iptables 初探

最新推荐文章于 2017-03-25 23:04:20 发布
最新推荐文章于 2017-03-25 23:04:20 发布
阅读量516 收藏
点赞数 1
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stopmiss0804/article/details/46318907
版权

一、netfilter


  网络过滤器:放入内核特定的位置,必须是tcp/ip的协议栈经过的地方,能够实现读取规则的地方叫做网络过滤器(netfilter)

  iptables发展到现在有五个特定的位置被作为网络过滤器,被称为五个钩子函数(hook functions),也叫五个规则链。

  1.INPUT (数据包流入口):当收到访问防火墙本地地址的数据包时,应用此链的规则

  2.OUTPUT(数据包出口):当防火墙本机向外发出数据时,应用此链的规则。

  3.FORWARD (转发管卡):当收到要通过防火墙发送给其他网络地址的数据包时,应用此链的规则。

  4.PREROUTING (路由前):在对数据包做路由选择之前,应用此链的规则。

  5.POSTROUTING(路由后):在对数据包做路由选择之后,应用此链的规则。

二、规则表


  Netfilter/iptables可以对流入和流出的信息进行细化控制,且可以在一台低配置机器上很好地运行,被认为是Linux中实现包过滤功能的第四代应用程序。Netfilter/iptables包含在Linux 2.4以后的内核中,可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。netfilter工作在内核内部,而iptables则是让用户定义规则集的表结构。内核模块可以注册一个新的规则表(table),并要求数据包流经指定的规则表。这种数据包选择用于实现数据报过滤(filter表),网络地址转换(NAT表)及数据报处理(mangle表)。

  1、filter:filter表格不会对数据报进行修改,而只对数据报进行过滤(允许通过或者不允许通过)。

  2、NAT:实现对需要转发数据报的地址进行地址转换

  3、mangle:实现对数据报的修改或给数据报附上一些外带数据。(修改报文原数据就是来修改TTL的。能够实现将数据包的元数据拆开,在里面做标记/修改内容的。而防火墙标记,其实就是靠mangle来实现的。)

  对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT

  对于nat来讲一般也只能做在3个链上:PREROUTING ,OUTPUT ,POSTROUTING

  而mangle则是5个链都可以做:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

三、iptables基本原理


  通过向防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用Netfilter/iptables系统提供的特殊命令iptables,建立这些规则,并将其添加到内核空间的特定信息包过滤表内的链中。关于添加/除去/编辑规则的命令的一般语法如下:

  iptables [-t table] command [match] [target]

  不难看出,一条iptables规则包含如下4个基本元素:

  1)、[-t table]:表

  2)、command:命令

  3)、[match]:匹配

  4)、[target]:目标

四、command

  1.链管理命令

  -P :设置默认策略的                       iptables -P INPUT (DROP|ACCEPT)

  -F: 清除所有的已订定的规则;       iptables -F

  -X: 用于删除用户自定义的空链             iptables -X

  -Z:清空链,及链中默认规则的计数器的     iptables -Z

  2.规则管理命令

  -A:追加,在当前链的最后新增一个规则

  -I num : 插入,把当前规则插入为第几条。

  -R num:Replays替换/修改第几条规则

  -D num:删除,明确指定删除第几条规则

  3.查看管理命令 “-L”

  附加子命令

  -n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。

  -v:显示详细信息

  -vv

  -vvv :越多越详细

  -x:在计数器上显示精确值,不做单位换算

  --line-numbers : 显示规则的行号

  -t nat:显示所有的关卡的信息

五:match(匹配规则)

  1、IP地址匹配

  必须为地址(IP)或者网段(IP/MASK)地址可以通过加!去反

  -s:指定作为源地址匹配

  -d:表示匹配目标地址

  2、协议匹配

  -p:用于匹配协议的(TCP/UDP/ICMP…)

  3、流入流出匹配

  -i eth0:从这块网卡流入的数据--流入一般用在INPUT和PREROUTING上

  -o eth0:从这块网卡流出的数据--流出一般在OUTPUT和POSTROUTING上

  4、端口配置 ( 1024-65535用户使用范围,1024以下为系统使用)

