Linux之Iptables

最新推荐文章于 2024-05-27 14:49:51 发布
最新推荐文章于 2024-05-27 14:49:51 发布
阅读量201 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hh20161314/article/details/100008637
版权

1.iptables概要

iptables官网

[外链图片转存失败(img-85s6LnzI-1566439187005)(pic/IPtables.png)]

2.iptables发展历史

  • ipfirewall 内核1.x时代
  • ipchains 内核2.X时代----可以定义多条规则,将他们串起来,共同发挥作用
  • iptables 内核2.4以上----iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能

3.iptables工作原理

3.1 iptables链

  • INPUT:进入主机
  • OUTPUT:离开主机
  • PREROUTING:路由前
  • FORWARD:转发
  • POSTROUTING:路由后

3.2 iptables表

  • FILTER:负责过滤功能,内核模块 iptables_filter
  • NAT:负责进行网络地址转换,内核模块 iptable_nat
  • MANGLE:拆解报文,进行修改,重新封装,内核模块 iptable_mangle
  • RAW:关闭 nat 表上启用的连接追踪机制,内核模块 iptable_raw

3.3 链与表关系

链是报文流转过程中的关键处理环节,表是某一些相似规则的集合

4.iptables规则

格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION

4.1 参数介绍

  • -t table

表示对应的表,如:filter/nat/mangle/raw

  • COMMAND

定义如何对规则进行管理

  • chain

指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的

  • CRETIRIA

指定匹配标准

  • -j ACTION

指定如何进行处理

4.2 命令COMMAND详解

  • 链管理命令

具体的命令如下:

iptables -P INPUT (DROP|ACCEPT)  默认是关的/默认是开的
-F: FLASH,清空规则链的(注意每个链的管理权限)
iptables -t nat -F PREROUTING
-N:NEW 支持用户新建一个链
    iptables -N inbound_tcp_web 表示附在tcp表上用于检查web的。
-X: 用于删除用户自定义的空链
    使用方法跟-N相同,但是在删除之前必须要将里面的链给清空了
-E:用来Rename chain主要是用来给用户自定义的链重命名
    -E oldname newname
-Z:清空链,及链中默认规则的计数器的(有两个计数器,被匹配到多少个数据包,多少个字节)
    iptables -Z :清空
  • 规则管理命令

详细举例

 -A:追加,在当前链的最后新增一个规则
 -I num : 插入,把当前规则插入为第几条。
    -I 3 :插入为第三条
 -R num:Replays替换/修改第几条规则
    格式:iptables -R 3 …………
 -D num:删除,明确指定删除第几条规则

4.3 匹配标准

  • 通用匹配:源地址目标地址的匹配

相关实例如下

-s:指定作为源地址匹配,这里不能指定主机名称,必须是IP
IP | IP/MASK | 0.0.0.0/0.0.0.0
而且地址可以取反,加一个“!”表示除了哪个IP之外
 -d:表示匹配目标地址
 -p:用于匹配协议的(这里的协议通常有3种,TCP/UDP/ICMP)
 -i eth0:从这块网卡流入的数据
流入一般用在INPUT和PREROUTING上
 -o eth0:从这块网卡流出的数据
流出一般在OUTPUT和POSTROUTING上
  • 扩展匹配

对协议的扩展

-p tcp :TCP协议的扩展
--dport XX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如
--dport 21  或者 --dport 21-23 (此时表示21,22,23)
--sport:指定源端口
--tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)

4.4 参数详解-j ACTION

  • ACCEPT:允许数据包通过。
  • DROP:直接丢弃数据包。不回应任何信息,客户端只有当该链接超时后才会有反应。
  • REJECT:拒绝数据包。会给客户端发送一个响应的信息 。
  • SNAT:源 NAT,解决私网用户用同一个公网 IP 上网的问题。
  • MASQUERADE:是 SNAT 的一种特殊形式,适用于动态的、临时会变的 IP 上。
  • DNAT:目的 NAT,解决私网服务端,接收公网请求的问题。
  • REDIRECT:在本机做端口映射。
  • LOG:在 /etc/log/messages 中留下记录,但并不对数据包进行任何操作。

例如:

不允许172.16.0.0/24的进行访问

iptables -t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

当然你如果想拒绝的更彻底

iptables -t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT```
A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

