【CyberSecurityLearning 44】iptables包过滤与网络地址转换

最新推荐文章于 2023-08-26 15:44:18 发布
最新推荐文章于 2023-08-26 15:44:18 发布
阅读量277 收藏
点赞数
分类专栏: CyberSecurityLearning 文章标签: linux 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Waffle666/article/details/114786444
版权
本文详细介绍了iptables包过滤防火墙的使用方法,包括iptables的基本语法、管理选项、规则匹配条件等,并通过具体案例展示了如何配置vsftpd服务及相应的防火墙规则。此外,还讲解了NAT网络地址转换的概念及其在iptables中的应用。
摘要由CSDN通过智能技术生成

目录

iptables包过滤与网络地址转换

Linux包过滤防火墙概述

iptables的基本语法

iptables的管理选项

iptables规则的匹配条件

常见的通用匹配条件

常用的隐含匹配条件(要写通用匹配才能使用)

常用的显示匹配条件

vsftpd

练习

NAT网络地址转换

数据保存(导出(备份)规则)

导入(还原)规则

iptables服务

iptables  工具名称:是用来控制内核的

内核包含了以下四种控制功能:(优先级从高到低排序
raw表             流量跟踪               PREROUTING   OUTPUT(链:就是写ACL的地方,一般链名要大写)
mingle表        流量整形               PREROUTING   INPUT   FORWORD   OUTPUT   POSTROUTING
nat表             网络地址转换        PREROUTING   POSTROUTING   OUTPUT
filter表           过滤                      INPUT   FORWORD   OUTPUT 

重点就是学filter表的INPUT链

iptables  -nvL    (或者写iptables  -t  filter  -nvL)
iptables  -t  nat  -nvL

iptables  -t  filter  -I  INPUT  -p  tcp  --dport  5901  -j  ACCEPT(如果是DROP是丢弃)
iptables  -t  -I  POSTROUTING  -p  all  -s  192.16.1.0/24  -o  eth1  -j  SNAT  --to-source  10.0.105.99

filter表中用的最多的就是INPUT链和FORWORD链

INPUT链代表数据包访问我的时候是否允许访问

iptables包过滤与网络地址转换

Linux包过滤防火墙概述

netfilter
位于Linux内核中的包过滤功能体系
称Linux防火墙的“内核态”

iptables
位于/sbin/iptables,用来管理防火墙规则的工具
称为linux防火墙的“用户态”

上述两种称呼都可以表示Linux防火墙

iptables的基本语法

INPUT后面跟一个数字,表示精确的将这条规则添加到某行

iptables  -I  INPUT  -p  icmp  -j  ACCEPT
iptables  -I  INPUT  -p  icmp  -j  REJECT
iptables  -I  INPUT  -p  icmp  -j  DROP  丢弃

删除规则(删除的选项的-D)
iptables  -D  INPUT  1(写1就是删除第一条规则)
iptables  -D  INPUT  1(再写一遍这个命令就是删除第二条,删完第一条,第二条就顶上去当第一条了)

KALI是不会开防火墙的

iptables的管理选项

我怎么知道规则有几行?
iptables  -nvL  --line-numbers(显示行号)

最好加选项的时候写-nvL,否则看的太精简,会有误导

没有REJECT

默认策略优先级最低

iptables规则的匹配条件

除了通用匹配其他都不能单独用

常见的通用匹配条件

!是取反的意思

常用的隐含匹配条件(要写通用匹配才能使用)

20:21   表示20端口到21端口

常用的显示匹配条件

把-m理解为调用模块

vsftpd

very security ftp非常安全的ftp(其实一点都不安全)

案例:

ftp     21端口是监听,20端口是用来传数据的,20端口属于主动模式

1、装一个ftp,在linux里面叫vsftpd
yum  install  vsftpd

2、vsftp默认的共享目录在/var/ftp/pub/
cp  /etc/passwd  /etc/shadow  /var/ftp/pub/

3、启动服务:  /etc/init.d/vsftpd  start

4、观察端口ss -antpl | grep ftp

5、iptables  -I  INPUT  -p  tcp  --dport  21  -j  ACCEPT

6、拿真实机win10来验证一下

7、iptables -nvL

8、现在想把第二条规则删了

iptables  -D  INPUT 2

打开win10再连接,连接后输入dir

pasv是被动模式

9、解决:iptables  -I  INPUT  -p  tcp  --dport  22  -j  ACCEPT

练习

NAT网络地址转换

数据保存(导出(备份)规则)

