linux-iptables学习

最新推荐文章于 2021-09-05 00:26:17 发布
最新推荐文章于 2021-09-05 00:26:17 发布
阅读量280 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L982817732/article/details/79159223
版权

Iptables:

Netfilter:可以实现读取规则的地方就叫做 netfilter.(网络过滤器)

 

一.iptables 简介

内核空间中定义5个位置:

      1.内核空间中:从一个网络接口进来,到另一个网络接口去的

    2.数据包从内核流入用户空间的

    3.数据包从用户空间流出的

    4.进入/离开本机的外网接口

    5.进入/离开本机的内网接口

 

五个位置也被称为五个钩子函数(hook functions),也叫五个规则链。

       1.PREROUTING(路由前)

       2.INPUT (数据包流入口)

       3.FORWARD (转发管卡)

       4.OUTPUT(数据包出口)

       5.POSTROUTING(路由后)

这是NetFilter规定的五个规则链,任何一个数据包,只要经过本机,必将经过这五个链中的其中一个链

 

防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。

 

定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。

1.filter 定义允许或者不允许的

       2.nat定义地址转换的 

     3.mangle功能:修改报文原数据

 

对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT

    对于nat来讲一般也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING

    而mangle则是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

 

二.IPtables格式

 iptables定义规则的方式比较复杂:

     格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION

        -ttable :3个选项:filternat mangle

        COMMAND:定义如何对规则进行管理

         chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的

        CRETIRIA:指定匹配标准

        -jACTION :指定如何进行处理

 

     比如:不允许172.16.0.0/24的进行访问。

     iptables-t filter -A INPUT -s 172.16.0.0/16 -p udp --dport 53 -j DROP

     当然你如果想拒绝的更彻底:

     iptables-t filter -R INPUT 1 -s 172.16.0.0/16 -p udp --dport 53 -j REJECT

 

     iptables-L -n -v  #查看定义规则的详细信息

 

练习题1

只要是来自于172.16.0.0/16网段的都允许访问我本机的172.16.100.1的SSHD服务

分析:首先肯定是在允许表中定义的。因为不需要做NAT地址转换之类的,然后查看我们SSHD服务,在22号端口上,处理机制是接受,对于这个表,需要有一来一回两个规则,如果我们允许也好,拒绝也好,对于访问本机服务,我们最好是定义在INPUT链上,而OUTPUT再予以定义就好。(会话的初始端先定义),所以加规则就是:

     定义进来的: iptables -t filter -A INPUT -s 172.16.0.0/16 -d172.16.100.1 -p tcp --dport 22 -j ACCEPT

     定义出去的: iptables -t filter -A OUTPUT -s 172.16.100.1 -d172.16.0.0/16 -p tcp --dport 22 -j ACCEPT

     将默认策略改成DROP:

                iptables-P INPUT DROP

                iptables-P OUTPUT DROP

                iptables-P FORWARD DROP

 

练习题2

假如我们允许自己ping别人,但是别人ping自己ping不通如何实现呢?

分析:对于ping这个协议,进来的为8(ping),出去的为0(响应).我们为了达到目的,需要8出去,允许0进来

 

在出去的端口上:iptables -A OUTPUT -p icmp--icmp-type 8 -j ACCEPT

在进来的端口上:iptables -A INPUT -p icmp--icmp-type 0 -j ACCEPT

 

小扩展:对于127.0.0.1比较特殊,我们需要明确定义它

           iptables-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

           iptables-A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

 

 

 

 

 

