【9.25】日常运维——netfilter 表、iptables 语法

最新推荐文章于 2022-07-17 13:43:47 发布
最新推荐文章于 2022-07-17 13:43:47 发布
阅读量217 收藏 1
点赞数
分类专栏: 学习笔记 文章标签: netfilter nat iptables selinux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arsenal4life/article/details/101390711
版权

【9.25】日常运维——netfilter 表、iptables 语法

10.12 firewalld 和 netfilter

  • selinux 临时关闭
[root@arslinux-01 ~]# setenforce 0
[root@arslinux-01 ~]# getenforce 
Permissive
  • selinux 永久关闭
    在配置文件 /etc/selinux/config 中将SELINUX=改为 disable
[root@arslinux-01 ~]# vi /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disable
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

permissive 不会发生阻断,会提醒,不会显示出来,只是记录信息

  • CentOS7 之前版本使用的是 netfilter 防火墙,CentOS7 开始使用 firewalld 防火墙
    但是 iptables 工具用法是一样的

  • 打开 netfilter,关闭firewalld

[root@arslinux-01 ~]# systemctl disable firewalld
Removed symlink /etc/systemd/system/multi-user.target.wants/firewalld.service.
Removed symlink /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service.
[root@arslinux-01 ~]# systemctl stop firewalld

[root@arslinux-01 ~]# yum install -y iptables-services
过程略

[root@arslinux-01 ~]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
[root@arslinux-01 ~]# systemctl start iptables

[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   29  1924 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 16 packets, 1488 bytes)
 pkts bytes target     prot opt in     out     source

10.13 netfilter 5 表 5 链介绍

  • netfilter 的5个表:filter,nat,mangle,raw,security

  • filter 有3个链
    INPUT 作用于进入本机的包
    FORWARD 作用于和本机无关的包
    OUTPUT 作用于送出本机的包

  • nat 有 3 个链
    PREROUTING 包在刚刚到达防火墙时改变包的目标地址
    OUTPUT 改变本地产生的包的目标地址
    POSTROUTING 作用是在包将离开防火墙时改变包源地址

  • managle,raw,security 表基本用不到,因此不用关注,只需要关注 filter 和 nat 即可

  • iptables传输数据包的过程图示
    在这里插入图片描述
    参考:http://www.cnblogs.com/metoy/p/4320813.html

数据包进入网卡,首先进入 PREROUTING 链判断目标 IP,如果不是本机,那么转发出去,要经过 FORWARD 链,到 POSTROUTING 链输出
如果 PREOUTING 判断 IP 是本机,那么会进入 INPUT 链,进入到本机内核,处理完后,发送出去,经过 OUTPUT 链,最后到 POSTROUTING 链输出

总结:
如果是本机 PREROUTING ——> INPUT ——> OUTPUT ——> POSTROUTING
如果不是本机 PREROUTING ——> FORWARD ——> POSTROUTING

10.14 iptables 语法

  • iptables -nvL 查看 iptables 规则
[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   93  6690 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   14  1877 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 85 packets, 7970 bytes)
 pkts bytes target     prot opt in     out     source               destination
  • iptables 规则保存在 /etc/sysconfig/iptables
[root@arslinux-01 ~]# cat /etc/sysconfig/iptables
# sample configuration for iptables service
# you can edit this manually or use system-config-firewall
# please do not ask us to add additional ports/services to this default configuration
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
  • iptables -F 清空 iptables 规则
[root@arslinux-01 ~]# iptables -F 
[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 34 packets, 2244 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 18 packets, 1688 bytes)
 pkts bytes target     prot opt in     out     source               destination

规则只是暂时清空,并没有从配置文件中清空,如果重启服务,规则还会被加载,从而生效
如果想要永久生效,需要写入配置文件,可以执行 service iptables save

  • service iptables save 保存 iptables 规则
[root@arslinux-01 ~]# service iptables save
  • 重启服务器或重启服务会重新加载 iptables 规则
[root@arslinux-01 ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   14   924 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    1   229 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 8 packets, 864 bytes)
 pkts bytes target     prot opt in     out     source               destination