`

Tester_hope
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxiptables
johnhan9的博客
03-21 335
系统:Ubuntu18.04 iptables是一款基于命令行的防火墙策略管理工具 常用命令 -P:设置默认策略 -F:清空规则链 -L:查看规则链 -A:在规则链末尾加入新规则 -I num:在规则链指定编号位置前插入新规则 -D num:删除某条规则 常用参数 -s:匹配来源地址IP/MASK,加叹号”!”表示除了某个ip外 -d:匹配目标地址 -i 网卡名称:匹配从这块...
Linux SElinux
weixin_42566251的博客
05-09 162
一、基本selinux安全性概念 selinux(安全增强型linux):内核级的加强形火墙,内核上的插件,改变后要重启。 selinux是可保护系统安全性的额外机制。在某种程度上,它可以被看作是与标准权限系统并行的权限系统。在常规模式中,以用户身份运行进程,并且系统上的文件和其他资源都设置了权限标签(控制哪些用户对哪些文件具有哪些访问权,selinux的另一个不同之处在于,若要访问文件必须具有普...
【运维必备】Linux iptables命令详解
maizaozao的专栏
06-13 6614
iptables
iptables详解
wdt3385的专栏
12-25 4846
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
iptables 规则参数
最新发布
kaiyuanheshang的博客
05-27 256
本文只是记录常用的命令行规则,如果想了解和学习 iptables,请移步每一条匹配规则都可以使用!进行取反。如表示所有目标端口不为 22 的请求。
Linux防火墙】iptables基础用法及高级用法
L李钟意的博客
06-23 2038
其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。
Linuxiptables实践与详解
小小默:进无止境
03-04 1342
【1】简介 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数。iptables这款用户空间的软件可以...
linux 防火墙 iptables 命令详解
探索者的博客
03-08 5239
上述的iptables命令示例可以帮助管理员学习如何使用iptables命令来保护不同服务。是Linux操作系统上的一个防火墙工具,它可以控制进入、离开、转发的数据流,是Linux服务器安全性的重要保障。这个命令将iptables规则保存到文件中,以后可以通过cat命令查看或加载这些规则。这两条命令将允许SSH流量的进入,但拒绝来自特定IP地址的连接。这条命令将允许一个特定的IP地址来访问服务器的端口。这个命令会清空之前iptables定义的所有规则。这条命令将删除之前添加的规则。
linuxiptables手册
01-18
iptables手册
详解Linux iptables 命令
09-15
Linux iptables命令是Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
linux iptables介绍
07-15
linux iptables介绍
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
Linux iptables防火墙实用模板
06-22
Linux iptables防火墙实用模板
Linux下的iptables详解
zhaoyi40233的博客
11-01 1898
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4104
本文主要内容是Linux iptables防火墙的基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
linux系统防火墙iptables命令规则及配置的示例
weixin_45697341的博客
11-14 777
linux系统防火墙iptables命令规则及配置的示例(本机IP为172.16.63.7): 1、清空当前系统的防火墙规则的命令,清空规则; #iptables -F 注:当前策略一定要是ACCEPT,不然会被阻断(你可以试试),任何清空删除规则前,都要保证自己不会被阻断!!! 2、允许172.16网段内的主机访问: #iptables -t filter -A INPUT -s 172.16....
iptables参数详解
huangjinbin32655的博客
10-20 2762
一、IPTABLES 主要参数: -A   添加规则到链表末尾 -I     添加规则到首部 -t     操作的表,后面加表名,不加这个参数默认操作表为filter -D  删除表中规则,可以指定序列号或者匹配的规则来删除 (iptables  -t nat  -D PREROUTING 1) -F  清空规则,重启后恢复(iptables -F 清空的是filter表) -L 
iptables命令选项以及参数配置
weixin_44866492的博客
03-15 693
添加规则,修改规则,删除规则,保存规则,开机自动读取。
iptable中文学习文档
HexBug
09-12 1706
iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rule num[option]删除指定规则iptables -[LFZ] [chain][option]用iptables
Linux防火墙iptables
09-14
Linux防火墙iptables是一种专为Linux操作系统设计的高度灵活的防火墙工具。它对于Linux的技术爱好者和系统管理员来说非常有用。下面是一些配置和使用iptables的常见步骤: 1. 首先,如果你使用的是CentOS 7操作系统...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值