防火墙iptables如何做匹配

最新推荐文章于 2024-05-21 22:42:10 发布
最新推荐文章于 2024-05-21 22:42:10 发布
阅读量607 收藏
点赞数 1
分类专栏: 网络安全 文章标签: 防火墙iptables iptables如何进行匹配
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ANYELEISHOU/article/details/82906064
版权

防火墙iptables如何做匹配

iptables如何做匹配
通用匹配:iptables内置功能模块就可以实现的匹配方式
扩展匹配:需要依赖额外的模块才能实现匹配

一.通用匹配
-s:指定源ip
-d:指定目标ip
-i:指定进入数据包所经过网卡名称
-o:指定发出数据包所经过网卡名称

案例:允许10.220.5.254所发送过来的数据包
	# iptables -t filter -A INPUT -s 10.220.5.254 -j ACCEPT

案例:禁止10.220.5.254所发送过来的任意数据包
	# iptables -t filter -A INPUT -s 10.220.5.254 -j DROP

案例:禁止当前主机给10.220.5.3发送数据包
	# iptables -A OUTPUT -d 10.220.5.3 -j DROP

案例:允许从eth0进入的数据包,且数据包的源ip 是10.220.5.3 目标ip是10.220.5.191
	# iptables -A INPUT -s 10.220.5.3 -d 10.220.5.191 -i eth0 -j ACCEPT

二.扩展匹配:在匹配的时候需要用到额外的功能模块
隐式扩展:不需要手动指定调用的模块,系统会自动加载模块
显式扩展:必须手动指定模块名称才可以

1.隐式匹配
-p 协议
-p tcp
-p udp
-p icmp

1)对于icmp协议的隐式匹配
扩展名称:
icmp
格式:
-p icmp --icmp-type
ping的数据包协议是icmp协议
type
0:应答包
8:请求包

	案例:单向ping(点到点)
		可以从10.220.5.1 ping 10.220.5.182
		禁止从10.220.5.182 ping 10.220.5.1

	实现:
		iptables -P INPUT DROP
		iptables -P OUTPUT DROP
		iptables -A OUTPUT -p icmp --icmp-type 8 -s 10.220.5.1 -d 10.220.5.182 -j ACCEPT
		iptables -A INPUT -p icmp --icmp-type 0 -s 10.220.5.182 -d 10.220.5.1 -j ACCEPT

	案例:单向ping(一对多)
		可以从10.220.5.1 ping 其他主机
		禁止其他主机ping 10.220.5.1

	实现
		iptables -P INPUT DROP
		iptables -P OUTPUT DROP
		iptables -A OUTPUT -p icmp --icmp-type 8 -s 10.220.5.1  -j ACCEPT
		iptables -A INPUT -p icmp --icmp-type 0 -d 10.220.5.1 -j ACCEPT 

	基本思路:
		禁止所有、允许个别
		允许所有、禁止个别

2)对于tcp协议的隐式扩展
扩展名称
tcp
用法:
-p tcp 选项
选项:
–sport:源端口
–dport:目标端口
–tcp-flags list1 list2:根据tcp包中的标志位进行匹配
–syn:等同[–tcp-flags