重启服务器或者重启iptables规则,都会去加载配置文件 /etc/sysconfig/iptables 中的规则

  • 默认 iptables 查看的时 netfilter 表的规则 iptables -t netfilter -nvL(不加 -t 就是filter表)

  • iptables -t nat -nvL 查看 nat 表的规则

[root@arslinux-01 ~]# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  • iptables -Z 清除计数器
[root@arslinux-01 ~]# iptables -Z;iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

iptables 常用选项

  • iptables 常用选项
选项含义
-A增加一条规则 INPUT:针对的链
-s指定来源ip(source)
-p指定协议(tcp、udp、icmp)
–sport来源端口
-d目标的 ip
–dport目标端口
-j操作 (DROP扔掉 / REJECT 拒绝,DROP直接丢掉;REJECT看下告诉他不行)
-I插入
-i指定网卡
  • iptables -A 增加 iptables 规则(排队到最后)
[root@arslinux-01 ~]# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  413 28732 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    4   946 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 13 packets, 1228 bytes)
 pkts bytes target     prot opt in     out     source               destination
  • iptables -I 插入规则到最前(相当于插队)
[root@arslinux-01 ~]# iptables -I INPUT -p tcp --dport 80 -j DROP
[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
  524 36068 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    4   946 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 4 packets, 464 bytes)
 pkts bytes target     prot opt in     out     source               destination

如果前面匹配过,后面就不会再被匹配了

  • iptables -D 删除规则
[root@arslinux-01 ~]# iptables -D INPUT -p tcp --dport 80 -j DROP
[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  584 40828 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    4   946 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
    0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 4 packets, 464 bytes)
 pkts bytes target     prot opt in     out     source               destination

如果需要删除的规则很长,规则已经记不清楚了, iptables -D 不太好删除
那么可以用简便的方法来删除

  • iptables 删除规则(简单方法)
    1,先给规则一个规则号;2,再删除规则号对应的规则
[root@arslinux-01 ~]# iptables -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
2      654 45448 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
3        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
4        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
6        5  1175 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
7        0     0 DROP       tcp  --  *      *       192.168.188.1        192.168.188.128      tcp spt:1234 dpt:80

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 32 packets, 4368 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
[root@arslinux-01 ~]# iptables -D INPUT 7
[root@arslinux-01 ~]# iptables -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
2      717 49616 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
3        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
4        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
5        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
6        5  1175 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 10 packets, 2232 bytes)
num   pkts bytes target     prot opt in     out     source               destination
  • iptables -i 指定网卡
[root@arslinux-01 ~]# iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
  • 默认规则:数据包如果没有具体规则来匹配,那么就走默认的策略 policy
  • 更改默认策略:iptables -P OUTPUT DROP(运行的话,远程连接就会被禁掉,只能到主机去修改规则)
[root@arslinux-01 ~]# iptables -P OUTPUT DROP
  • 改回策略:iptables -P OUTPUT ACCEPT (放行)
[root@arslinux-01 ~]# iptables -P OUTPUT ACCEPT

DROP / REJECT / ACCEPT

10.15 iptables filter 表案例

  • iptables 小案例
[root@arslinux-01 ~]# vi /usr/local/sbin/iptables.sh
#!/bin/bash
ipt="/usr/sbin/iptables"
$ipt -F
$ipt -P INPUT DROP
$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ipt -A INPUT -s 192.168.194.0/24 -p tcp --dport 22 -j ACCEPT
$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
:wq

ipt="/usr/sbin/iptables"
定义一个变量 ipt,方便简单,路径要写全局路径

$ipt -F
清空掉原本的规则

$ipt -P INPUT DROP
定义默认策略 INPUT DROP掉

$ipt -P OUTPUT ACCEPT
$ipt -P FORWARD ACCEPT
OUTPUT 和 FORWARD 全部 ACCEPT

$ipt -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
加入规则:-m state 指定状态,指定让 RELATED,ESTABLISHED 状态放行

$ipt -A INPUT -s 192.168.194.0/24 -p tcp --dport 22 -j ACCEPT
增加规则:网段为 192.168.194.0/24 ,端口为 22 的数据包放行

