iptables之四表五链

最新推荐文章于 2024-04-03 17:59:34 发布
最新推荐文章于 2024-04-03 17:59:34 发布
阅读量3.4w 收藏 13
点赞数 4
文章标签: iptables linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dwavelet/article/details/117807887
版权

ps: iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。

四表五链概念:

  • filter表——过滤数据包
  • Nat表——用于网络地址转换(IP、端口)
  • Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
  • Raw表——决定数据包是否被状态跟踪机制处理

 

  • INPUT链——进来的数据包应用此规则链中的策略
  • OUTPUT链——外出的数据包应用此规则链中的策略
  • FORWARD链——转发数据包时应用此规则链中的策略
  • PREROUTING链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
  • POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

下图为精简后的数据流向:

 

iptables规则添加,示例:

# 允许访问22端口 iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp -s 10.159.1.0/24 --dport 22 -j ACCEPT

注:-s后可以跟IP段或指定IP地址

iptables -I INPUT -p tcp --dport 45000:45010 -j ACCEPT

iptables -I INPUT -p tcp -m state --state NEW -m tcp -s 192.168.11.0/24 -j ACCEPT允许该网段的所有端口

iptables -L INPUT -n --line-number  查看INPUT链规则,并显示行号。

iptables -D INPUT 1  删除INPUIT链第一行规则

#屏蔽单个IP的命令是 iptables -I INPUT -s 123.45.6.7 -j DROP

 

docker的iptables

删除docker的nat    iptables -t nat -D DOCKER ! -i docker0  -p tcp -m tcp --dport 33609 -j DNAT --to-destination 172.17.0.2:3306

iptables -t nat -A DOCKER ! -i docker0  -s 192.168.11.201  -p tcp -m tcp --dport 33609 -j DNAT --to-destination 172.17.0.2:3306

创建链 iptables -t nat -N DOCKER

删除链 iptables -t nat -X DOCKER

在链中加入规则iptables -t nat -A DOCKER -p tcp -m tcp --dport 1194 -j DNAT --to-destination 172.17.0.2:1194

删除nat表的DOCKER链的第一条规则 iptables -t nat -D DOCKER 1

 

