iptables中-j选项与-g选项的区别

最新推荐文章于 2024-04-16 02:13:41 发布
最新推荐文章于 2024-04-16 02:13:41 发布
阅读量8.7k 收藏 5
点赞数
分类专栏: iptables 文章标签: Linux iptables jump goto
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zahuopuboss/article/details/8886612
版权

手册

# man iptables

...

-j, --jump target
              This  specifies  the  target  of  the  rule; i.e., what to do if the packet matches it.  The target can be a user-
              defined chain (other than the one this rule is in), one of the special builtin targets which decide  the  fate  of
              the  packet  immediately,  or an extension (see EXTENSIONS below).  If this option is omitted in a rule (and -g is
              not used), then matching the rule will have no effect on the packet's fate, but the counters on the rule  will  be
              incremented.

-g, --goto chain
              This specifies that the processing should continue in a user specified chain. Unlike the --jump option return will
              not continue processing in this chain but instead in the chain that called us via --jump.


 

-j 选项指定规则的目标

目标可以是用户自定义链;内建目标;或扩展

 

-g 选项将规则重定向到一个用户自定义链中

与 -j 选项不同,从自定义链中返回时,是返回到调用 -g 选项上层的那一个 -j 链中

 

示例

使用iptables -S命令查看Fedora18中默认的防火墙配置

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES
-A INPUT -p icmp -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited

...

-A INPUT_ZONES -i p5p1 -g IN_ZONE_public
-A INPUT_ZONES -g IN_ZONE_public

...

-A IN_ZONE_public -j IN_ZONE_public_deny
-A IN_ZONE_public -j IN_ZONE_public_allow

 

-g 选项

当报文由规则 -A INPUT_ZONES -i p5p1 -g IN_ZONE_public 将接口p5p1报文重定向到 IN_ZONE_public 时

从 IN_ZONE_public 返回后

不会继续进入其下一条规则 -A INPUT_ZONES -g IN_ZONE_public

而是直接返回到上层的 -A INPUT -j INPUT_ZONES

然后继续规则 -A INPUT -p icmp -j ACCEPT

 

计数器

使用iptables -L -v 查看报文计数器

# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2447  173K ACCEPT     all  --  any    any     anywhere             anywhere             ctstate RELATED,ESTABLISHED
    1    80 ACCEPT     all  --  lo     any     anywhere             anywhere            
  404 82313 INPUT_direct  all  --  any    any     anywhere             anywhere            
  404 82313 INPUT_ZONES  all  --  any    any     anywhere             anywhere            
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            
  375 78428 REJECT     all  --  any    any     anywhere             anywhere             reject-with icmp-host-prohibited

...

Chain INPUT_ZONES (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  375 78428 IN_ZONE_public  all  --  p5p1   any     anywhere             anywhere            [goto] 
    0     0 IN_ZONE_public  all  --  +      any     anywhere             anywhere            [goto]

...

Chain IN_ZONE_public (2 references)
 pkts bytes target     prot opt in     out     source               destination         
  375 78428 IN_ZONE_public_deny  all  --  any    any     anywhere             anywhere            
  375 78428 IN_ZONE_public_allow  all  --  any    any     anywhere             anywhere            
Chain IN_ZONE_public_allow (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere             tcp dpt:ssh ctstate NEW
    0     0 ACCEPT     udp  --  any    any     anywhere             224.0.0.251          udp dpt:mdns ctstate NEW
Chain IN_ZONE_public_deny (1 references)
 pkts bytes target     prot opt in     out     source               destination

 

从计数器可以看出链INPUT_ZONES中走了第一个goto的不会进入第二个goto

而链IN_ZONE_public中第一个deny没有处理

其计数器与allow的相同

 

 

