iptables学习笔记4-自定义链

最新推荐文章于 2023-08-10 14:10:43 发布
最新推荐文章于 2023-08-10 14:10:43 发布
阅读量429 收藏 7
点赞数
分类专栏: Iptables 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Free_time_/article/details/105530083
版权

背景

在第一篇文章里,我们曾说过 Linux 内核默认内置了 5 条链,分别是 prerouting、postrouting、input、output、forward,数据包流入和流出都会经过其中一些链。
那自定义链和上面的 5 条链有什么区别呢?什么情况下需要自定义链呢?或者说自定义链的好处是什么?
区别:
自定义链和内置的链有一个最大的区别就是:自定义链默认不会生效,需要在内置的 5 条链引用才会生效。怎么引用呢? -j 指定动作/自定义链。
对于自定义链怎么和表关联,这是由 /sbin/iptables 命令指定的,在创建自定义链的时候就关联上了。
好处:
假设现在某台 Linux 服务器上有 1000iptables 规则,有些是针对 mysql 服务的,有些是针对 nginx 服务的,有些是针对 sshd 服务的。这时我们需要插入一条关于 mysql 的规则,限制只能 172.16.0.0/16 网段访问。这时应该怎么办呢?我们在插入前需要把前面的 1000 规则中针对 mysql 服务的规则筛选出来,然后浏览一遍,最后在插入我们新增的规则。
这样做是不是很麻烦啊,简直是非常麻烦。此时应该怎么办呢?聪明的你一定想到自定义链的意义了。
假设我们有一条链叫 IN_MYSQL ,它上面应用的规则全是针对 mysql 服务的,此时我们如果还想增加关于 mysql 服务的规则,直接在 IN_MYSQL 链上修改就行了。

自定义链的好处就是,它可以将规则分类进行管理,让操作人员管理起来更加清晰。但是自定义链默认不会使用,需要在内置的 5 条链上引用。

举例

创建 IN_MYSQL

iptables -t filter -N IN_MYSQL
  • -t :指定表为 filter,若不指定,默认也是 filter
  • -N :自定义链名称

在这里插入图片描述

红色方框内的是我们刚刚创建的自定义链
蓝色方框内的是 docker 自己创建的自定义链。这里先不管
括号内的信息表示链的引用次数, 1 表示1 次引用,0 表示没有引用

IN_MYSQL 链配置规则:只允许 172.16.0.0/16 网段访问

iptables -t filter -I IN_MYSQL -p tcp -m tcp -s 172.16.0.0/16 --dport 3306 -j ACCEPT
iptables -t filter -A IN_MYSQL -p tcp -m tcp --dport 3306 -j REJECT
  • -I :插入规则,后面指定链名
  • -A :追加规则,后面指定链名

在这里插入图片描述

INPUT 链中引用 IN_MYSQL

iptables -t filter -I INPUT -j IN_MYSQL
  • -j :指定处理动作/自定义链,这里就是自定义链的引用

在这里插入图片描述
引用之后我们再来看现在的状态, IN_MYSQL 链的引用次数已经变成了 1,此时在看 INPUT 链中的规则,target 的值正是自定义链 IN_MYSQL

赶快自己动手试试吧!

