iptables防火墙

已于 2024-05-21 22:08:52 修改
阅读量722 收藏 19
点赞数 22
文章标签: 服务器 linux 网络
于 2024-05-21 22:08:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vince15dvd/article/details/139101401
版权

一.iptables防火墙 组件:

netfilter :属于内核态的功能体系,是一个内核模块,由多个数据包过滤表组成,其中包含数据包的过滤处理规则集,并根据规则过滤处理IP数据包
iptables :属于用户态的管理工具,如同firewalld、ufw,是一个防火墙应用管理程序,用来实现防火墙规则集的增删改查

主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上

二.四表五链:表中有链 链中有规则 

四表: raw表: 数据包状态跟踪

            mangle表:修改数据包内容,设置标记

            nat表:数据包地址转换

            filter表 :数据包过滤

五链:INPUT :处理入站数据

           OUTPUT :处理出站数据 

           FORWARD :处理转发数据

           PREROUTING :修改目的地址

           POSTROUTING:修改源ip地址

raw表包含:OUTPUT PREROUTING

mangle表: INPUT OUTPUT FORWARD PREROUTING POSTROUTING

nat表:        OUTPUT PREROUTING POSTROUTING

filter表:      INPUT OUTPUT FORWARD

数据包到达防火墙时,规则表之间的优先顺序

表的匹配顺序: raw -> mangle -> nat -> filter

规则链之间的匹配顺序

链的匹配顺序:入站数据 PREROUTING -> INPUT -> 本机的应用程序
                        出站数据 本机的应用程序 -> OUTPUT -> POSTROUTING
                        转发数据 PREROUTING -> FORWARD -> POSTROUTING

规则内的的匹配顺序:

从上往下依次匹配链中的规则,匹配到即停止;若没有匹配的规则,则按照链的默认规则处理

iptables安装

CentOS 7默认使用firewalld防火墙,没有安装 iptables,若想使用iptables防火墙。必须先关闭firewalld防火墙,再安装 iptables
systemctl stop firewalld.service
systemctl disable firewalld.service

yum install -y iptables iptables-services
systemctl start iptables.service

iptables防火墙的配置方法

命令格式:

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

注意事项:
不指定表名时,默认指filter表
不指定链名时,默认指表内的所有链
除非设置链的默认策略,否则必须指定匹配条件
控制类型和链名使用大写字母,其余均为小写

常用的管理选项:

-A :在指定链的末尾追加(--append)一条新的规则
-I :在指定链的开头插入(--insert)一条新的规则,未指定序号时默认作为第一条规则
-R :修改、替换(--replace)指定链中的某一条规则,可指定规则序号或具体内容
-P :设置指定链的默认策略(--policy)
-D :删除(--delete)指定链中的某一条规则,可指定规则序号或具体内容
-F :清空(--flush)指定链中的所有规则,若未指定链名,则清空表中的所有链
-L :列出(--list)指定链中所有的规则,若未指定链名,则列出表中的所有链
-n :使用数字形式(--numeric)显示输出结果,如显示 IP 地址而不是主机名
-v :显示详细信息,包括每条规则的匹配包数量和匹配字节数
--line-numbers:查看规则时,显示规则的序v

常用的控制类型:
ACCEPT:允许数据包通过。
DROP:直接丢弃数据包,不给出任何回应信息。
REJECT:拒绝数据包通过,会给数据发送端一个响应信息。
SNAT:修改数据包的源地址。
DNAT:修改数据包的目的地址。
REDIRECT:重定向改变目的端口,将接受的包转发至本机的不同端口
MASQUERADE:伪装成一个非固定公网IP地址。
LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包。

匹配条件
通用匹配:条件选项可直接使用
-p 协议        
-s 源IP/网段/域名        
-d 目的IP/网段/域名            
-i 入站网卡接口
-o 出站网卡接口    

案例:

1.增加新的规则

-A :在指定链的末尾追加(--append)一条新的规则

添加新的规则
iptables - t filter -A INPUT -p icmp -j REJECT
查看规则列表   vnL
iptables -t filter -vnL

2.在第一行增加新的规则

在INPUT链添加第一条规则
iptables - t filter -I INPUT -p icmp -j REJECT
查看规则列表   vnL
iptables -t filter -vnL

3.删除规则

1.删除INPUT第一行内容

删除规则
iptables -D 删除的链路第几行
下面演示的时删除INPUT的第一行

2.删除所有链的规则

iptables -t 表名 -F [链名]              #如果不指定链名则删除清空所有链的规则

4.修改规则内容

iptables -t 表名 -R 链名 序号 新规则内容

5.修改默认规则

设置默认策略:

iptables [-t 表名] -P <链名> <控制类型>

iptables -P INPUT DROP
iptables -P FORWARD DROP 
#一般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP,并设置白名单