  默认不能设置多个非连续端口,当开启多端口扩展支持多个非连续端口

  -m multiport:表示启用多端口扩展

  TCP/UDP --dport 21,25,33

  TCP/UDP --dport XX-XX:目标端口,单个端口,或者连续端口

  TCP/UDP --dport 22   --dport 21-23 (此时表示21,22,23)

  TCP/UDP --sport:源端口

  5、TCP标志位

  --tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)

  6、ICMP数据报文

  -p icmp:icmp数据报文的扩展

  六:target(目标)  -j ACCEPT/REJECT/DROP…

  ACCEPT:接受

  REJECT:明示拒绝

  DROP:悄悄丢弃(一般我们多用DROP来隐藏我们的身份,以及隐藏我们的链表)

  custom_chain:转向一个自定义的链

  DNAT:目的地址转换

  SNAT:源地址转换

  MASQUERADE:源地址伪装

  REDIRECT:重定向:主要用于实现端口重定向

  MARK:打防火墙标记的

  RETURN:返回(在自定义链执行完毕后使用返回,来返回原规则链)

  LOG 表示将包的有关信息记录入日志

  TOS 表示改写数据包的TOS值

六:基本操作


  service iptables save       保存iptables规则

  /etc/init.d/iptables save   保存iptables规则

  service iptables stop       关闭iptables

  service iptables start      开启iptables

  service iptables restart    重启iptables
那天我记得
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux iptables介绍
07-15
linux iptables介绍
iptables 应用初探(nat+三层访问控制)
郭晓檀的专栏
02-05 1146
 iptables是一个Linux下优秀的nat+防火墙工具,我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得,看了网上也有很多这方面的文章,但是似乎要么说的比较少,要么就是比较偏,内容不全,容易误导,我研究了一段时间的iptables同时也用了很久,有点滴经验,写来供大家参考,同时也备日后自己翻阅。首先要说明的是,iptables操作的是2.4以上内核的netfi
iptables初探
rongtangzi的博客
03-25 402
一,前言 本来想起个名字叫做“小白都是怎么学习iptables的?”或者“你为什么还不了解iptables?”等等,就像简书上的头条文章,虽然被说成“标题党”也是名副其实,但是的确能吸引别人去阅读,提升阅读量(那些大V也确实是这么干的)。不过转念一想,我这小白所写的文章,稚不成书,还是少些人看的好:)。。。故改名iptables初探。意在记录自己学习iptables的过程,轻喷!   首先,
iptables.docx
06-22
iptables.docx
iptables 详解iptables 详解
12-02
iptables 详解
iptables.rar
11-22
安装防火墙需要的所有rpm包。 一共三个包services、devel、和一个基础包。已经测试安装过,包好用。
centos7 iptables
03-07
iptables-1.4.21-35.el7.x86_64.rpm iptables-services-1.4.21-35.el7.x86_64.rpm
(全新整理)上市公司数字经济与实体经济融合发展程度测算数据(2008-2022年)
09-06
1、资源内容地址:https://blog.csdn.net/2301_79696294/article/details/141966339 2、代码特点:今年全新,手工精心整理,放心引用,数据来自权威,相对于其他人的控制变量数据准确很多,适合写论文做实证用 ,不会出现数据造假问题 3、适用对象:大学生,本科生,研究生小白可用,容易上手!!! 3、课程引用: 经济学,地理学,城市规划与城市研究,公共政策与管理,社会学,商业与管理
目标检测相关,yolo系列.zip
09-06