小结

这篇我们讲了自定义链的区别和好处,同时做了一个示范,自定义链 IN_MYSQL

  • 区别:自定义链不能直接使用
  • 好处:将规则分开管理,便于维护
  • 创建自定义链: -N 选项, iptables -t filter -N IN_MYSQL
  • 添加规则到自定义链:创建规则是将链名写为自定义链即可 iptables -t filter -I IN_MYSQL -p tcp -m tcp --dport 3306 -s 172.16.0.0/16 -j ACCEPT
  • 引用自定义链:-j 选项,和处理动作一样 iptables -t filter -I INPUT -j IN_MYSQL
xianyuLuo.
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables中的自定义
weixin_63168851的博客
04-07 263
iptables
IPtables定义
Nanqiao_X的博客
02-08 3339
定义链是为了将iptables规则进行分类管理,想象一下,如果INPUT链中存放了200条规则,这200条规则有针对httpd服务的,有针对sshd服务的,有针对私网IP的,有针对公网IP的,假如,我们突然想要修改针对httpd服务的相关规则,难道我们还要从头看一遍这200条规则,找出哪些规则是针对httpd的吗?这显然不合理。 1、创建一个名为in_test的链 # iptables -N in_test 2、引用in_test 链 # iptables -I INPUT -p tcp --dpor
iptables详解【10】: 自定义
focus_lyh的博客
10-24 230
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下 iptables零基础快速入门系列 前文中,我们一直在定义规则,准确的说,我们一直在iptables的默认链中定义规则,那么此处,我们就来了解一下自定义链。 你可能会问,iptables的默认链就已经能够满足我们了,为什么还需要自定义链呢? 原因如下: 当默认链中的规则非常多时,不方便我们管理。 想象一下,如果INPUT链中存放了200条规则,这200条规则有针对h
iptables总结存档
u011635437的博客
06-28 871
目前我的工作已经比较少去使用linux防火墙了,机房分多区域,生产都在内网使用,庞大的系统也已经无法使用linux的防火墙来隔离机器之间的网络访问关系。iptables的结构由表Tables,链Chains,规则Rules三部分组成。 首先是iptables的表(tables)与链(chains) iptables有Filter, NAT, Mangle, Raw四种内建表: (1). Filter表 Filter是iptables的默认表,它有如下三种内建的链(chains): OUTPUT链 : 就是处
iptables定义chain
魏志标的博客
08-10 1460
iptables中,可以创建自定义链(Custom Chains)来组织和管理防火墙规则。自定义链可以以更高层次和更好的可读性来管理规则,使配置和维护更加简单。以下为在iptables中创建和使用自定义链的示例1:创建chain mychain2:添加规则到自定义链禁止192.168.1.0的网段访问本机,丢弃源地址的流量3:调用自定义链这将将所有传入 TCP 端口 80 的流量传递到 MYCHAIN 自定义链进行处理。如果不调用自定义的规则链,则自定义的规则链无效4:删除自定义链。
【Linux安全之iptables定义链】
mengmeng_921的博客
09-13 1200
之前,我们一直在使用的都是 iptables 默认链中定义规则,所有我们也可以自定义链。当默认链中的规则非常多时,不方便我们管理。想象一下,如果 INPUT链中存放了 200 条规则,这 200 条规则有针对 httpd 服务的,有针对 sshd 服务的,有针对私网 IP 的,有针对公网 IP 的。假如,我们突然想要修改针对 httpd 服务的相关规则,难道我们还要从头看一遍这 200 条规则,找出哪些规则是针对 httpd 的吗?这显然不合理。
iptables简介 自定义
lbyyy的专栏
12-26 7956
iptables简介 自定义
iptables定义
weixin_39833509的博客
07-10 1026
转自:https://blog.csdn.net/sl1248/article/details/52350768 https://blog.csdn.net/chengxuyuanyonghu/article/details/51897666 iptables -F iptables -X clean_in iptables -N clean_in iptables...
iptables详解(10):iptables定义
ss810540895的博客
10-20 905
示例:在filter表中创建IN_WEB自定义链#示例:在INPUT链中引用刚才创建的自定义链#示例:将IN_WEB自定义链重命名为WEB删除自定义链需要满足两个条件1、自定义链没有被引用2、自定义链中没有任何规则#示例:删除引用计数为0并且不包含任何规则的WEB链好了,自定义链就总结到这里,希望这篇文章能够对你有所帮助~各位客官,再见啦,么么哒~~
Iptables】10 Iptables定义
TDXYBS的博客
09-05 305
10 Iptables定义链 之前我们一直在讨论和使用默认的链,感觉已经满足我们的需要了,但是这样吗? 有没有可能我们想针对某一个服务自定义一条链,所有与之相关的规则都放在一起,这样会更好管理,我们不用在一大堆杂乱的规则中花大量时间找出我们想要的规则;答案是可以的,我们现在便新建一条自己的链吧 现在我们想自定义一条与WEB相关的链,先不管规则定义,怎么才能定义一条链呢?答案是使用 -N 选项 i...
iptables定义
weixin_37583747的博客
07-06 3970
创建自定义链    iptables -t filter -N self_control    -N = new    增加自定义链规则    iptables -t filter -I self_control -s 192.151.102.2 -j REJECT   引用自定义链    iptables -t filter -I INPUT -j self_control    删除自定义链 ...
iptables定义设置
05-22
iptables脚本,过滤syn包
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
iptables-services-1.4.21-17.el7.x86_64.rpm 下载
06-18
centos7 iptables-services-1.4.21-17.el7.x86_64.rpm 安装包 下载
centos6-iptables-1.4.7-16.el6.x86-64
08-09
centos6-iptables-1.4.7-16.el6.x86-64
iptables-services-1.4.21-34.el7.x86_64.rpm
09-22
iptables-services-1.4.21-34.el7.x86_64.rpm
iptables 学习笔记
11-22
iptables 学习笔记iptables 思维导图,有需要的拿去
Iptables防火墙如何自定义链表
江晓龙的博客
07-09 831
为什么需要自定义链呢?默认的四表五链不满足基本使用吗?其实并不是,四表五链完全满足使用,但是当我们同一类程序有很多个防火墙规则时,例如都写在INPUT链中,那么当我们要对其中的一条规则进行调整了,就会发现上下有关联性,修改起来不是那么容器,因为这个INPUT链中还有其他的服务规则。基于这种情况,我们就可以去自定义一张新的链,在这个链中,只定义这一类程序的防火墙规则。自定义链的规则优先级:1)创建一个自定义链 2)在自定义的链中添加防火墙规则添加了一条防火墙规则,来自192.168.20.21源地址的客户端禁
iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -Z
最新发布
11-30
5. iptables -t nat -X:删除nat表中的所有用户自定义链。 6. iptables -t nat -Z:将nat表中的所有链的所有计数器归零。 这些命令可以帮助你管理iptables规则,清空规则或者删除用户自定义的链。在使用这些命令时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值