$ipt -A INPUT -p tcp --dport 80 -j ACCEPT
$ipt -A INPUT -p tcp --dport 21 -j ACCEPT
80 和 21 端口数据包放行

  • 实际操作
[root@arslinux-01 ~]# sh /usr/local/sbin/iptables.sh 
[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   32  2112 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       192.168.194.0/24     0.0.0.0/0            tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:21

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 17 packets, 1596 bytes)
 pkts bytes target     prot opt in     out     source               destination
  • 恢复默认状态
[root@arslinux-01 ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
[root@arslinux-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   40  2640 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 21 packets, 1964 bytes)
 pkts bytes target     prot opt in     out     source               destination

  • icmp 示例
    ping 本机 ip可以 ping 通

  • 互联网也可以 ping 通

[root@arslinux-01 ~]# ping www.baidu.com
PING www.baidu.com (192.168.194.150) 56(84) bytes of data.
64 bytes from www.baidu.com (192.168.194.150): icmp_seq=1 ttl=64 time=0.030 ms
64 bytes from www.baidu.com (192.168.194.150): icmp_seq=2 ttl=64 time=0.042 ms
^C
--- www.baidu.com ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.030/0.036/0.042/0.006 ms
  • 加上规则后,无法 ping 本机,但可以 ping 外网
[root@arslinux-01 ~]# iptables -I INPUT -p icmp --icmp-type 8 -j DROP