1 目标检测的定义 目标检测(Object Detection)的任务是找出图像中所有感兴趣的目标(物体),确定它们的类别和位置,是计算机视觉领域的核心问题之一。由于各类物体有不同的外观、形状和姿态,加上成像时光照、遮挡等因素的干扰,目标检测一直是计算机视觉领域最具有挑战性的问题。 目标检测任务可分为两个关键的子任务,目标定位和目标分类。首先检测图像中目标的位置(目标定位),然后给出每个目标的具体类别(目标分类)。输出结果是一个边界框(称为Bounding-box,一般形式为(x1,y1,x2,y2),表示框的左上角坐标和右下角坐标),一个置信度分数(Confidence Score),表示边界框中是否包含检测对象的概率和各个类别的概率(首先得到类别概率,经过Softmax可得到类别标签)。 1.1 Two stage方法 目前主流的基于深度学习的目标检测算法主要分为两类:Two stage和One stage。Two stage方法将目标检测过程分为两个阶段。第一个阶段是 Region Proposal 生成阶段,主要用于生成潜在的目标候选框(Bounding-box proposals)。这个阶段通常使用卷积神经网络(CNN)从输入图像中提取特征,然后通过一些技巧(如选择性搜索)来生成候选框。第二个阶段是分类和位置精修阶段,将第一个阶段生成的候选框输入到另一个 CNN 中进行分类,并根据分类结果对候选框的位置进行微调。Two stage 方法的优点是准确度较高,缺点是速度相对较慢。 常见Tow stage目标检测算法有:R-CNN系列、SPPNet等。 1.2 One stage方法 One stage方法直接利用模型提取特征值,并利用这些特征值进行目标的分类和定位,不需要生成Region Proposal。这种方法的优点是速度快,因为省略了Region Proposal生成的过程。One stage方法的缺点是准确度相对较低,因为它没有对潜在的目标进行预先筛选。 常见的One stage目标检测算法有:YOLO系列、SSD系列和RetinaNet等。 2 常见名词解释 2.1 NMS(Non-Maximum Suppression) 目标检测模型一般会给出目标的多个预测边界框,对成百上千的预测边界框都进行调整肯定是不可行的,需要对这些结果先进行一个大体的挑选。NMS称为非极大值抑制,作用是从众多预测边界框中挑选出最具代表性的结果,这样可以加快算法效率,其主要流程如下: 设定一个置信度分数阈值,将置信度分数小于阈值的直接过滤掉 将剩下框的置信度分数从大到小排序,选中值最大的框 遍历其余的框,如果和当前框的重叠面积(IOU)大于设定的阈值(一般为0.7),就将框删除(超过设定阈值,认为两个框的里面的物体属于同一个类别) 从未处理的框中继续选一个置信度分数最大的,重复上述过程,直至所有框处理完毕 2.2 IoU(Intersection over Union) 定义了两个边界框的重叠度,当预测边界框和真实边界框差异很小时,或重叠度很大时,表示模型产生的预测边界框很准确。边界框A、B的IOU计算公式为: 2.3 mAP(mean Average Precision) mAP即均值平均精度,是评估目标检测模型效果的最重要指标,这个值介于0到1之间,且越大越好。mAP是AP(Average Precision)的平均值,那么首先需要了解AP的概念。想要了解AP的概念,还要首先了解目标检测中Precision和Recall的概念。 首先我们设置置信度阈值(Confidence Threshold)和IoU阈值(一般设置为0.5,也会衡量0.75以及0.9的mAP值): 当一个预测边界框被认为是True Positive(TP)时,需要同时满足下面三个条件: Confidence Score > Confidence Threshold 预测类别匹配真实值(Ground truth)的类别 预测边界框的IoU大于设定的IoU阈值 不满足条件2或条件3,则认为是False Positive(FP)。当对应同一个真值有多个预测结果时,只有最高置信度分数的预测结果被认为是True Positive,其余被认为是False Positive。 Precision和Recall的概念如下图所示: Precision表示TP与预测边界框数量的比值 Recall表示TP与真实边界框数量的比值 改变不同的置信度阈值,可以获得多组Precision和Recall,Recall放X轴,Precision放Y轴,可以画出一个Precision-Recall曲线,简称P-R
8051Proteus仿真c源码用数组的指针控制P0口8位LED流水点亮
最新发布
09-06
8051Proteus仿真c源码用数组的指针控制P0 口8 位LED流水点亮提取方式是百度网盘分享地址
常见各类算法的习题和解析.zip
09-06
常见各类算法的习题和解析.zip
STM32+74HC595驱动4位数码管显示0-3.zip
09-06