雜貨鋪老闆
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
iptables入门教程--设置静态防火墙(z)来自www.linuxsir.org 作者liweioop
bon_jovi的专栏
08-19 1972
iptables入门教程--设置静态防火墙发布时间:2005年5月30日 10时36分介绍:这篇文章是本人原创,向读者展示了如何一步一步建立静态防火墙来保护您的计算机,同时在每一步,我力图向读者讲述清楚原理。在这篇教程之后,你将能理解到防火墙内在过滤机制,同时也能自己动手创建符合自己要求的防火墙。版权所有,转载请注明来自www.linuxsir.org 并写明作者liweioop1、iptabl
Linux系统——iptables超细致解释
一坨小橙子的博客
03-24 770
Iptables超详细解释
【操作系统】防火墙管理工具-iptables,四面阿里网络安全开发岗
最新发布
2401_83974370的博客
04-16 700
【操作系统】安全管理/防火墙相同或类似的内容,本文就不再重复了本文主要是想记录一下iptables。重点在iptables,不在firewalld由软件包iptables提供的命令行工具工作在用户空间,用来编写规则,写好的规则被送往Netfilter-告诉内核如何去处理信息包。
iptables
weixin_34268169的博客
04-26 127
iptables: 防火墙分为两类: 硬件防火墙:有厂商设定好的主机硬件,以提供数据包数据的过滤机制为主。 软件防火墙:保护系统网络安全的一套软件机制。 软件防火墙: 功能:可以限制某些服务的访问来源。...
iptables(三)iptables命令详解
wzj_110的博客
09-30 3万+
一 语法规则 iptables [-t table] COMMAND [chain] CONDITION -j ACTION -t table 是指'操作的表',filter、nat、mangle或raw,'默认使用filter' COMMAND '子命令',定义'对规则的管理' chain 指明'链路' CONDITION 匹配的'条件或标准' ACTION 匹配后'操作动作' 二 相关命令的讲解 '以下内容来自' --> 'man ipt...
linux g 参数,linux-iptables -j与-g参数
weixin_39892447的博客
05-12 593
从发行版的手册页,我对下面的粗体部分特别感兴趣.-j,-跳转目标This specifies the target of the rule; i.e., what to do if the packet matches it. The target can be a user-defined chain (other than the one this rule is in), one of...
Iptables
ly的博客
12-06 2194
一,iptables的原理:当主机收到一个数据包后,数据包先在内核空间处理,若发现目的地址是自身,则传到用户空间交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。iptables实现防火墙功能的原理是:在数据包经过内核的过程有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables 常用处理动作
weixin_39833509的博客
03-10 867
iptables,-j 参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK。 分别说明如下: ACCEPT将数据包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则链。 REJECT拦阻该数据包,并传送数据包通知对方,可以传送的数据包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是tc..
centos6-iptables-1.4.7-16.el6.x86-64
08-09
centos6-iptables-1.4.7-16.el6.x86-64
iptables-services-1.4.21-17.el7.x86_64.rpm 下载
06-18
centos7 iptables-services-1.4.21-17.el7.x86_64.rpm 安装包 下载
iptables-services-1.4.21-34.el7.x86_64.rpm
09-22
iptables-services-1.4.21-34.el7.x86_64.rpm
iptables-devel-1.4.21-33.el7.x86_64.rpm
05-08
替换系统自带防火墙应用,直接rpm -ivh安装即可 需要先查找并卸载系统自带的firewalld iptables配置 vi /etc/sysconfig/iptables
使用iptables -S命令查看链的规则
雜貨鋪
05-05 7739
手册 #man iptables   -S, --list-rules [chain]               Print all rules in the selected chain.  If no chain is selected, all chains are printed like  iptables-save.  Like               every ot
查看iptables内建表名称
雜貨鋪
05-05 1851
# cat /proc/net/ip_tables_names nat mangle filter
Fedora 18为sshd服务增加端口
雜貨鋪
07-02 1481
sshd服务 使用systemctl启动sshd服务 systemctl start sshd.service   使用restart重启sshd 使用stop停止sshd   设置系统启动时启动服务 systemctl enable sshd.servide   使用disable取消   增加端口号 修改sshd配置文件 vi /etc/ssh/sshd_confi
Fedora17iptables防火墙配置
雜貨鋪
05-03 1240
Fedora17 Live Desktop默认安装后开启了防火墙   查看规则 使用iptables -L查看现有规则 # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere
iptables -j
10-20
iptables是一个Linux内核的防火墙工具,它可以监控、过滤和重定向网络流量。其,-j参数用于指定要执行的动作,常见的动作包括ACCEPT(接受)、DROP(丢弃)和REJECT(拒绝)。当iptables匹配到规则后,就会执行指定的动作。例如,引用的规则表示接受来自本地回环地址127.0.0.1的数据包,并执行ACCEPT动作。 另外,iptables还支持其他参数和选项,例如-R参数用于替换规则,-s参数用于指定源IP地址,-d参数用于指定目标IP地址,-p参数用于指定协议类型,--dport参数用于指定目标端口号,-m参数用于指定匹配模块等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值