导入(还原)规则

iptables服务

Wαff1ε
关注
专栏目录
iptables防火墙NAT网络地址转换(SNAT、DNAT
weixin_47403076的博客
11-30 2129
NAT网络地址转换DNAT策略配置策略SNAT策略配置策略操作实例拓扑图操作流程web服务器配置防火墙配置验证效果 DNAT策略 原理:修改数据中的目标IP地址 作用:将位于企业局域网中的服务器进行发布 配置在nat中的PREROUTING链上 互联网主机想访问企业内部的web服务器,但服务器的地址是私有地址,无法直接访问。此时,客户机可以访问防火墙的公网地址,客户机的请求数据到达防火墙后,在防火墙上将请求数据的目标地址进行修改,并将数据发送给服务器。 配置策略 iptables -t nat -
RHCE 系列(二):如何进行过滤网络地址转换和设置内核运行时参数
weixin_34254823的博客
05-02 103
正如第一部分(“设置静态网络路由”)提到的,在这篇文章(RHCE 系列第二部分),我们首先介绍红帽企业版 Linux 7(RHEL)中过滤网络地址转换NAT)的原理,然后再介绍在某些条件发生变化或者需要变动时设置运行时内核参数以改变运行时内核行为。 RHCE 第二部分:网络过滤 RHEL 7 中的网络过滤 当我们讨论数据过滤的时候,我们指...
Iptables防火墙的四五链概念以及使用技巧
江晓龙的博客
07-08 3241
在防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则处理数据报文的动作。 Iptables有五种不同的链,分
防火墙的四五链
weixin_45697805的博客
01-06 1266
4个有:filter、nat、mangle、raw、默认是filter(没有指定的时候就是filter)。 的处理优先级:raw>mangle>nat>filter。 filter:一般的过滤功能 nat:用于nat功能(端口映射,地址映射等) mangle:用于对特定数据的修改 raw:有限级最高,设置raw时一般是为了不再让iptables做数据的链接...
iptables学习
weixin_46428609的博客
08-26 805
3.8 Linux IPTABLES中默认是阻止所有端口访问的,如果要开放服务的网络访问,一般要开通相关IP或端口访问。1. iptables -t filter -A与iptables -t filter -I的区别。3.4 当在云主机上操作iptables,注意不要因为修改iptables导致与云主机的连接断开。3.7 一般情况下,filter中,一般只限制INPUT链中对一些来源IP或端口进行限制。-A会追加到当前的最后,-I会添加到当前的第一行。只能清除添加的规则,默认规则是不受影响的。
iptables优先顺序
stonesharp的专栏
05-21 1万+
netfilter/iptables IP 信息过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息过滤中,而这些集成在 Linux 内核中。在信息过滤中,规则被分组放在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息过滤系统被称为单个实体,但它实际上由
iptables过滤MAC地址
03-06
iptables过滤MAC地址 ,利用过滤来控制mac地址的访问策略。
深入解析iptables防火墙配置与实战应用
最新发布
10-11
内容涵盖了iptables的不同应用场景、各种常见网络攻击防御(如SYN Flood攻击)、实用配置技巧及其与其他安全系统的整合使用等方面的内容。通过理论讲解与实战练习的组合形式帮助用户全面了解iptables。 适合人群:...
SNAT与MASQUERADE:IPtables中的网络地址转换详解
IPtablesLinux系统中用于网络过滤和路由管理的重要工具,它支持两种主要的网络地址转换技术:SNAT (Source Network Address Translation) 和 MASQUERADE,它们在实现网络流量隐藏和路由方面有各自的功能。...
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封需转送处理则检查Postrouting,如果是来自本机封,则检查OUTPUT以及Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了ACCEPT、REJECT、DROP、REDIRECT和MASQUERADE以外,还多出 LOG、ULOG等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤,一直到堆栈中的规则检查完毕为止。
iptables四个五条链
热门推荐
那时风起
11-06 3万+
iptables四个五条链     其实关于iptables的使用网上的资料和教程也比较多,主要是要理解其中的路由前和路由后每个和链所处的位置和作用,明白了也就简单了,以下是我转载的觉得写的比较详细的一篇博客,有时间我将写一篇关于这些和链的实质性的配置例子。 一、netfilter和iptables说明:     1、   netfilter/iptables IP
iptable
weixin_33768481的博客
04-23 661
http://qiliuping.blog.163.com/blog/static/1023829320105245337799/ netfilter/iptables全攻略 LINUX 2010-06-24 17:03:37 阅读353 评论0 字号:大中小订阅 内容简介 防火墙的概述 iptables简介 iptables基础 iptables...
iptables四个与五个链间的处理关系
s1070的专栏
10-11 1564
netfilter/iptables IP 信息过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息过滤中,而这些集成在 Linux 内核中。在信息过滤中,规则被分组放在我们所谓的链(chain)中。       虽然 netfilter/iptables IP 信息过滤系统被称为单个实体,
项目10——iptables过滤
jyj09的博客
12-10 1117
实训项目10,初步了解iptables如何做
iptables
weixin_47105257的博客
01-29 1374
iptables netfilter iptables的底层实现是netfilter。netfilter是linux 内核2.4版引入的一个子系统,最初是由Linux内核防火墙和网络维护者Rusty Russell提出。netfilter的架构就是在整个网络流程的若干位置放置一些钩子,并在每个钩子上挂载一些处理函数进行处理。 IP层的5个钩子点的位置,对应iptables就是5条内置链,分别是***PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD***。 netfilt
iptables 使用介绍
逢歌的博客
02-01 2403
iptables 使用介绍 一、iptables简介 iptables是集成在linux内核中的过滤防火墙系统, 是linux防火墙系统的重要组成部分。 二、iptables原理 先来看下主机如何处理数据:当主机收到一个数据后, 数据会先在内核空间进行处理, 若发现目的地址是自身, 则传到用户空间交给相应的应用程序处理, 若目的地址不是自身, 则会将丢弃或转发。 而iptables的主要功能就是在内核处理数据的几个关键位置添加对数据的处理“规则”,即对数据进出设备及转发的控制。 数据在内核
7、iptables之四优先级以及完整的流程图
LiuWei
05-07 1393
比较常用的就是: FILTER INPUT NAT PREROUTHING NAT POSTROUTHING
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值