Linux防火墙--iptables(一)基础篇

最新推荐文章于 2022-07-12 15:12:11 发布
最新推荐文章于 2022-07-12 15:12:11 发布
阅读量455 收藏
点赞数
分类专栏: 运维 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ghost_leader/article/details/79022350
版权
本文介绍了Linux防火墙iptables的基础知识,包括iptables的功能、Netfilter框架、五表五链的结构以及匹配和目标操作。讲解了iptables如何进行数据包过滤,并通过实例展示了状态追踪的重要性以及如何配置状态追踪规则。此外,还提及了iptables的地址转换和资源管理,如ip_conntrack模块对连接数量的影响。
摘要由CSDN通过智能技术生成

一.iptables 简介

      iptables防火墙是由Netfilter项目开发的,iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、指定策略过滤等。而iptables使用Netfilter框架进行过滤。Netfilter本身不对数据包进行过滤---它只是允许可以过滤数据包的函数挂接到内核的位置。

二.iptables的过滤策略

     iptables策略是由一组有序的规则建立的。其中体现在五表五链(其中security表是新加入的)

                   

表:1.filter(主要功能是过滤)

        2.nat(用于网络转换SNAT和DNAT)

        3.mangle(修改分组数据的特定规则)

        4.raw(独立于Netfilter连接跟踪子系统起作用的规则)

链:

       每个表都有自己的一组内置链,而链就在数据包流经的必经之路上,上图可见。

       1.INPUT链:当数据包要由内核流向Linux系统中必将经过INPUT链的检查,当然检查的规则是各个表上的规则。

       2.OUTPUT链:linux 系统自己生成的数据包流出本机。

       3.FORWARD链:管理经过Linux系统路由的数据包。

       4.

