【Iptables】01 Iptables概念

最新推荐文章于 2022-07-08 09:17:02 发布
最新推荐文章于 2022-07-08 09:17:02 发布
阅读量562 收藏
点赞数
分类专栏: Iptables 文章标签: 防火墙 Iptables 安全
原文链接:http://www.zsythink.net/archives/1199
版权

特别说明:此系列博文根据 朱双印博客-iptables系列博文,个人实践后总结,此为个人笔记精简版,更通俗易懂请参考 朱双印博客-iptables系列博文 原文内容,诸君必能有所收获

01 Iptables概念

相关概念:防火墙

  • 防火墙可以从逻辑上大体分为主机防火墙和网络防火墙,主机防火墙针对单个主机进行防护,网络防火墙则往往处于网络入口或边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网
  • 防火墙可以从物理上大体分为硬件防火墙和软件防火墙,硬件防火墙在硬件级别实现部分防火墙功能,另一部分基于软件实现,性能高,成本高;软件防火墙则是应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低

Linux中的iptables

  • iptables其实并不是真正的防火墙,更像是一个客户端代理,用户通过iptables这个代理,可以将安全设定执行到对应的"安全框架"即netfilter,netfilter才算得上是防火墙
  • iptables位于用户空间,我们能通过命令行进行操作,netfilter位于内核空间,是防火墙真正的安全框架(framework),iptables和netfilter一起组成Linux的包过滤防火墙,实现封包过滤,封包重定向和网络地址转换(NAT)等功能
iptables基础

  • iptables是按照规则进行工作的,那么什么是规则?规则其实就是网络管理员预定义的条件,一般定义为"如果数据包头符合XX条件,就按照YY的方式去处理这个数据包",规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(TCP、UDP、ICMP)和服务类型(HTTP、FTP、SMTP)等;每当数据包和规则匹配,iptables就按照相应的规则去处理这些数据包,包括放行(accept)、拒绝(reject)和丢弃(drop)等

  • 网络数据包在接收过程中,首先发送到网卡,经过内核空间的协议栈处理后,才会到达用户空间的各种服务的套接字;相反,发送则刚好与之颠倒;我们需要达到防火的目的,则需要严格的把控进出入服务的报文,在iptables中,我们利用input链和output链进行把控
    在这里插入图片描述

  • 由于客户端收到的报文并不是想发送给本机的,而是其他服务器的,当本机的内核支持IP_FORWARD时,我们可以将报文转发给其他服务器,这时我们会用到iptables的其他"链",即"路由前"、“转发”、“路由后”,英文分别是PREROUTING、FORWARD、POSTROUTING

  • 这样说来,数据报文是否进入用户空间,还需要根据实际情况不同而定,如需要转发的报文,那么报文就不会经过INPUT链,而是在内核空间中经过FORWARD链和POSTROUTING链被转发出去
    在这里插入图片描述
    到本机的某进程的报文:PREROUTING----> INPUT

    由本机转发的报文:PREROUTING —> FORWARD —> POSTROUTING

    由本机的某进程发出的报文(响应报文):OUTPUT —> POSTROUTING

链的概念

在iptables中,防火墙关卡为什么称之为链呢?我们知道,防火墙是按照规则来对经过的报文进行筛选的,当报文经过防火墙上的"关卡"时,就必须匹配这个"关卡"的规则,但是可能这个"关卡"上不止一条规则。这样,当我们把这些规则依次连在一起,是不是就成为了链呢?每个经过这个"关卡"的报文,都要依次匹配链上所有的规则,如果有触发规则,将会执行相应的动作
在这里插入图片描述

表的概念

我们在一条链上放置了一系列的规则,但是这些规则有可能会存在一些相似的功能,我们把这些具有相似功能的规则整合在一起,这就是表,表就是这些相似或相同规则的集合

在iptables中,为了方便我们管理配置防火墙,iptables已经定义了4种表,每种表对应着不同的功能,我们定义的规则基本上都是处于这4种表的功能范围内,所以知道每个表的作用也就很重要了

  • filter表:负责过滤功能,防火墙;内核模块:iptable_filter
  • nat表:network address translation,网络地址转换功能;内核模块:iptable_nat
  • mangle表:拆解报文,做出修改,并重新封装功能;内核模块:iptable_mangle
  • raw表:关闭nat表上启用的连接追踪机制;内核模块:iptable_raw
表链关系

我们需要记得,某些链不具备某些规则,所以不具备某些功能,有点链什么规则都有,所以具备很强的功能,具体来说有什么功能,要看链上的规则存在于那些表中
在这里插入图片描述
以上的图什么意思呢?它表示,PREROUTING"链"拥有raw表、mangle表和nat表所对应的功能,PREROUTING链中的规则只能存放在nat表、mangle表和nat表中

