iptables

已于 2022-10-21 13:18:02 修改
阅读量1k 收藏 2
点赞数
分类专栏: 网络相关 文章标签: linux iptables iptables日志
于 2022-03-10 19:43:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QW_sunny/article/details/123409004
版权
一、iptables基础概念
  • 链(chain):系统包含五条链,PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD。可以自定义链
  • 表(table):系统包含5张表,raw、mangle、nat、filter、security。不能自定义表
            ~~~~~~~         raw表: iptables是有状态的,即iptables对数据包有连接追踪(connection tracking)机制,而raw是用来去除这种追踪机制的
            ~~~~~~~        mangle表:用于修改数据包头的IP信息
            ~~~~~~~        nat表:用于源、目的地址转换
            ~~~~~~~        filter表: 用于控制到达某条链上的数据包是继续放行、直接丢弃(drop)或拒绝(reject)
            ~~~~~~~        security表:不是很懂??
  • 规则(rule):具体的包处理规则,包括acl规则、nat规则等。常见处理动作包括:
             ~~~~~~~~          DROP:直接将数据包丢弃,不再进行后续的处理。应用场景是不让某个数据源意识到你的系统的存在,可以用来模拟宕机;
             ~~~~~~~~          REJECT:给客户端返回一个connection refused或destination unreachable报文。应用场景是不让某个数据源访问你的系统,善意地告诉他:我这里没有你要的服务内容;
             ~~~~~~~~         QUEUE:将数据包放入用户空间的队列,供用户空间的程序处理;
             ~~~~~~~~         RETURN:跳出当前链,该链里后续的规则不再执行;
             ~~~~~~~~          ACCEPT:同意数据包通过,当前基础链都直接通过,比如基础链FORWARD通过;
             ~~~~~~~~         JUMP:跳转到其他用户自定义的链继续执行。
             ~~~~~~~~         DNAT: 做目的地址转换,该链里的后续规则不再执行,直接跳往下一个链,例如当前在PREROUTING链中,直接跳往FORWARD
             ~~~~~~~~         SNAT: 源地址转换,完成转换后,直接跳往下一个链
             ~~~~~~~~         MARK: 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则
             ~~~~~~~~          LOG: 将封包相关讯息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 组态档,进行完此处理动作后,将会继续比对其它规则
             ~~~~~~~~          MASQUERADE: 改写封包来源 IP 为防火墙 NIC IP,可以指定 port 对应的范围,进行完此处理动作后,直接跳往下一个规则链(mangle:postrouting)。这个功能与 SNAT 略有不同,当进行 IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读取,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP 服务器指派的,这个时候 MASQUERADE 特别有用
二、网络包经过iptables的处理路径

网络包经过iptables的处理路径
       ~~~~~~       包从网卡进来之后先通过PREROUTING链,再经过路由表判断如果是发送给本机的包则继续通过INPUT链;如果是需要转发的包则经过FORWARD链。
       ~~~~~~       每条链由不同的表组成,具体每条链上的表如上图所示。每条链上的表处理顺序为:raw、mangle、nat、filter、security。
       ~~~~~~       自定义链:表中的规则可以通过JUMP动作跳到自定义链。

三、iptables命令使用
查看iptables表:
iptables -t 表名 -L 链名 

[root@master-node ~]# iptables -t nat -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
KUBE-SERVICES  all  --  anywhere             anywhere             /* kubernetes service portals */
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL

      ~~~~~      target表示动作, KUBE-SERVICES表示jump到KUBE-SERVICES自定义链

  • 如果缺省 -t 表名,默认为filter表
[root@master-node ~]# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
KUBE-NODEPORTS  all  --  anywhere             anywhere             /* kubernetes health check service ports */
KUBE-EXTERNAL-SERVICES  all  --  anywhere             anywhere             ctstate NEW /* kubernetes externally-visible service portals */
KUBE-FIREWALL  all  --  anywhere             anywhere
  • 如果缺省 链名,默认显示所有链
[root@master-node ~]# iptables -t raw -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
ANTREA-PREROUTING  all  --  anywhere             anywhere             /* Antrea: jump to Antrea prerouting rules */