波浪理论~
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
iptables五链
echo_bright_的博客
07-20 2万+
如下是具有双网卡的Linux服务器,数据入口网卡是eth0,数据出口网卡是eth1: 而Linux**防火墙**的工作区域为下图中的绿色阴影部分(防火墙的概念这里不赘述): Linux系统中防火墙功能的两大角色:iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具,netfilter则是防火墙功能的具体实现,是内核空间的功能模块。所谓的ip...
Linux防火墙——iptables(四五链)
zcien的博客
02-12 1892
Linux防火墙iptables(四五链)详解
iptables深度总结--基础篇_iptables input output forward(1)
04-03 953
iprange扩展 指明连续的(但一般不是整个网络)ip地址范围–src-range from[-to] 源IP地址范围–dst-range from[-to] 目标IP地址范围示例: iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --srcrange 172.16.1.5-172.16.1.10 -j DROPicmp协议在网络层 网络层没有端口(curl 就用不了了,因为curl走的时候tcp协议)
Iptables之四五链
Jack_chao_的博客
07-20 962
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的四五链正常的访问流程图。
Linux策略路由和iptables OUTPUT链的一个细节
Netfilter
10-01 1万+
十一长假第一天,清晨我放飞一群白鸽范式如果想实现哪个网口进来的流量从哪个网口返回这么一个需求,有一个范式,我先贴出来:iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT iptables -t mangle -
iptables查看 input链规则,并按照优先级排序、显示行号
weixin_35757531的博客
01-08 990
你可以使用以下命令查看 input 链的规则,并按照优先级进行排序: iptables -SINPUT | sort -k 3 如果你想要在输出中显示行号,可以使用 nl 命令: iptables -SINPUT | nl 此命令会在每一条规则的开头添加一个行号,从 1 开始计数。 希望这能帮到你! ...
iptables命令实例
08-04
其中,`-t` 选项指定要操作的,`-A` 选项指定要添加的链,`-p` 选项指定协议,`-s` 选项指定源 IP,`-d` 选项指定目标 IP,`-j` 选项指定目标。 三、iptables 规则的设定 iptables 规则的设定可以分为两个方面:...
10.6: iptables防火墙 、 filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用。通过学习本节课程,学生将...
Iptables中文使用指南
06-06
第三、第四两章可以使我们理解、掌握iptables工作方式和流程。 第五章和第六章是iptables命令使用方法的详细介绍。 第七章与第八章是实例讲解,对我们编写自己的规则很有指导意义的,强烈建议你看一看。 附录里有...
Iptables 指南1.1-Oskar Andreasson
05-10
第三、第四两章可以使我们理解、掌握iptables工作方式和流 程。第五章和第六章是iptables命令使用方法的详细介绍。第七章与第八章是实例讲解,对我们 编写自己的规则很有指导意义的,强烈建议你看一看。附录里有一些...
构筑Linux防火墙之IPtables的概念与用法
05-14
通过使用iptables系统提供的特殊命令 iptables,建立这些规则,并将其添加到内核空间的特定信息包过滤内的链中。关于添加、除去、编辑规则的命令的一般语法如下: iptables [-t table] command [match] [target...
iptables结构及规则
零下二度的博客
01-08 999
目录一、iptables概述:netfilter:iptables:二、四五链四五链四:五链:三、iptables的安装与使用1、iptables防火墙的配置方法(1) 使用iptables 命令行(2)注意事项(3)常用的控制类型(4)常用的管理选项2、使用iptables添加新的规则:查看规则列:设置默认策略:删除规则:清空规则:四、规则的匹配1、通用匹配2.隐含匹配TCP标记匹配ICMP类型匹配3.显式匹配MAC地址匹配IP范围匹配状态匹配4、主机型防火墙必配 一、iptables概述: Li
iptables 45链 个人心得
weixin_43472459的博客
07-04 759
iptables是Linux防火墙中最常用的包过滤工具。要想理解它的运行机制就必须了解iptables的45链。4名称及功能介绍filter:过滤数据包nat:用于网络地址转换(包含DNAT、SNAT、MASQUERADE、REDIRECT)mangle:用于对特定数据包的修改(几乎不用)raw:决定数据包是否被状态跟踪机制处理,降低开销,从而提高性能(几乎不用)5链名称及数据包匹配位置介绍PREROUTING:对数据包作路由选择前应用此链中的规则。
Iptables防火墙的四五链概念以及使用技巧
江晓龙的博客
07-08 3139
在防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则处理数据报文的动作。 Iptables有五种不同的链,分
docker iptables 问题
qq_53361826的博客
09-28 939
docker出现driver failed programming external connectivity on endpoint
Forward链、Input链和Output链的区别
杨春建的博客
06-10 1万+
原文地址:http://blog.chinaunix.net/uid-27863080-id-3442374.html 1.如果数据包的目的地址是本机,则系统将数据包送往Input链。如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。 2.如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往Forward链。如果通过规则
IPtables 自定义链
Nanqiao_X的博客
02-08 3341
自定义链是为了将iptables规则进行分类管理,想象一下,如果INPUT链中存放了200条规则,这200条规则有针对httpd服务的,有针对sshd服务的,有针对私网IP的,有针对公网IP的,假如,我们突然想要修改针对httpd服务的相关规则,难道我们还要从头看一遍这200条规则,找出哪些规则是针对httpd的吗?这显然不合理。 1、创建一个名为in_test的链 # iptables -N in_test 2、引用in_test 链 # iptables -I INPUT -p tcp --dpor
iptables详解(2):iptables实际操作之规则查询
ss810540895的博客
10-20 726
在阅读这篇文章之前,请确保你已经阅读了如下文章,如下文章总结了iptables的相关概念,是阅读这篇文章的基础。如果你是一个新手,在阅读如下文章时,请坚持读到最后,读的过程中可能会有障碍,但是在读完以后,你会发现你已经明白了。在进行iptables实验时,请务必在测试机上进行。
linux系统中查看己设置iptables规则
热门推荐
chengxuyuanyonghu的专栏
07-13 17万+
1、iptables -L 查看filteriptables规则,包括所有的链。filter包含INPUT、OUTPUT、FORWARD三个规则链。 说明:-L是--list的简写,作用是列出规则。 2、iptables -L [-t 名] 只查看某个的中的规则。 说明:名一共有三个:filter,nat,m
iptables的四五链
最新发布
05-10
iptables基于四个和五个链来进行网络数据包的处理和过滤,这四个和五个链包括: 四个: 1. filter:主要用于过滤数据包,可以实现基于IP地址、端口号、协议等方面的过滤规则。 2. nat:主要用于网络地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

波浪理论~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值