现在,我们总结一下各个关卡(链)都有那些表吧:

  • PREROUTING:规则可以存在于raw表、mangle表、nat表
  • INPUT:规则可以存在于mangle表、filter表、(CentOS7中还有nat表,CentOS6里没有)
  • FORWARD:规则可以存在于mangle表、filter表
  • OUTPUT:规则可以存在于raw表、mangle表、nat表、filter表
  • POSTROUTING:规则可以存在于mangle表、nat表

由于实际情况下,我们都是以"表"来操作规则定义的,所以我们再看看各个表对应的链关系:

表(功能) < — > 链(钩子):

  • raw表:规则可以被哪些链使用:PREROUTING,OUTPUT
  • mangle表:规则可以被哪些链使用:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
  • nat表:规则可以被哪些链使用:PREROUTING,OUTPUT,POSTROUTING (CentOS7中还有INPUT,CentOS6里没有)
  • filter表:规则可以被哪些链使用:INPUT,FORWARD,OUTPUT

那么规则匹配有顺序吗?总不会胡乱匹配吧,事实上,iptables已经明确的规定了匹配顺序,即按照表的优先级进行匹配
在这里插入图片描述
上图中,表示的是PREROUTING链的规则执行顺序,是按照表的优先级

raw > mangle > nat

但iptables有四张表,那么他们都在一起时优先级是怎样的?

raw > mangle > nat > filter

数据经过防火墙的流程

为了更近一步理解防火墙,理解iptables的工作,我们可以试着看下面的图
在这里插入图片描述

规则的概念

规则:根据指定的匹配条件来尝试匹配每个经过此处的报文,一旦匹配成功,触发规则,则执行规则后面指定的处理动作进行处理

规则的组成:匹配条件 + 处理动作

匹配条件:

匹配条件分为基本匹配条件和扩展匹配条件

基本匹配条件:

  • 源地址Source IP,目标地址 Destination IP

扩展匹配条件:

  • 扩展匹配条件是netfilter的一部分,只是以模块的形式存在,如果想使用这些条件,则需要依赖对应的扩展模块
  • 源端口 Source Port,目标端口 Destination Port

处理动作:

处理动作在iptables中被称为target,同样,也分为基本动作和扩展动作

常用处理动作:

  • ACCEPT:允许数据包通过
  • DROP:直接丢弃数据包,不给出任何回应信息,这时候客户端会感觉自己的请求久久没有回应,直到超时
  • REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息,客户端刚请求就会收到拒绝访问的信息
  • SNAT:源地址转换,解决内网用户同一个公网地址上网问题
  • MASQUERADE:是SNAT的一种特殊形式,适用于动态的,临时的,会变化的IP上
  • DNAT:目标地址转换
  • REDIRECT:在本机做端口映射
  • LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,交给下一条规则处理,也就是说除了记录以为,不对数据包做任何处理