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ANTREA-OUTPUT  all  --  anywhere             anywhere             /* Antrea: jump to Antrea output rules */

Chain ANTREA-OUTPUT (1 references)
target     prot opt source               destination
CT         udp  --  anywhere             anywhere             /* Antrea: do not track outgoing encapsulation packets */ udp dpt:6081 ADDRTYPE match src-type LOCAL NOTRACK

Chain ANTREA-PREROUTING (1 references)
target     prot opt source               destination
CT         udp  --  anywhere             anywhere             /* Antrea: do not track incoming encapsulation packets */ udp dpt:6081 ADDRTYPE match dst-type LOCAL NOTRACK
  • 可指定自定义链名
[root@worker-node1 ~]# iptables -L KUBE-SERVICES
Chain KUBE-SERVICES (2 references)
target     prot opt source               destination
REJECT     tcp  --  anywhere             bogon                /* default/banana-service has no endpoints */ tcp dpt:rrac reject-with icmp-port-unreachable
  • -n将端口号和IP地址以数字形式显示
[root@worker-node1 ~]# iptables -L KUBE-SERVICES -n
Chain KUBE-SERVICES (2 references)
target     prot opt source               destination
REJECT     tcp  --  0.0.0.0/0            10.103.19.32         /* default/banana-service has no endpoints */ tcp dpt:5678 reject-with icmp-port-unreachable
  • -v显示规则命中的包数目及大小
[root@worker-node1 ~]# iptables -t nat -L KUBE-FW-L6225SIXICQL5TGT   -v
Chain KUBE-FW-L6225SIXICQL5TGT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    7   420 KUBE-MARK-MASQ  all  --  any    any     anywhere             anywhere             /* default/foo-service loadbalancer IP */
    7   420 KUBE-SVC-L6225SIXICQL5TGT  all  --  any    any     anywhere             anywhere             /* default/foo-service loadbalancer IP */
    0     0 KUBE-MARK-DROP  all  --  any    any     anywhere             anywhere             /* default/foo-service loadbalancer IP */
  • –line-number显示规则序号
[root@worker-node1 ~]# iptables -t nat -L KUBE-FW-L6225SIXICQL5TGT   --line-number
Chain KUBE-FW-L6225SIXICQL5TGT (1 references)
num  target     prot opt source               destination
1    KUBE-MARK-MASQ  all  --  anywhere             anywhere             /* default/foo-service loadbalancer IP */
2    KUBE-SVC-L6225SIXICQL5TGT  all  --  anywhere             anywhere             /* default/foo-service loadbalancer IP */
3    KUBE-MARK-DROP  all  --  anywhere             anywhere             /* default/foo-service loadbalancer IP */
清空规则记录的包数目

iptables -Z

[root@worker-node1 ~]# iptables -t nat -Z
[root@worker-node1 ~]# iptables -t nat -L KUBE-FW-L6225SIXICQL5TGT   -v
Chain KUBE-FW-L6225SIXICQL5TGT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 KUBE-MARK-MASQ  all  --  any    any     anywhere             anywhere             /* default/foo-service loadbalancer IP */
    0     0 KUBE-SVC-L6225SIXICQL5TGT  all  --  any    any     anywhere             anywhere             /* default/foo-service loadbalancer IP */
    0     0 KUBE-MARK-DROP  all  --  any    any     anywhere             anywhere             /* default/foo-service loadbalancer IP */
四、iptables日志

centos7配置rsyslog

  • 编辑/etc/rsyslog.conf
    添加一行:
kern.warning                                            /var/log/iptable.log
  • 创建存放iptables日志的文件:
touch  /var/log/iptable.log
  • 重启rsyslog
systemctl restart rsyslog
  • 添加iptables日志规则
    与添加iptable规则语法一致
iptables -t nat -I KUBE-FW-L6225SIXICQL5TGT 2 -s 192.168.20.2 -j LOG --log-prefix pretest

