iptables 防火墙(一)

最新推荐文章于 2024-05-04 09:48:58 发布
最新推荐文章于 2024-05-04 09:48:58 发布
阅读量223 收藏
点赞数
文章标签: linux tcp/ip ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HB199753/article/details/120369676
版权
本文详细介绍了Linux防火墙iptables的表、链结构,包括四表四链的概念和匹配流程。讲解了如何编写防火墙规则,如基本语法、控制类型以及规则管理选项。此外,还探讨了规则的匹配条件,包括通用匹配、隐含匹配和显式匹配,如协议、地址、端口等。通过本文,读者将深入理解iptables的工作原理和配置方法。
摘要由CSDN通过智能技术生成

目录

前言

一、概述

二、 iptables 的表、链结构

1、概念

2、四表(规则表)

3、五链(规则链)

4、数据包过滤的匹配流程

4.1  规则表应用顺序

4.2  规则链之间的顺序

4.3  规则链内的匹配顺序

三、编写防火墙规则

1、iptables 命令基本语法

2、数据包的常见控制类型

3、iptables 命令的常用管理选项

3.1  添加新的规则

3.2  查看规则列表

3.3  删除、清空规则

3.4  设置默认策略

四、规则的匹配条件

1、分类

2、 通用匹配

2.1  协议匹配

2.2   地址匹配

2.3   网络接口匹配

3、隐含匹配

3.1   端口匹配

3.2   TCP标记匹配

3.3   ICMP类型匹配

4、显式匹配

4.1  多端口匹配

4.2   IP范围匹配

4.3   MAC地址匹配

4.4   状态匹配

总结

 

前言

在Internet中,通过架设各种服务器为用户提供各种网络服务,怎样保护这些服务器,过滤恶意的访问、入侵呢?这里主要介绍Linux系统中的防火墙——netfilter和iptables,包括防火墙的结构和匹配流程,以及如何编写防火墙规则 。

一、概述

 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包进行过滤和限制,属于典型的包过滤防火墙。它基于内核编码实现,具有非常稳定的性能和高效率,也因此得到了广泛的应用。netfilter和iptables都可以用来指Linux防火墙,它们的区别如下:

netfilter:在Linux内核中实现防火墙的内部结构,不以文件或程序的形成存在,属于“内核态”的防火墙功能体系。

iptables:用来管理Linux防火墙的命令程序,通常位于/sbin/iptables目录下,属于“用户态”的防火墙管理体系。

二、 iptables 的表、链结构

1、概念

iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构。

2、四表(规则表)

raw:主要用来决定是否对数据包进行状态跟踪 包含两个规则链,OUTPUT、PREROUTING。

mangle :  修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链,INPUT、 OUTPUT、 FORWARD、 PREROUTING、 POSTROUTING。

nat:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。

filter:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个链,即PREROUTING、POSTROUTING、OUTPUT。

规则表的作用:容纳各种规则链;    

表的划分依据:防火墙规则的作用相似。

3、五链(规则链)

INPUT:  处理入站数据包,匹配目标IP为本机的数据包。

OUTPUT:  处理出站数据包,一般不在此链上做配置。

FORWARD:  处理转发数据包,匹配流经本机的数据包。

PREROUTING链:  在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。

POSTROUTING链:  在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。

规则链的作用:容纳各种防火墙规则;

规则的作用:对数据包进行过滤或处理 ;

链的分类依据:处理数据包的不同时机

4、数据包过滤的匹配流程

4.1  规则表应用顺序

raw→mangle→nat→filter

4.2  规则链之间的顺序

入站数据:当外界的数据包到达防火墙时,首先被PREROUTING链处理,然后进行路由选择,如果数据包的目标地址是本机,那么就将其传递给INPUT链进行处理,通过以后交给上层的应用程序进行响应。(PREROUTING --> INPUT --> 本机的应用程序)

转发数据:当外界的数据包到达防火墙时,首先被PREROUTING链处理,然后进行路由选择,如果数据包的目标地址是其他外部地址,则将其传递给FORWARD链进行处理,最后交给POSTROUTING链进行处理。(PREROUTING --> FORWARD --> POSTROUTING)

出站数据:防火墙本机向外部发送数据包时,首先被OUTPUT链处理,然后进行路由选择,再交给POSTROUTING链进行处理。(本机的应用程序-->OUTPUT-.>POSTROUTING)

4.3  规则链内的匹配顺序

自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志),
若在该链内找不到相匹配的规则,则按该链的默认策略处理。

三、编写防火墙规则

1、iptables 命令基本语法

基本的命令格式:

iptables  [-t 表名]  管理选项  [链名]  [匹配条件]  [-j 控制类型]

表名、链名:用来指定 iptables 命令所操作的表和链,未指定表名时将默认使用 filter 表;

管理选项: 表示iptables规则的操作方式,如插入、增加、删除、查看等;

匹配条件: 用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理;