【Iptables】iptables目录
【Iptables】02 Iptables实际操作之规则查询

TDXYBS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 防火墙笔记(一)
小鲸鱼大梦想
02-07 537
扩展模块:-m tcp 表示使用 tcp 扩展模块,上述省略了( iptables 默认会调用与 -p 选项对应的协议名称相同的模块);-p tcp与 -m tcp 并不冲突,-p 用于匹配报文的协议,-m 用于指定扩展模块的名称,正好,这个扩展模块也叫 tcp。请看下面:要注意看表名和链名呢,是有关系的,在什么点进行规则设置,才能有效的拦截,虽然有时候我也要去前面翻翻,记不住。这个工具是属于一种包过滤的软件防火墙,它是免费的,不要钱,就很nice。请看下面:阻止了回环网卡的流量(我也不知道说的对不对)
iptables详解(2):iptables管理
qq_42502583的博客
08-12 658
iptables管理 本文转载自朱双印个人日志 iptables详解(2):iptables实际操作之规则查询 本文转载自朱双印个人日志 iptables详解(3):iptables规则管理 查看规则 iptables为我们预定义了4张表,它们分别是raw表、mangle表、nat表、filter表,不同的表拥有不同的功能。 查看filter表中的规则 iptables -t filter -L -t 指定要操作的表, -L 查看-t选项对应的表的规则,不加默认为所有规则 )] 上图中红色框部分为规则
iptables 命令总结---转自朱双印的博客
wo4owen的博客
06-03 554
如果想要NAT功能能够正常使用,需要开启Linux主机的核心转发功能。 echo 1 > /proc/sys/net/ipv4/ip_forward SNAT相关操作 配置SNAT,可以隐藏网内主机的IP地址,也可以共享公网IP,访问互联网,如果只是共享IP的话,只配置如下SNAT规则即可。 iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -j SNAT --to-source 公网IP 如果公网IP是动态获取的,不...
Iptables防火墙的四表五链概念以及使用技巧
江晓龙的博客
07-08 3197
防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则处理数据报文的动作。 Iptables有五种不同的链,分
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4134
本文主要内容是Linux iptables防火墙的基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
iptables和firewall的区别
最新发布
04-29
### iptables与firewalld的区别 #### 一、工作原理及机制差异 1. **iptables的工作方式**:作为Linux系统中广泛使用的静态防火墙工具,iptables在修改规则时会清空现有的规则库,并重新加载存储在`/etc/sysconfig/...
详解Android 利用Iptables实现网络黑白名单(防火墙)
01-05
为了使读此简笔的人对Iptables有一个简单的了解,此处强行百度了一波概念,如果想深入的了解Iptables的各种配置规则和内核对其的管理运行机制请自行www.baidu.com,这些并不是本简笔的目的所在。 闲言少叙,开始正文...
iptables防火墙应用指南
05-31
为了更好地理解和掌握iptables的基本概念,本章节将详细介绍iptables中的一些核心词汇: - **1.2.1 容器**:在iptables中,“容器”是指一种包含或归属于某个集合的概念。例如,可以将其理解为箱子、包或坛子等,...
iptables 入门篇
04-19
本篇文章整理了 iptables 的基本概念及入门知识,旨在帮助大家快速了解和使用 iptables。 关于更多 iptables 的扩展和实践部分将在后续篇章推出,敬请期待。
转载:iptables详解:图文并茂理解iptables
weixin_33749242的博客
03-31 1847
为什么80%的码农都做不了架构师?>>> ...
iptables 规则记录
ginkgo_dia的博客
11-10 777
本博客参考博客地址朱双印的博客iptables 分为链,表,,匹配条件,处理动作 - 链:prerouting ,forward ,postrouting ,input,output - 表:filter,mangle,nat,raw - 匹配条件:源地址,目标地址,源端口,目标端口 - 处理动作 ACCEPT,DROP,REJECT,SNAT,MASQUERADE,DNAT,R
Linux系统Iptables规则执行顺序详解
weixin_34150503的博客
07-31 1098
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。   1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. ...
iptables
qiupingunix的博客
03-15 1092
iptables IP地址取反 ! -s 192.168.200.2/32 感叹号在 -s之前,中间有空格。 iptables -I INPUT -p udp --dport 161 -i br0 ! -s 192.168.200.2/32 -d 192.168.200.1 -j DROPiptables -I INPUT -p udp --dport 161 -i br0 -d 192.168...
iptables学习笔记_____摘自朱双印个人日志 ____http://www.zsythink.net/
u013165852的博客
05-07 326
iptables学习笔记_____摘自朱双印个人日志 ____http://www.zsythink.net/ iptables为我们预先定义了四张表 raw、mangle、nat、filter filter表负责过滤:允许那些ip访问、拒绝那些ip访问、允许那些端口。。。是最常用的表 #查看表里面所有的规则iptables -t filter ...
iptables优先顺序
热门推荐
stonesharp的专栏
05-21 1万+
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由
keepalived启动后iptables自动添加Drop规则
weixin_34054866的博客
09-19 604
keepalived 在启动后如果参数配置不当,会在iptables中自动添加一条DROP VIP的规则。这里的一些参数可能会造成这个问题。1、在配置中添加了strict 或 noaccept参数。2、在全局配置下使用了vrrp_strict 参数。此参数为严格控制VRRP协议,不支持单播模式,注释掉此选项,将不会默认添加DROP规则。 转载于:https://bl...
朱双印个人日志
阿基米德来了的博客
08-06 2977
http://www.zsythink.net/ 记录一下在学习的过程中发现的大佬博客,对我帮助很大。 大佬博客主要有一下方面内容 Linux基础 基础知识 常用命令 运维技术 IPtables Ansible puppet Zabbix LVS Http Nginx 数据库 Mysql 编程 Shell ...
iptables 执行清除命令 iptables -F 要非常小心的 .
weixin_34138377的博客
08-19 3220
用 /sbin/iptables -F 要小心,搞不好,你就马上同服务器断开连接了以下是来自 http://wiki.ubuntu.org.cn/IptablesHowTo 上的说明可以通过/sbin/iptables -F清除所有规则来暂时停止防火墙: (警告:这只适合在没有配置防火墙的环境中,如果已经配置过默认规则为deny的环境,此步骤将使系统的所有网络访问中断)如...
Iptables指南:详解参数与应用
文章详细介绍了iptables的基本概念、安装过程以及其核心组成部分——表和链。首先,作者解释了撰写此指南的原因,强调iptables在网络安全中的重要性,并阐述了指南的编写方法和术语定义,确保读者具备必要的背景知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值