最低0.47元/天 解锁文章
Ghost_02
关注
专栏目录
Kali Linux 渗透测试之主动信息收集(二)——三层发现(ping/shell脚本、scapy/python脚本、nmap、fping、hping3)
橘子女侠
04-13 1251
发现——三层发现 原理:使用IP/ICMP协议; 优点:相对于二层可以路由,速度比较快; 缺点:速度比二层慢,经常被防火墙过滤掉; (1)ping 1.1> ping单个主机 ping 192.168.37.128 #ping目标主机,会一直ping下去,按CTRL+C可暂停; ping 192.168.37.128 -c 2 #使用-c参数,...
linux防火墙iptables总结
锅锅的博客
01-27 1593
一、介绍 首先iptables是一个大的过滤系统,除了这个,现在新的过滤系统一nftables,功能大同小异 iptables命令 1、iptables ipv4 2、ip6tables ipv6 3、arptables arp过滤 4、ebtables 以太网桥过滤 iptables有5张内置表: 1、filter表,过滤使用;内核模块:iptables_filter 2、nat表,网络地址转换功能;内核模块:iptable_na 3、mangle表,拆解报文,做出修改,并重新封装 的功能;iptable
linux 服务器 iptables 防止arp病毒,linux环境下防arp解决方法
weixin_28711397的博客
05-02 717
方案二:arping命令解决arp***(此发放貌似可以解决局域网中病毒的问题。但根本解决办法还是得找到局域网内中apr的机器。)原文:我用的是fedoracore6,我先把几个镜像文件挂上,用关键字arp一搜,就搜到了arptables,和arpwatcher首先是arpwatcher了,它好像只能监控本机ip/arp地址的改变之类的,好像不能防止arp***。再一看arptabl...
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables基础(一)
weixin_33946020的博客
04-05 377
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
iptables学习笔记
fantasywith的博客
07-12 298
过滤防火墙 iptables filewalld 链表chain 语法 查看Linux路由表 安装iptables-services 查看iptables策略 https://www.cnblogs.com/long-cnblogs/p/10711659.html
Linux-----iptables基础
weixin_44167712的博客
01-22 297
Linux--iptables基础1 iptables基础1.1 iptables基础1.2 顺序读取规则1.3 命令格式1.3.1 参数:1.3.2 动作选项1.4 帮助及环境准备2 简单应用2.1 尝试禁止用户访问1521端口2.2 删除规则2.3 -A和-I的区别2.4 禁止192.168.0.20访问2.5 禁止非自己的访问2.6 禁端口范围2.7 匹配icmp类型2.8 匹配网络状态...
2-linux系统笔记之Iptables防火墙
10-15
1-linux系统笔记之基础1.doc 2-linux系统笔记之Iptables防火墙.doc 3-linux系统笔记之lamp网站环境搭建.doc 4linux系统笔记之lNMP网站环境搭建.doc 5linux系统笔记之apache高级服务.doc 6linux系统笔记之...
架构-防火墙iptables
Struggle_Hard_Z的博客
12-25 1887
架构图详解 架构: 把一个整体(完成人类生存的所有工作)切分成不同的部分(分工),由不同角色来完成这些分工,并通过建立不同部分相互沟通的机制,使得这些部分能够有机的结合为一个整体,并完成这个整体所需要的所有活动,这就是架构 1.用户需求 用户带着域名提交访问请求 2.DNS 通过DNS解析域名找到该域名对应IP返回 3.防火墙(iptables) 也叫:包过滤防火墙 iptables内置4个表,即filter表、nat表、mangle表和raw表 每个表都会有相应的链 filter表
Linux基础教程linux配置防火墙详细步骤终版.pdf
02-01
资源旨在为读者提供 Linux 防火墙配置的详细步骤,旨在帮助读者快速掌握 Linux 防火墙配置的技能。本教程将指导读者如何配置一个 filter 表的防火墙,包括查看 IPTABLES 设置情况、清除原有规则、配置防火墙规则...
ping: sendmsg: Operation not permitted 什么原因?
weixin_34332905的博客
01-05 937
iptables防火墙设置问题。 当NAT或者filter表里面的OUTPUT或者POSTROUTING设置为DROP,会出现ping: sendmsg: Operation not permitted 转载于:https://blog.51cto.com/lxsym/472392...
linux 服务器 iptables 防止arp病毒,让Linux系统有效防御ARP攻击的实用技巧
weixin_29905347的博客
05-02 370
解决linuxARP攻击的方法我用的是fedora core 6,我先把几个镜像文件挂上,用关键字arp一搜,就搜到了arptables,和arpwatcher 首先是arpwatcher了,它好像只能监控本机ip/arp地址的改变之类的,好像不能防止arp攻击。 再一看arptables,立马想到了iptables,装上一看,果然,命令行都一模一样。 可是问题来了,保持本机不受arp攻击很简单...
iptables/arptables实现单IP一级二级路由
互联网
08-08 408
有时候,你仅仅有一个IP地址,然而却有多台设备,比如公司配发的电脑,自己的笔记本电脑,手机,iPad等,显然公司配发的电脑将是你的这个IP的第一优先占有者,其它的设备将无法接入。如果你手上有一个带有WIFI模块的Linux BOX,你可能会想到建立二级路由,然而此时你的那台公司配发的机器就会被隐藏在这个BOX后面,如果你的BOX在WAN口做了基于状态的MASQURADE地址转换,那么所有针对你的被...
使用GOST搭建一个简单的端口转发(Linux&Windows)
qq_21279961的博客
06-29 8333
Gost是一个功能多样且实用的安全隧道工具,使用的是go语言编写 GitHub项目:https://github.com/ginuerzh/gost Gost文档:https://docs.ginuerzh.xyz/gost (比如甲骨文机型) TCP 转发 UDP 转发 全协议转发(TCP+UDP) 小飞机转发 示例:使用A服务器的端口转发IP为的B服务器的端口(TCP+UDP) 创建命令后我们就可以连接到A服务器的端口,从而使用B服务器的端口; 如果服务器使用了宝塔面板需要在面
关于iptables配置的心得
weixin_34258782的博客
07-09 189
其实iptables并不是一个很神秘的东西,只是掌握其配置起来比较困难,因为他的语法规则比较繁琐,配置起来比较麻烦,但是如果能掌握其基本用法,配置和使用起来慢慢就会得心应手。本文将从iptables的基本规则和用法详细讲起,然后附加一下案例来对iptables详细的理解,希望本文对你学习iptables有一点帮助下面我们一块来揭开iptables的神秘面纱。 说的iptables,稍微对ipta...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值