火墙+允许指定ip访问端口

				
			

			

				

					weixin_39886172的博客
				

				

					12-19
					
					597
					
				

			

		

		

			
				
参考博文:一、配置防火墙打开配置文件[root@localhost ~]# vi /etc/sysconfig/iptables正确的配置文件# Firewall configuration written by system-config-firewall# Manual customization ofthis file isnot recommended.*filter:INPUT ACCE...

			
		

	





	

		

			

				
					
Centos 6.5 防火墙配置详解

				
			

			

				

					ahjsljs的专栏
				

				

					06-13
					
					2407
					
				

			

		

		

			
				
*filter
:INPUT DROP [0:0]    #丢弃所有进入请求
:FORWARD DROP [0:0]  #丢弃所有转发请求
:OUTPUT ACCEPT [0:0] #允许所有的output请求
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
-A INPUT -p icmp -j DROP   #禁止ping服务
-

			
		

	





	

		

			

				
					
Linux--防火墙iptables基本命令、常用端口的开放/阻止/删除

					
热门推荐

				
			

			

				

					JustinQin
				

				

					10-24
					
					3万+
					
				

			

		

		

			
				
【学习背景】​

Linux CentOS 6.5版本以前,默认防的火墙是iptablesCentOS6.5版本及以后版本,防火墙都由iptables升级为了firewall,不过底层还是基于iptables的指令,因此还是有必要了解了解。
本文主要介绍iptables的基本命令以及如何开放和阻止iptables防火墙常用端口,如22、80、8080、3306等常用端口号。

目录一、iptables安装二、iptables基本操作2.1 防火墙服务2.2 systemctl基本命令2.3 service

			
		

	





	

		

			

				
					
linux 防火墙iptables详解

				
			

			

				

					隔壁老猪
				

				

					04-16
					
					1566
					
				

			

		

		

			
				
一、iptables的表和链1.iptables/netfilter 
  netfilter:
   hooks function :钩子函数,真正执行工作的
      iptables:定义规则的,用户空间的命令行接口
 钩子函数:内核的功能 
 netfilter:内核级别已经支持v6
 iptables:主要...

			
		

	





	

		

			

				
					
linux7配置iptables配置转发,Centos7安装iptables及配置

				
			

			

				

					weixin_39980298的博客
				

				

					05-16
					
					130
					
				

			

		

		

			
				
vim /etc/sysconfig/iptables-config*filter#入站丢弃:INPUT DROP [0:0]#转发丢弃:FORWARD DROP [0:0]#出站允许:OUTPUT ACCEPT [0:0]#允许内网访问-A INPUT -s 172.16.0.0/24 -j ACCEPT#允许本机访问-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j A...

			
		

	





	

		

			

				
					
centos6.5 iptables实现端口转发

				
			

			

				

					02-05
				

			

		

		

			
				
将本地3389端口 转发到192.168.10.210的22(主要访问到本机的15210端口,就会跳转到192.168.10.210的22)  【步骤】 ...  vim /etc/sysctl.conf # 找到下面的值并将0改成1 ...vim /etc/sysconfig/iptables

			
		

	





	

		

			

				
					
CentOS 6.5 最新可用的 Yum 源

				
			

			

				

					02-02
				

			

		

		

			
				
CentOS 6.5 的 软件源很多官方已经停止维护,该文件包内配置好的yum源是可以正常使用的。将原/etc/yum.repos.d/目录下原来的 .repo 备份, 然后把本文件包内的repo文件复制过去, yum clean all 后,再 yum ...

			
		

	





	

		

			

				
					
centos6.5通过yum安装nginx

				
			

			

				

					09-15
				

			

		

		

			
				
主要为大家详细介绍了centos6.5通过yum安装nginx的相关步骤,linux安装nginx以及配置,具有一定的参考价值,感兴趣的小伙伴们可以参考一下

			
		

	





	

		

			

				
					
Centos6.5下安装Oracle 11g.docx

				
			

			

				

					10-31
				

			

		

		

			
				
Centos6.5下安装Oracle 11g.docxCentos6.5下安装Oracle 11g.docx

			
		

	





	

		

			

				
					
Linux查看磁盘信息(编写shell脚本来分析文件的占用情况)

				
			

			

				

					不能说的秘密的博客
				

				

					03-30
					
					9241
					
				

			

		

		

			
				
Linux查看磁盘信息(编写shell脚本来分析文件的占用情况)

			
		

	





	

		

			

				
					
SSH 远程登录Linux服务器很慢的解决方案

				
			

			

				

					不能说的秘密的博客
				

				

					02-25
					
					7829
					
				

			

		

		

			
				
SSH 远程登录Linux服务器很慢的解决方案

			
		

	





	

		

			

				
					
centos 6.5

				
			

			

				

					09-10
				

			

		

		

			
				
CentOS 6.5 是一个已经过时的 Linux 发行版,它于2014年发布。它基于 Red Hat Enterprise Linux 6.5 (RHEL) 的源代码构建而成,供了稳定的操作系统环境。  然而,由于 CentOS 6.5 已经不再受到官方支持,并且不再...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值