iptables的处理动作的一些 -j

最新推荐文章于 2024-08-22 17:22:53 发布
最新推荐文章于 2024-08-22 17:22:53 发布
阅读量925 收藏 2
点赞数
文章标签: 网络 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BUG_MeDe/article/details/125655186
版权 
-j REJECT:表示拒绝访问并回送一个数据包。
[应对网络上的数据包,一般所以DROP来处理,而不浪费系统资源来匹配数据]
iptables -A INPUT -p tcp --dport 25 -j REJECT --reject-with icmp_het_unreachable
                    <--reject-with + 伪装信息>:可自己定义该字符串内容
-j LOG:记录日志文件
:iptables -A INPUT -p tcp -dport 22 -j LOG
    【问题:日志量增长惊人,每一个这样的包都需要记录日志】
改:iptables -A INPUT -p tcp --syn --dport 22 -j LOG
    【只记录第一个ssh连接的数据包】
日志记录位置:/var/log/messages 
==========================
如何从日志文件中分离Netfilter我们需要的日志信息: --log-level
:iptables -A INPUT -p tcp --syn -dport 22 -j LOG --log-level alert
也可在通过 --log-prefix "xxxx"来添加前缀信息。
:iptables -A INPUT -p tcp --syn -dport 22 -j LOG --log-level alert
                                                --log-prefix "SSH_REQUEST"

后期查看日志再使用grep命令。
-j DSCP:服务类型
【Qos机制:分析各种网络服务需要的带宽,进行分配】
【   数据包传入----》数据包分类器---》带宽分配器---》数据包传出   】
【DSCP 只有6bit可以分配64种变化】
iptables -t mangle -A FORWARD -p tcp --sport 80 -j DSCP --set-dscp 1
[将数据包的DSCP字段改为 1 ,到带宽分配器后读取到1,就按约定分配多少带宽]
 
-j MARK的 处理方式可以让我们在特定的数据包上标记一个“---记号---”,
【记号由数字构成,并没有写入到数据包中】
【而Linux系统会使用一块内存来记录 数据包 和 MARK值的对应关系】
【当数据包离开本机后MARK将不会存在】
如:
    iptables -t mangle -A FORWARD -p tcp --dport 25 -j MARK --set-mark 25
【   -j MARK: 打的记录对党确定的数据包有效,[nfmark]
    -j CONNMARK:设置的记录对一个完整的连接中的数据包都有效,即不管是送入或送出的数据包都会打上这个标记[ctmark]】

iptables -t mangle -A INPUT -p tcp --dport 80 -j CONNMARK --set-mark 1 [打标记]
iptables -t mangle -A OUTPUT -m connmark --mark 1 -j DROP [匹配这样的标签 DROP]

用CONNMARK使MARK达到相同的一个完整连接上的全部标记

iptables -t mangle -A INPUT -p tcp --dport 80 -j MARK --set-mark 1
iptables -t mangle -A INPUT -j CONNMARK --save-mark
iptables -t mangle -A OUTPUT -j CONNMARK --restore-mark
iptables -t filter -A INPUT -m mark --mark 1 -j DROP

【为什么这么做,因为Linux没有完全(部分)支持CONNMARK】
-j REDIRECT:重定向,是一种特殊的DNAT的机制,通常会与代理服务器同时使用,实现透明代理
-j MASQUERADE:动态ip跟踪,是一种特殊的SNAT的机制,从服务器的网卡自动获取当前ip地址来做NAT
与NAT配合使用