KUBE-FW-L6225SIXICQL5TGT链nat表第2条规则前插入此条规则
包需要匹配源IP=192.168.20.2
规则动作为打日志,打出的日志添加前缀pretest
例子如下:

[root@worker-node1 ~]# iptables -t nat -L KUBE-FW-L6225SIXICQL5TGT   -n --line-number
Chain KUBE-FW-L6225SIXICQL5TGT (1 references)
num  target     prot opt source               destination
1    KUBE-MARK-MASQ  all  --  0.0.0.0/0            0.0.0.0/0            /* default/foo-service loadbalancer IP */
2    KUBE-SVC-L6225SIXICQL5TGT  all  --  0.0.0.0/0            0.0.0.0/0            /* default/foo-service loadbalancer IP */
3    KUBE-MARK-DROP  all  --  0.0.0.0/0            0.0.0.0/0            /* default/foo-service loadbalancer IP */
[root@worker-node1 ~]# iptables -t nat -I KUBE-FW-L6225SIXICQL5TGT 2 -s 192.168.20.2 -j LOG --log-prefix pretest
[root@worker-node1 ~]# iptables -t nat -L KUBE-FW-L6225SIXICQL5TGT   -n --line-number
Chain KUBE-FW-L6225SIXICQL5TGT (1 references)
num  target     prot opt source               destination
1    KUBE-MARK-MASQ  all  --  0.0.0.0/0            0.0.0.0/0            /* default/foo-service loadbalancer IP */
2    LOG        all  --  192.168.20.2         0.0.0.0/0            LOG flags 0 level 4 prefix "pretest"
3    KUBE-SVC-L6225SIXICQL5TGT  all  --  0.0.0.0/0            0.0.0.0/0            /* default/foo-service loadbalancer IP */
4    KUBE-MARK-DROP  all  --  0.0.0.0/0            0.0.0.0/0            /* default/foo-service loadbalancer IP */
  • 查看日志
    当有符合要求的包经过时,可在日志文件中通过过滤前缀查看:
 cat /var/log/iptable.log | grep pretest
清舞sunny
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
Linux 防火墙配置(iptables和firewalld)
热门推荐
m0_49864110的博客
02-21 1万+
iptables和firewaldl都只是linux防火墙的管理程序,真正的防火墙执行者是位于内核的netfilter,只不过firwalld和iptables的结果以及使用方法不一样。当创建的规则内容与已有规则一致时,不会覆盖原先的规则,会直接加入到现有规则链中(即此时此规则链下有两条一摸一样的规则,只是顺序不同)以上关于防火墙的配置是runtime模式,即配置成功后立即生效,但是重启后会失效(需要将配置保存,重启后才不会失效)处理出站的数据包(处理源是本机的数据包,一般不在此链上做规则)
Linux防火墙之iptables
weixin_67497034的博客
05-17 2219
这里写自定义目录标题一.istables防火墙1.1Linux防火墙简介1.2iptables四表五链1.3表链匹配流程二.iptables防火墙安装2.1防火墙安装2.2iptables命令三.iptables命令使用3.1查看规则列表3.2添加新规则3.3删除规则3.4设置默认策略四.规则匹配4.1匹配条件4.2通用匹配4.3隐含匹配4.4显示匹配 一.istables防火墙 1.1Linux防火墙简介 Linux防火强:IP信息包过滤系统,由两个组件netfilter和iptables组成。 主要工作
iptables详细讲解及用法
最新发布
wyf_wyf_001的博客
05-26 1395
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
linux iptables存储的位置,iptables保存规则
weixin_42327743的博客
05-13 1万+