STM32+74HC595驱动4位数码管显示0-3,代码逻辑参考:https://blog.csdn.net/MANONGDKY/article/details/141952401
ASP.NET001通用作业批改系统毕业课程设计项目+论文+答辩ppt
09-06
编号:52 程序开发环境:Visual Studio 2005以上版本 数据库:Sqlserver2000以上版本 程序设计语言:C# 程序实现功能: 该系统主要完成学生注册,登陆,作业的上传,教师对作业进行发布,批改等功能。包括登陆子系统,学生子系统,教师子系统和管理员子系统。 登陆子系统功能设计:登陆子系统要求,选择好自己的用户类别,均能登入,要求正确填写好登入信息。学生,老师,管理员以用户名与密码进行登入。如果用户名错误或不存在、密码错误,应当有提示[11]。注:本系统只带学生注册功能,每位老师与位学生只能对应唯一的ID。 学生用户子系统功能 1、上传作业 要求先找到上传的对象(老师),浏览本地计算机目录,找到要提交的文件,提交到对应的老师目录下,系统会自动记录下该作业提交的信息,完成提交过程,返回成功信息。 2、管理作业 要求能查询本人的成绩。对作业进行查看,删除。 3、修改个人信息 要求输入密码时候,需要密码隐藏模式现实;输入新密码时,要对密码进行二次检验,和长度检验;修改成功后提示成功。可修改除帐户以外的所有信息。 教师子系统功能设计 1、修改个人资料
国产数据库DM8预研报告
09-06
国产数据库DM8预研报告
8051Proteus仿真c源码将数据0xaa写入X5045再读出送P1口显示
09-06
8051Proteus仿真c源码将数据0xaa写入X5045再读出送P1口显示提取方式是百度网盘分享地址
自动化数据清理:Java中的策略、实践与代码实现
09-06
在数据科学和信息系统中,数据的质量和准确性对于分析结果和决策至关重要。自动化数据清理是确保数据质量的关键步骤,它涉及识别、修正或删除错误的、不完整的、不准确的或无关的数据。Java,作为一种强大的编程语言,提供了多种工具和库来支持数据清理过程。本文将详细介绍如何在Java中实现自动化数据清理,包括数据清理的基本概念、常用的数据清理技术、实现步骤和代码示例。 自动化数据清理是确保数据质量和准确性的重要步骤。通过在Java中实现自动化数据清理,可以显著提高数据处理的效率和可靠性。本文详细介绍了自动化数据清理的策略、关键技术和实现步骤,为读者提供了一个全面的自动化数据清理实现指南。 随着技术的发展,自动化数据清理将在更多领域发挥重要作用,帮助企业和个人更好地管理和保护他们的数据资产。
8051Proteus仿真c源码书中例图
09-06
8051Proteus仿真c源码书中例图提取方式是百度网盘分享地址
8051Proteus仿真c源码混合电压系统设计
09-06
8051Proteus仿真c源码混合电压系统设计提取方式是百度网盘分享地址
8051Proteus仿真c源码万能逻辑电路实验
09-06
8051Proteus仿真c源码万能逻辑电路实验提取方式是百度网盘分享地址
iptables 应用初探 张天成
10-18
iptables 是一种在 Linux 操作系统上广泛使用的防火墙工具。它能够通过过滤、修改和重定向网络数据包来加强服务器的安全性。 首先,iptables 可以根据源和目标 IP 地址、端口号和协议类型等条件对网络数据包进行过滤。例如,我们可以配置 iptables 来阻止特定 IP 地址或端口的流量进入服务器,从而避免潜在的安全威胁。此外,我们还可以通过 iptables 的用户定义链来进行更复杂的过滤操作。 其次,iptables 还可以修改数据包的头部信息。通过修改数据包的源或目标 IP 地址等信息,我们可以实现网络地址转换(NAT)功能,将私有 IP 地址映射为公共 IP 地址以实现 Internet 访问。此外,还可以通过修改数据包的源或目标端口号来实现端口转发等功能。 最后,iptables 还可以根据一系列规则来重定向数据包。例如,我们可以配置 iptables 将特定端口号的流量重定向到不同的服务器,以实现负载均衡或高可用性。同时,iptables 还支持连接跟踪,可以跟踪连接状态,并根据连接状态来处理数据包,从而提供更高级的安全防护。 在实际应用中,我们可以使用 iptables 命令来创建、修改和删除规则。同时,为了简化配置过程,还可以使用一些图形界面的工具,如 firewalld 和 UFW,来管理iptables。需要注意的是,正确地配置 iptables 规则非常重要,因为不当配置可能会导致网络连接问题或安全漏洞。 总的来说,通过 iptables应用,我们能够灵活地设置与管理服务器的防火墙规则,从而保护服务器免受各种网络攻击和恶意流量的侵害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值