控制类型:指的是数据包的处理方式,如允许、拒绝、丢弃等。

2、数据包的常见控制类型

 ACCEPT:允许数据包通过。 
 DROP:直接丢弃数据包,不给出任何回 应信息。 
 REJECT:拒绝数据包通过,必要时会给数据发送端一个

最低0.47元/天 解锁文章
HB199753
关注
Linux iptables 防火墙包过滤与端口转发
weixin_34313182的博客
01-16 326
iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 通俗来说,iptables是一个工具软件,可以控制到达当前linux...
系统学习------IPtables包过滤防火墙
Astronaut224的博客
03-15 757
文章目录防火墙基本概念根据逻辑分类:主机防火墙网络防火墙根据物理分类物理防火墙软件防火墙IPtablesIPtables基础链的概念表的概念表链关系规则概念规则操作 : 增删改匹配条件基本条件:扩展条件:自定义链 防火墙基本概念 根据逻辑分类: 主机防火墙 对单个主机进行防护 a) window上的防火墙 b) 云上的安全组 网络防火墙 对网络入口进行防护,防火墙的背后是本地局域网 a) 安全厂商...
防火墙
向死而生
08-30 510
运维之防火墙工具iptables
SNAT&DNAT策略
白雪滑落树梢
10-02 2741
文章目录前言一总结 前言 一 总结
计算机网络 - iptables 防火墙
qq_48391148的博客
04-06 2408
目录 1. iptables 的四表五链 1.1 规则链 1.1.1 默认的5种规则链 1.1.2 规则链间的匹配顺序 1.1.3 规则链内的匹配顺序 1.2 规则表 1.2.1 默认的4个规则表 1.2.2 规则表之间的优先顺序 1.3 数据包过滤匹配流程 2. iptables命令的语法格式 2.1 设置规则内容: 2.2 列表查看规则 2.3 清除规则 2.4 策略: 2.5 定时清除iptables规则 2.6 自定义规则链 2....
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
本文将详细介绍一个用于一键配置CentOS系统中的iptables防火墙的Shell脚本。该脚本可以帮助用户简化新装系统的iptables配置过程,使其更加高效且易于管理。通过执行此脚本,可以在不进行复杂手动配置的情况下实现对...
CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法
09-15
主要介绍了CentOS 7.0关闭默认防火墙启用iptables防火墙的设置方法,需要的朋友可以参考下
iptables防火墙应用指南
05-31
### iptables防火墙应用指南 #### 1. iptables简介 **1.1 iptables防火墙简介** iptables是一款广泛应用于Unix/Linux系统的免费包过滤防火墙工具。它具有强大的功能和高度灵活性,能够精确控制流入、流出以及通过...
iptables---防火墙
最新发布
weixin_52943021的博客
05-04 870
查看防火墙规则 流量把控,iptables -L # 这条命令是查看默认防火墙规则Chain INPUT (policy ACCEPT) # 默认输入策略 默认链的输入是全部放行 第一条链Chain FORWARD (policy ACCEPT) # 默认转发链是放行的Chain FORWARD (policy DROP) # 转发策略 转发链 策略下降Chain OUTPUT (policy ACCEPT) # 默认输出策略 默认输出链也是放行的语法。
iptables命令详解
weixin_33802505的博客
08-02 317
一.Iptables命令参数 命令结构Iptables (- t 表名) 操作方式 规则条件注:若取消“- t 表名”,默认是filter表。表名:filter、nat、mangle、raw操作方式: - L ##列出表内容    - F ##清除表内容...
Iptables 基本设置指南
leechm的博客
08-16 3411
目录 Basic Commands 基本命令 Allowing Established Sessions 允许已建立的连接接收数据 Allowing Incoming Traffic on Specific Ports 开放指定的端口 Blocking Traffic 阻断通信 Editing iptables 编辑iptables Logging 记录 Saving iptables 保存设置 Configuration on startup 开机自动加载配置 Tips 技巧 Basi
防火墙篇之iptables
kali_yao的博客
09-05 1575
目录 一.防火墙的概述 二.iptables基本原理 1.iptables防火墙具有4表5链 2.iptables命令的基本使用方法 三.filter过滤和转发控制 2.网络型防火墙案例 四.防火墙扩展规则 1.根据MAC地址过滤 2.基于多端口设置过滤规则 3.根据IP地址范围设置规则 五.配置SNAT实现共享上网 1.配置SNAT策略的概述 2.搭建内外网案例 一.防火墙的概述 Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包
iptables - 防火墙常用规则与使用方式记录
m0_51777056的博客
06-21 3221
iptables常用记录
linuxiptables防火墙
weixin_55609813的博客
05-25 594
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络型防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
防火墙顺序规则
weixin_39722409的博客
09-07 5544
总规则顺序------数据进来,进行比对判断。 一条一个动作执行,上面一条比对符合后,执行“accept”,就和下面规则没有关系了。 1.a情况 比对符合,就执行后面的动作,后面动作有三个(accept,reject,drop)。(比对通过,做动作,不理会下面规则。如被过滤后还有数据,往下走。) 1.b情况 比对不符合,又没有被rejct或drop,就继续下一条规则的比对。 2. 如此一个个规则下...
linuxiptables
johnhan9的博客
03-21 358
系统:Ubuntu18.04 iptables是一款基于命令行的防火墙策略管理工具 常用命令 -P:设置默认策略 -F:清空规则链 -L:查看规则链 -A:在规则链末尾加入新规则 -I num:在规则链指定编号位置前插入新规则 -D num:删除某条规则 常用参数 -s:匹配来源地址IP/MASK,加叹号”!”表示除了某个ip外 -d:匹配目标地址 -i 网卡名称:匹配从这块...
防火墙iptables
weixin_44841019的博客
05-23 1262
目录一、iptable概述1、netfilter/iptables关系2、iptables 的四表五链介绍2.1、四表2.2、五链2.3、规则表之间的顺序2.4、规则链之间的顺序2.5规则链内的匹配顺序2.6、数据包在规则表、链间的匹配流程二、iptables 配置总结 一、iptable概述 Linux系统的防火墙: IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 主要工作在网络层,针对 IP 数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防
iptables防火墙配置与规则管理详解
iptables防火墙Linux系统中一个强大的网络包过滤工具,其主要功能包括网络安全保护和网络流量隔离。它通过配置规则来控制进出系统的网络数据包,确保系统的安全性。本文档将详细介绍iptables的安装与配置过程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值