iptables的配置文件保存在/etc/sysconfig/iptables-config 下,书写了iptables规则后,如果需要保存规则,可以使用命令:iptables-save,使用此命令的规则位置可以是任意的,此时保存的规则在重启机器后无法自动生效,需要使用命令iptables-restart恢复,或者写入机器启动脚本/etc/rc.d/rc.local里面。以下为教材里使用的命令:保...
Linux安全防火墙(iptables)配置策略
qq_51545656的博客
11-11 5570
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
查看linux iptables 配置文件位置,防火墙问题 Linux系统 /etc/sysconfig/路径下无iptables文件...
weixin_29237635的博客
04-29 1796
虚拟机新装了一个CentOs7,然后做防火墙配置的时候找不到iptables文件,解决方法如下:因为默认使用的是firewall作为防火墙,把他停掉装个iptablesystemctl stop firewalldsystemctl mask firewalldyum install -y iptablesyum install iptables-services然后就有iptables文件,就可...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
iptables详解
09-04
安全体系概览,预备知识:OSI七层模型,Firewalls: netfilter/iptables,数据包的流向图(iptables语法,标准流程)
Centos离线安装iptables.docx
04-15
Centos离线安装iptables
IPTABLES简介
06-25
iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制,iptables防火墙基于内核编码实现,具有非常稳定的性能和高效率。
iptables手册.pdf
08-15
适用于内外网,物理机环境对安全要求严格,文章描述清除,浅显易懂 带有图片描述不至于过于枯燥
iptables-services-1.4.21-34.el7.x86_64.rpm
09-22
iptables-services-1.4.21-34.el7.x86_64.rpm
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
iptables-1.4.21
11-24
centos7离线安装iptablesiptables-1.4.21-34.el7.x86_64.rpm和iptables-services-1.4.21-34.el7.x86_64.rpm
网络 || iptables
qq_60271706的博客
09-11 1404
N:创建一条新的规则链-X:删除自定义的规则链其他-h:查看iptables命令的使用帮助案例1案例2# 编写脚本/bin/bash# 创建计划任务,每隔1分钟执行^C。
CentOS 7 iptables 默认规则详解
一直被模仿,从未被超越
06-10 3034
安装 iptables yum install iptables -y #如果没有,安装一下 配置 iptables service iptables status #查看所有防火墙状态规则 iptables -I INPUT -p tcp --dport 443 -j ACCEPT #添加443端口 #屏蔽IP iptables -I INPUT -s 35.0.0.0/...
linux 修改防火墙配置
bayonet1999的博客
09-17 1553
1.首先介绍一下指令和相关配置文件 启动指令:service iptables start    重启指令:service iptables restart    关闭指令:service iptables stop       然后是相关配置:/etc/sysconfig/iptables    如何操作该配置呢?    vim /etc/sysconfig/iptable
查询iptables
04-30
iptablesLinux系统中用于配置和管理网络防火墙的工具。它允许管理员定义规则来控制网络流量的进出。以下是查询iptables的一些常用命令和方法: 1. 查看当前的iptables规则: ``` iptables -L ``` 2. 查看详细的iptables规则信息: ``` iptables -L -v ``` 3. 查看指定表的规则: ``` iptables -L 表名 ``` 4. 查看指定链的规则: ``` iptables -L 表名 -t 链名 ``` 5. 查找特定IP地址或端口的规则: ``` iptables -L -v -n | grep IP地址/端口号 ``` 6. 清空所有iptables规则: ``` iptables -F ``` 7. 添加一条新的iptables规则: ``` iptables -A 表名 -t 链名 规则参数 ``` 8. 删除指定的iptables规则: ``` iptables -D 表名 -t 链名 规则参数 ``` 9. 保存当前的iptables规则到文件中: ``` iptables-save > 文件名 ``` 10. 从文件中加载iptables规则: ``` iptables-restore < 文件名 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值