参考文献:

http://blog.chinaunix.net/uid-26495963-id-3279216.html

江来_ljyll
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables练习题2018.05.03
qq_41829450的博客
05-03 656
1. 只要是来自于172.17.21.0/24网段的都允许访问我本机的172.17.21.244的SSHD服务      扩展:可以增加状态检测。比如进来的只允许状态为NEW和ESTABLISHED的进来,出  去只允许ESTABLISHED的状态出去。      2. 假如我们允许自己ping别人,但是别人ping自己ping不通如何实现呢?分析:对于ping这个协议,进来的为8(ping),出...
kubernetes-server-linux-amd64.tar.gz
最新发布
08-28
同时,需要安装必要的依赖,如`bash`, `curl`, `jq`, `openssl`, `iptables`等。 2. **下载安装包**:从官方渠道获取"**kubernetes-server-linux-amd64.tar.gz**",并将其解压到一个合适的目录。 3. **配置网络...
Linux下iptables学习
phantom_111的博客
07-14 459
一、概念解释iptables,一个运行在用户空间的应用软件,通过控制Linux内核netfilter模块,来管理网络数据包的流动与转送。在大部分的Linux系统上面,iptables是使用/usr/sbin/iptables来操作,文件则放置在手册页(Man page[2])底下,可以通过 man iptables 指令获取。通常iptables都需要内核层级的模块来配合运作,Xtables是主要在
Linux学习--iptables
丢爸
05-10 299
防火墙 工作在主机或网络的边缘,对于进出的数据报文进行检查,监控,根据事先建立好的规则,进行检查,一旦符合标准,就按照制定的规则进行处理的一套机制。 规则(匹配标准和处理办法) iptables [-t TABLE] COMMAND CHAIN [num] 匹配标准 -j 处理方法 匹配标准: IP:源IP,目标IP TCP:源Port,目标Port UDP:源Port,目标Port ICMP:icmp类型 通用匹配: -s|--src:指定源地址 -d|--dst:指定目标地址 -p
iptables学习
weixin_30887919的博客
08-07 91
第一步how怎么使用iptables 第二步why iptables -nvxL 这个命令可以用来查看有多少包(包这个网络概念至今对我来说还是抽象的2016.8.19)被iptables截住了 方法:iptables -h ;man page iptabes下的几个概念 1.tables filter,nat,mangle,raw,security ...
iptables练习题
weixin_33836223的博客
03-25 568
1.仅允许192.168.1.0/24网段访问本机的192.168.1.202的60522,其余禁掉[root@lab-2-C6~]#iptables-F#清空默认规则 [root@lab-2-C6~]#/etc/init.d/iptablessave#保存 [root@lab-2-C6~]#iptables-tfilter-IINPU...
Linux基础课件-iptables安装与启动.pptx
11-02
总结一下,学习iptables主要包括以下步骤: 1. 检查iptables是否已安装,如果没有,使用`yum install iptables-services -y`进行安装。 2. 管理iptables服务,使用`systemctl`或`service`命令启动、停止、重启和查询...
linux学习资料-iptables
05-03
iptables linux下的防火墙配置工具
Linux防火墙iptables学习笔记.pdf
11-26
Linux防火墙iptables学习笔记.pdf
Linux下IPtables的配置全攻略
07-23
教程名称:Linux下IPtables的配置全攻略课程目录:【】Iptables学习笔记【】Iptables服务全攻略之实战配置【】Iptables配置指南【】iptables配置案例【】Linux Iptables配置文件【】LINUX下IPtables的详细配置【】...
iptables的练习
Bilise的博客
04-08 963
题目 1、iptables有几个表以及几个链 2、iptables的几个表以及每个表对应链的作用,对应企业应用场景。 3、请写出查看iptables当前所有规则的命令 4、禁止来自192.168.100.20 ip地址访问80端口的请求 5、实现把访问192.168.100.20:80的请求转到192.168.100.30:80 6、写一个防火墙配置脚本,只允许远程主机访问本机的80端口 7、限...
iptables练习题(四)
04-11 242