Vince15dvd
关注
防火墙iptables
zmac111的博客
05-24 338
iptables一、基本概述四五链二、数据包的匹配数据包到达防火墙时,规则之间的优先顺序:规则链之间的匹配顺序规则链内的匹配顺序三、iptables安装与使用介绍1.安装2.配置方法3.控制类型4.管理选项5.使用iptables四、介绍几种规则的匹配1.通用匹配2.隐含匹配3.显式匹配4.状态匹配 一、基本概述 Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。
Linux 防火墙(一)(防火墙基础与编写防火墙规则)
Xucf1
12-28 4167
文章目录前言一、Linux 防火墙基础1.概述2.netfilter 与 iptables2.1 netfilter2.2 iptables2.3 小结3.iptables、链结构3.1 简介3.2 规则(四)3.3 规则链(五链)4.数据包过滤的匹配流程4.1 规则之间的匹配顺序4.2 规则链之间的顺序4.3 规则链内部各条防火墙规则之间的顺序二、编写防火墙规则1.安装iptables2.基本语法3.常用的控制类型4.常用的管理选项4.1 添加新的规则4.2 查看规则4.3 设置默认策略4.
iptables学习
风小猪的博客
11-05 448
Linux 的包过滤功能,即 Linux 防火墙,它由netfilter和iptables两个组件组成。filter:iptables 的默认。负责过滤功能、防火墙,也就是由 filter 来决定一个数据包是否继续发往它的目的地址或者被丢弃。对应的内核模块为 iptables_filter。。natnat 是 network address translation 的简称,具备网络地址转换的功能。对应的内核模块为 iptables_nat
Linux中的防火墙netfilter/iptables 简介
码海小虾米_的博客
05-24 1230
防火墙netfilter/iptables一、Linux防火墙基础1.1 ptables的、链结构1.1.1 Linux包过滤防火墙概述1.2 数据包控制的匹配流程1.2.1 四1.2.2 五链1.2.3 四五链总结1.2.4 规则链之间的匹配顺序1.2.5 规则链内的匹配顺序∶二、编写防火墙规则准备工作:2.1 基本语法、控制类型2.1.1 iptables防火墙的配置方法∶2.1.2 iptables 命令行配置方法∶2.1.3 常用的控制类型∶2.1.4 常用的管理选项∶2.2 添加、查看、删除
Linux系统防火墙iptables
云计算运维工程师的成长之路
09-16 3153
当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后, 任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后发送出去。如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
### 一键配置CentOS iptables防火墙Shell脚本解析 #### 概述 本文将详细介绍一个用于一键配置CentOS系统中的iptables防火墙的Shell脚本。该脚本可以帮助用户简化新装系统的iptables配置过程,使其更加高效且易于...
Linuxiptables防火墙的基本应用教程.docx
10-29
iptablesLinux 上常用的防火墙软件,本教程将介绍 iptables 的安装、清除 iptables 规章、iptables 只开放指定端口、iptables 屏蔽指定 IP、IP 段及解封、删除已添加的 iptables 规章等 iptables 的基本应用。...
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
Linux系统:iptables 防火墙
最新发布
十七拾的博客
02-18 3007
本文详细介绍了Linux防火墙iptables工具,详细阐释了iptables的五五链、及其相关操作,希望对你有帮助!
Linux防火墙 iptables
码里奥的博客
05-24 810
文章目录一、linux防火墙基础1.iptables概述2.iptables、链结构四五链3.数据包控制的匹配流程数据包之间的匹配顺序:规则链之间的匹配顺序:规则链内的匹配顺序:4. iptables的安装二、编写防火墙规则1.基本语法、控制类型1.命令格式2.常用的控制类型3.常用的管理选项2.添加、查看、删除规则1.添加新的规则2.查看规则列3.设置默认策略4.删除规则5.清空规则三、规则的匹配1.匹配条件2.通用匹配3.隐含匹配4.显示匹配5.主机型防火墙必配四、SNAT原理与应用1.SNAT
iptables详解
wdt3385的专栏
12-25 4953
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
Linux——iptables防火墙
nwp0611的博客
06-01 1452
Linux系统的防火墙:IP信息包过滤系统,它实际上由两个net filter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
Linuxiptables防火墙
ruocheng6的博客
02-16 530
1、Linux防火墙基础 iptables、链结构 数据包控制的匹配流程 2、编写防火墙规则 基本语法、控制类型 添加、查看、删除规则 规则的匹配条件 1、Linux防火墙基础 (1)Linux包过滤防火墙概述 ■netfilter ●位于Linux内核中的包过滤功能体系 ●称为Linux防火墙的“内核态” ■iptables ●位于/sbin/iptables,用来管理防火墙规则的工具 ●称为Linux防火墙的“用户态” —上述2种称呼都可以Linux防火墙(此防.
Linux iptables 设置
热门推荐
风过无声
06-20 2万+
编辑 /etc/sysconfig/iptables然后运行 /sbin/service iptables restart 防火墙规则只有在 iptables 服务运行的时候才能被激活。要手工启动服务,使用以下命令: /sbin/service iptables restart
Linux防火墙iptables
m0_67156403的博客
05-01 98
一.iptables概述 Linux系统的防火墙: IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 主要工作在网络层,针对 IP 数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络防火墙) netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 1.1 netfilter/iptables关系 netfilter : 属于“内核态”( Ke.
Linux防火墙iptables
芦苇的博客
05-24 403
内容概要一、Linux防火墙概述二、iptables的四五链三、iptables的安装iptables防火墙的配置方法规则的匹配 一、Linux防火墙概述 1、netfilter:位于Linux内核中的包过滤功能,称为Linux防火墙的“内核态” 2、iptables:位于usr/sbin/iptables,用来管理防火墙规则。称为Linux防火墙的“用户态” 以上两种都可以示为 Linux 防火墙 netfilter和iptables的关系 netfilter属于内核态,是内核的一部分,由一些数据包
iptables防火墙配置与规则管理详解
iptables防火墙Linux系统中一个强大的网络包过滤工具,其主要功能包括网络安全保护和网络流量隔离。它通过配置规则来控制进出系统的网络数据包,确保系统的安全性。本文档将详细介绍iptables的安装与配置过程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值