最低0.47元/天 解锁文章
从青铜到王者 \^o^/
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 匹配规则
weixin_37583747的博客
06-20 6267
iptables 匹配规则1.    源地址匹配:    a.    ip地址匹配                iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP        用“,”分隔多个源地址,地址与“,”之间不能有空格    b.    网段匹配        iptables -t filter -I ...
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
iptables(四)iptables匹配条件总结之一
aa43795381的博客
01-25 305
经过前文的总结,我们已经能够熟练的管理规则了,但是我们使用过的"匹配条件"少得可怜,之前的示例中,我们只使用过一种匹配条件,就是将"源地址"作为匹配条件。 那么这篇文章中,我们就来了解一下更多的匹配条件,以及匹配条件的更多用法。 注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你无法连接到远程主机中。 ...
Linux防火墙篇——iptables
最新发布
aran2002的博客
05-21 1335
Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
iptables基本匹配
kakaka666的博客
06-04 730
当数据包来到的时候先匹配第一条规则,如果符合规则则接受。如果不符合第一条规则,接着匹配第二条规则,如果是tcp包执行DROP动作,丢弃报文。如果不是tcp包执行默认规则ACCEPT。当数据包发出的时候先匹配第一条规则,如果TCP包符合规则则接受发出。如果不符合第一条规则,接着匹配第二条规则,不是tcp包执行DROP动作,丢弃报文。从ens38进来的icmp包全都丢弃,从其他网络接口就来的包不匹配第一条规则,执行默认规则ACCEPT。凡是由本机发出的TCP协议报文都允许出去,其他的协议不允许;
Linux iptables防火墙详解(三)——iptables匹配条件
永远是少年
12-06 2622
今天继续给大家介绍Linux基础知识,本文主要内容是Linux iptables防火墙配置命令匹配条件。 一、iptables匹配参数介绍 二、iptables匹配参数使用示例
iptables原理;编写语法;通用匹配条件;显示匹配条件;隐藏匹配条件;
weixin_34348805的博客
11-25 166
iptables防火墙1.了解iptables防火墙分为硬件(ASA,华为USG)和软件防火墙(ISA,iptables),根据数据的特征进行过滤或者控制。iptables是linux的默认的软件防火墙。角色:netfilter(内核的模块)和iptables(工具,用户使用)iptables工作在网络层(TCP/IP五层:应,传,网,数,物),对数据包依据IP及端口进行过滤...
android流量防火墙iptables原理详解
08-27
Iptables 是一个功能强大的 IP 信息包过滤系统,可以用于添加、编辑和删除规则,这些规则是在信息包过滤决定时,防火墙所遵循和组成的规则。 Iptables 的工作原理: Iptables 是与最新的 2.6.x 版本 Linux 内核...
网络安全课程设计之D防火墙——Iptables.docx
09-17
iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配条件和扩展匹配条件定义 iptables ...
linux iptables防火墙配置
03-15
### Linux iptables防火墙配置详解 #### 一、iptables与Linux防火墙的演进 Linux系统自诞生以来,其防火墙功能经历了多个阶段的发展。在2.0版内核时代,包过滤机制由`ipfw`承担,配套的管理工具为`ipfwadm`;到了...
ansible-iptables:使用iptables进行防火墙设置的Ansible角色
05-09
iptables 使用iptables配置防火墙。 该角色支持入口和出口过滤。 启用出口过滤后,将自动允许某些常用协议。 这包括: 对/etc/resolv.conf的名称服务器的DNS请求软件包管理(Gentoo,Debian,Alpine)要求需要使用...
安装配置iptables防火墙,查看防火墙规则、匹配条件规则
ai_hanghang的博客
06-05 5629
安装配置iptables防火墙 安装配置iptables防火墙 1)安装iptables防火墙服务 [root@centos01 ~]# yum -y install iptables iptables-services 2)启动iptables服务设置开机自动启动 [root@centos01 ~]# systemctl start iptables.service [root@centos01 ~]# systemctl enable iptables.service 3)拒绝ping命令入站 [roo
4.防火墙--匹配数据包(iptables)
午夜安全
08-01 1518
4.防火墙--匹配数据包(iptables) 4.1通用条件匹配 可直接使用,不依赖于其他的条件或扩展模块,包括网络协议、IP地址、网络接口等匹配方式。 (1)协议匹配 使用“-p 协议名”的形式,协议名可使用在“/etc/protocols”文件中定义的名称。常用的协议包括tcp、udp、icmp等。 (2)地址匹配 使用“-s 源地址”、“-d 目标地址”的形式,地址可以是单个IP...
防火墙匹配(过滤)的依据
无心出岫
04-09 3180
防火墙的任务简单描述就是“放行合法”或“封锁不合法”的数据包。而可以拿来作为匹配的条件可以划分成以下三大类。            一、各层封包包头内的信息     在防火墙匹配条件中,最基本且最简单的就是数据包中各层包头内的信息。          1、连接层            这一层中最重要的信息是MAC地址,我们可以在防火墙的过滤规则中借助Destination MAC来判别
网关和DNS的区别
IT老兵
04-05 3万+
什么是网关顾名思义,网关(Gateway)就是一个网络连接到另一个网络的“关口”。按照不同的分类标准,网关也有很多种。TCP/IP协议里的网关是最常用的,在这里我们所讲的“网关”均指TCP/IP协议下的网关。那么网关到底是什么呢?网关实质上是一个网络通向其他网络的IP地址。比如有网络A和网络B,网络A的IP地址范围为“192.168.1.1~192. 168.1.254”,子网掩码
防火墙放开any,查看是什么协议端口
weixin_34088598的博客
07-14 3097
华为防火墙,在管理时,有时候需求方不知道一些信息,比如协议和端口等。就需要先把防火墙放开大一点权限,让它先测试一下。如果通了。就使用以下命令[aaa]dis firewall session table destination global 10.110.0.100返回结果 tcp ×××: public -> public 10.111.91.149:2648--...
iptables实现字符串匹配,URL过滤,安全策略
热门推荐
jk110333的专栏
07-03 4万+
通过string匹配域名来过滤,范例如下: iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP iptables -I OUTPUT -p udp -m string --string "qq.com" --algo bm -j DROP 这样就无法访问与QQ相关的业务了,但是代理好像还是可以 系统要
linux防火墙 语法,LINUX的iptables防火墙语法
weixin_39805539的博客
05-12 247
IPTABLES基础打开防火墙echo 1 >/proc/sys/net/ipv4/ip_forwardIptables语法:Iptables [-t TABLE] ACTION [PATTERN] [-j TARGET]TABLE:有filter,nat,mangle;若无指定,预设为filter table.1.ACTION(对Chains执行的动作):ACTION 说明-L Chain...
使用netfilter/iptables时经常能在匹配规则中看到-m addrtype --dst-type这样的内容,何解
watermelonbig的专栏
05-15 9546
比方说我们使用docker容器,一定会在iptables的NAT表中看到下在这样的一条配置规则:-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER从整体上看,这条规则是要把符合什么匹配规则的数据包,在数据包进入NAT表PREROUTING链时,让它直接jump到一个名为DOCKER的链。至于在这个DOCKER的链中有哪些继续生效的NAT规则,不...
Linux防火墙iptables
09-14
Linux防火墙iptables是一种专为Linux操作系统设计的高度灵活的防火墙工具。它对于Linux的技术爱好者和系统管理员来说非常有用。下面是一些配置和使用iptables常见步骤: 1. 首先,如果你使用的是CentOS 7操作系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值