BUG_MeDe
关注
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 4610
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
iptables中常用的参数以及作用
qq_42783214的博客
10-20 3830
ACCEPT(允许流量通过)、REJECT(拒绝流量后再回复一条“您的信息已经收到,但是被扔掉了)、LOG(记录日志信息)、DROP(拒绝流量通过,直接将流量丢弃而且不响应) 参数 作用 -P 设置默认策略 -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num 删除某一条规则 -s 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 -d 匹配目标地址 -i 网卡名称 匹配从这块网卡流入的数据 -o 网卡名称 匹配从这块网卡流出的数据
Iptables
soyo的专栏
11-06 157
http://www.net527.cn/a/anquan/kaiyuanfanghuoqiang/6428.html     防范DDOS攻击脚本 防范CC攻击  http://hi.baidu.com/wbwssb/blog/item/b711cbfa44c2ae54242df27c.html         1) 重启后生效 开启: chkconfig iptables ...
iptables [-j target/jump] 常用的处理动作
weixin_30298497的博客
07-04 408
-j 参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分别说明如下: ACCEPT: 将封包放行,进行完此处理动作后,将不再匹配其它规则,直接跳往下一个规则链(natostrouting)。 REJECT: 拦阻该封包,并传送封包通知对方...
iptable命令详解
weixin_49840888的博客
08-22 2507
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样 条件的数据包进行处理;会按照规则的顺序进行检查,一旦某个数据包匹配到了某条规则,就不会继续检查后面的规则。通常,更具体的规则(如单个 IP 地址)应该放在前面,而更宽泛的规则(如整个子网)放在后面。iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载。
iptables命令
cici_new_1987的专栏
05-18 381
Linuxiptables详解及tcpdump Linuxiptables(四、网络防火墙及NAT) iptables命令 使用通用格式 iptables [-t tables] COMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options] ———————————————— # iptables [-t tables] [-AI 链] [-io 网络接口] [-p 协议] [-s 来.
【博客621】iptables -J动作总结
qq_43684922的博客
02-18 1212
通过MASQUERADE即可解决这个问题,MASQUERADE会动态的将源地址转换为可用的IP地址,其实与SNAT实现的功能完全一致,都是修改源地址,只不过SNAT需要指明将报文的源地址改为哪个IP,而MASQUERADE则不用指定明确的IP,会动态的将报文的源地址修改为指定网卡上可用的IP地址。LOG动作只负责记录匹配到的报文的相关信息,不负责对报文的其他处理,如果想要对报文进行进一步的处理,可以在之后设置具体规则,进行进一步的处理。作用:用于接收匹配的流量,使得流量继续往后面的规则和链路去匹配。
iptables中-j选项与-g选项的区别
雜貨鋪
05-05 8874
手册 # man iptables ... -j, --jump target This specifies the target of the rule; i.e., what to do if the packet matches it. The target can be a user- defined
iptables
Jsben的博客
04-23 674
第1章 iptables介绍 1.iptables是什么? iptables是开源的基于数据包过滤的防火墙工具。 2.iptables企业应用场景 1、主机防火墙(filter表的INPUT链)。 2、局域网共享上网(nat表的POSTROUTING链)。半个路由器,NAT功能。 3、端口及IP映射(nat表的PREROUTING链),硬防的NAT功能。 4、IP一对一映射。 3.商用防火墙品牌 ...
iptables -D FORWARD -i %s -d %s/24 -j ACCEPT
最新发布
10-17
`iptables -D FORWARD -i %s -d %s/24 -j ACCEPT` 是一个命令,用于从IPTablesLinux防火墙)的FORWARD链中删除一条特定的规则。这条规则允许来自指定接口(`%s`)的数据包,如果目的地地址是`%s`子网的前24位(`/24`)...
防火墙之iptables
Marchy ViZing正走向牛逼的技术人生
11-18 697
防火墙是作为互联网(公网)和外网之间的保护屏障 防火墙的配置有4种方法,只需要掌握其中一种即可,分别是iptables、firewall-cmd、firewall-config、TCP Wrappers 由于iptables是用在RHEL5、RHEL6、RHEL7.0、RHEL7.1版本的linux中,RHEL7.2之后的版本都默认没有iptables iptables 防火墙匹配规则的特点: ①从上至下匹配,最上面的规则优先级最高 ②一旦匹配到某规则,即立即结束匹配工作并去执行匹配项中定义的行为(允许和
iptables 指令详解。
在水一方
06-12 667
iptables 指令语法:iptables [-t table] command [match] [-j target/jump]-t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。个规则表的功能如下:nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,
iptables命令详解和举例(完整版)
热门推荐
09-07 4万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables简要知识
Jweilai
12-01 799
iptables作为Linux系统的防火墙服务,我们几乎不可避免的会用到这项服务。而iptables有非常多的规则,这里我们就简单介绍一些常用的iptables技巧 #禁止所有外部IP访问本机的8443端口(基于TCP协议) iptables -I INPUT -p tcp --dport 8443 -j DROP #允许192.168.157.12访问本机的8443端口 iptables -I ...
Iptables中文手册
地球是圆的?
04-08 735
NAME iptables - IP包过滤器管理总览iptables -ADC 指定链的规则 [-A 添加 -D 删除 -C 修改] iptables - RI iptables -D chain rule num[option] iptables -LFZ 链名 [选项] iptables -[NX] 指定链 iptables -P chain target[options] i
Iptables 详解
静静是我女朋友
11-29 1727
1:Iptables - Layer7 iptables默认是OSI三层和四层以及二层源MAC地址过滤 针对于某一个应用:xunlei,kugou,qq,msn,flv,p2p,httpd,smtp等等过滤,直接针对协议来过滤 Netfilter默认是没有这些功能的,如果我们需要使用到7层的,应用协议过滤,那么我们就必须对netfilter打补丁 Netfilter
linux防火墙reject,Iptables 扩展动作 Reject Mark
weixin_34603528的博客
05-12 327
防火墙在做信息滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息滤表中,而这些表集成在Linux内核中。在信息滤表中,规则被分组放在我们所谓的链(Chain)中。Iptables组件是一种工具,也称为用户空间(Userspace),它使插入、修改和除去信息滤表中的规则变得容易。Firewalld提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理工具。杨哥**linux云...
iptables(三)iptables命令详解
wzj_110的博客
09-30 3万+
一 语法规则 iptables [-t table] COMMAND [chain] CONDITION -j ACTION -t table 是指'操作的表',filter、nat、mangle或raw,'默认使用filter' COMMAND '子命令',定义'对规则的管理' chain 指明'链路' CONDITION 匹配的'条件或标准' ACTION 匹配后'操作动作' 二 相关命令的讲解 '以下内容来自' --> 'man ipt...
iptables -J
09-24
`iptables -J` 是 Linux 系统中的命令行工具 Iptables (Internet Protocol Traffic Filter) 的一部分,用于设置包过滤规则。`-J` 后面通常跟一个动作(chain jump),它决定了数据包如何处理Iptables 分为主链(chains)如 `INPUT`, `OUTPUT`, `FORWARD` 等,以及一系列的表(tables)如 `nat`, `mangle`, `filter` 等。 例如,`iptables -A INPUT -p tcp --dport 80 -j ACCEPT` 表示在输入方向上(INPUT chain),如果数据包的协议是 TCP 并且目的端口是 80,就接受这个包。这里 `-A` 是添加(append)规则,`-j` 后的 `ACCEPT` 则指定了动作是允许通过(accept)。 常见的动作有: - `-j ACCEPT`: 接受该包 - `-j DROP`: 拒绝该包 - `-j REJECT`: 直接返回错误给源地址 - `-j RETURN`: 结束当前链的处理,并继续下一个链
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值