设有一台Linux服务器,利用iptables作为防火墙,要求新建一条名为MYCHAIN的新链,来实现只允许开放本机的http服务,其余协议和端口均拒绝。 脚本: [root@miyan ~]# cat newchain.sh #!/bin/bash#清除filter表中规则iptables -F#删除filter表中自定义的链 iptables -X#自定义名字为MYCH...
Iptables实例练习
刺心的博客
12-06 1063
Iptables实例练习屏蔽网站 1、屏蔽网站域名:iptables -I FORWARD -d www.baidu.com -j DROP 2、屏蔽网站IP:iptables -I FORWARD -d 192.168.1.1 -J DROP 为什么是FORWARD?看过前面博客就知道,FORWARD代表不是本机产生的且目的地不是本机,这个网站不是本机的服务所以用FORWARD 屏蔽服务 1
iptables--面试题
修行之路
06-27 1557
1 、详述 iptales 工作流程以及规则过滤顺序? iptables过滤的规则顺序是由上至下,若出现相同的匹配规则则遵循由上至下的顺序 2 、 iptables 有几个表以及每个表有几个链? Iptables有四表五 链 3 、 iptables 的几个表以及每个表对应链的作用,对应企业应用场景? filter:INPUT  作用:for  packets
iptables、四表五链、用例及练习
wangxu_190的博客
09-05 365
目录 一:什么是防火墙 1、什么是防火墙 2、防火墙分类 3、防火墙的原理 4、防火墙是通过什么过滤网络 5、什么是表 6、什么是链 7、链的使用场景 8、表和链之间的关系 9、iptables语法格式 10、表和链之间是怎么实现网络过滤的 11、支持过滤的协议有哪些 12、支持过滤的动作 14、Iptables的模块 1、用例及练习 2、用例2 一:什么是防火墙 1、什么是防火墙 防止别人恶意入侵服务器的软件。 2、防火墙分类 从逻辑上讲。防火墙可以大...
配置linux iptables,Linux系统下iptables基本配置方法
weixin_33507838的博客
05-26 201
Linux系统下配置iptables的具体步骤:1、查看本机关于IPTABLES的设置情况[root@www.linuxidc.com/]#iptables-L-nChainINPUT(policyACCEPT)targetprotoptsourcedestinationChainFORWARD(policyACCEPT)targetprotoptsour...
iptables -A INPUT -f -j DROP 丢弃碎片规则无效
caofengtao1314的专栏
09-01 1611
参考网址:https://ask.csdn.net/questions/1059469 练习iptables的攻击规则,发现如下的命令无效。 iptabled -A INPUT -f -j DROP 测试 win10: 192.168.0.2 linux: 192.168.0.5 测试1:无分片的报文 win10# ping 192.168.0.5 -->可以ping通 测试2:带分片的报文 win10# ping 192.168.0.5 -l 3000 -->可以ping通 测试3:
iptables学习与研究(使用LOG记录失败日志)
weixin_34363171的博客
12-12 453
原文地址: http://blog.csdn.net/fafa211/article/details/2307581   通常情况下,iptables的默认政策为DROP,不匹配的数据包将被直接丢弃。但在丢弃之前建议把信息记录下来,以使你了解哪些信息没有通过规则,有时可依此判断是否有人在尝试攻击你的服务器。 下面给出一个用来详细记录未匹配规则的数据包的iptables规则: #记录下未符合...
iptables 之 REJECT 与 DROP 对比
风雪小筑
05-18 3481
前言 在访问国外网站时,F12 看 console,下面两种错误很常见: (1),Failed to load resource: net::ERR_CONNECTION_REFUSED (2),Failed to load resource: net::ERR_CONNECTION_TIMEOUT 不考虑网络状况的情况下,一般是不同的 iptables 策略导致的。 本文简单分析不同 iptables 策略下不同的现象。 Netcat 监听端口 Linux 服务器配置防火墙策略时,对一些不希望对外开放的端
Linux Iptables入门与规则详解:防火墙配置指南
LinuxIptables使用资料(整理)详细介绍了Linux系统中重要的网络包过滤和防火墙管理工具——iptables。Iptables是内置于现代Linux内核中的一个模块,它作为netfilter的一部分,提供了功能强大的包过滤和网络访问控制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值