iptables -I INPUT -p icmp --icmp-type 8 -j DROP

张森纳
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux协议栈-netfilter(1)-框架
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter 是内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
netfilter filter(三)
weixin_46381158的博客
04-27 398
介绍netfilter模块的ipt_entry结构
iptables 防火墙(filter
种一颗树最好的时间是十年前,其次是现在!
07-17 2001
IP信息包括过滤系统,它实际上由两个组件netfilteriptables组成。主要工作在网络层,针对IP数据包,体现在包内的IP地址、端口等信息的处理。是为包过滤的实现提供规则,通过各种不同的规定,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包该如何处理。为了更加方便的组织和管理防火墙规则,iptables采用了和链的分层结构。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。其中。总结里有链,链里有规则。...
linux netfilter路由,linux网络相关,firewalld和netfilter,netfilter55链介绍,itptables语法...
weixin_30152861的博客
05-13 371
Linux网络相关: 如果没有 ifconfig 命令 那么需要安装一个包(yum install net-tools)如果 ifconfig 命令查看不到网卡的话,那么可以使用 ifconfig -a 查看(网卡down掉时使用这个命令)down=网卡被关闭ifdown 网卡名字 关闭网卡ifup 网卡名字 开启网卡在远程终端上面使用了 ifdown 关闭了网卡,那么必须在本地机器上面使用 if...
Linux防火墙 - netfilter的四五链概述
angelqucheng的博客
05-09 1883
Linux防火墙 - netfilter的四五链概述 iptables作为Linux发行版自带的防火墙管理工具,通过调用内核netfilter模块实现流量的转发、控制、跟踪功能,是Linux内核中实现包过滤的内部结构。 四五链概念 四filternat、mangle、raw 五链:PREROUTING、FORWARD、INPUT、OUTPUT、POSTROUTING filter——...
netfilter 五个五个链介绍,iptables案例
weixin_33854644的博客
06-12 660
2019独角兽企业重金招聘Python工程师标准>>> ...
Listary Pro v6.0.9.25.0.tar
09-05
Liatary 是介于搜索工具、快速启动工具和文件资源管理器之间的软件。 ... 平时自己使用最多的就是双击 Ctrl 键调出 Listary 搜索栏(需要 Listary 开机自启权限,并常驻后台) 然后在里面搜索需要的文件。...
classic menu for office 2010 and 2013 V9.25 注册版
11-03
总的来说,经典菜单为Office 2010和2013 V9.25注册版是一款实用的工具,它不仅提供了旧版Office的熟悉体验,还确保了与新版本Office的无缝集成。通过正确的安装步骤,用户可以轻松享受到这一便利。对于那些怀念过去...
Ghostscript 版本9.25
12-30
通过其强大的脚本语言——PostScript,开发者还可以自定义扩展功能,满足特定需求。 总而言之,Ghostscript 9.25是一个强大且灵活的工具,尤其在处理PDF到图片转换时,提供了丰富的选项和控制。无论是个人用户还是...
ghostscript-9.25
最新发布
02-02
软件简介 Ghostscript 是一个用于 PostScript 语言和 PDF 文件的解释器。Ghostscript 由一个 PostScript 解释器层和一个图形库组成。 Ghostscript 可以查看及打印 PS、EPS、PDF 文件,支持 PS 的绘图程序一般都很大...
ghostscript-9.25.tar.gz
06-22
升级版本,导出gs执行异常
netfilter的笔记3--那些内置的
weixin_33717117的博客
04-18 379
通过netfilter的笔记2的例子,我们知道了怎么使用netfilter的框架,对于内核的设计原则来说,策略和机制分离,所以提供了iptables来供用户配置防火墙策略。 那么,怎么使用iptables呢?由于iptables的资料很多,本文将汇集一些,作为自己的学习过程记录。 netfiler内置了一些,来管理iptables工具下发的规则,规则的保存是这样的: 可以这么说,Netfi...
Linux Netfilter filter注册
zhgure的博客
07-18 192
Linux Netfilterfilter注册在以下几个链的位置:LOCAL_IN、FORWORD、LOCAL_OUT。 注册函数如下: static int __init iptable_filter_init(void) { int ret; if (forward < 0 || forward > NF_MAX_VERDICT) { printk("iptables...
iptables(防火墙)与netfilter
水月情缘~雪飞飞
05-06 4674
iptables(防火墙)与netfilter ================================================= 推荐博客: http://www.360doc.com/content/11/0506/09/706976_114731108.shtml# http://drops.wooyun.org/tips/1424 netfilter/ip
netfilter
nongfuchui的博客
08-28 951
#firewalld&amp;netfilter permissive,遇到真正需要阻断时不会真正阻断,只会提醒 在centos7以前叫netfilter,在7中称之为netfilter 由于好多服务受限于selinux,并且开启selinux会增大运营成本, 所以大多时候会处于关闭状态 在centos7中 firewalld是默认开启的,下图显示如何开启netfilter关闭fi...
Netfilter分析
bingyang_xue的专栏
10-26 578
一、概述1. Netfilter/IPTables框架简介          Netfilter/IPTables是继2.0.x的IPfwadm、2.2.x的IPchains之后,新一代的Linux防火墙机制。Netfilter采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到Netfilter的架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作。   
Linux netfilter 学习笔记 之六 ip层netfilterfilter的创建及其hook函数分析
lickylin的专栏
06-24 3715
Linux netfilter 学习笔记 之五 ip层netfilterfilter的创建及hook函数分析       今天主要在前两节的基础上,分析filter的创建,以及filter的hook回调函数的分析。 1. Filter模块初始化 在前面分析的注册时,我们知道要注册一个新的xt_table,需要实例化xt_table与ipt_replace这两个结构体。创建fi
netfilter55链介绍
weixin_34296641的博客
05-09 311
#man iptablescentos7之前只有4张,centos7开始后5张,加了securityfilter是一个默认的,包含三个内置的链:INPUT、FORWARD、OUTPUTINPUT是进来时需要经过的链,发现原ip是什么,发现可以ip禁用掉;FORWARD是判断目标地址是不是本机,如果不是本机,需要经过FORWARD链,把目标地址做个更改或转发;OUTPUT是在本机产生的一些包...
10、6 netfilter 5及链的介绍
chunyouban0052的博客
07-12 222
filter:包过滤,用于防火墙规则。 nat:地址转换,用于网关路由器。 mangle:用于给数据包打标记,然后根据标记去操作那些。(不常用) 还有两个不常用的:raw和security,在此不多讲述。 参考文章:https://www.cnblogs.co...
docker 安装postgressql 9.25.5
07-16
您可以按照以下步骤在 Docker 中安装 PostgreSQL 9.5.5 版本: 1. 首先,确保已经安装了 Docker。您可以从 Docker 官方网站下载并安装适合您操作系统的 Docker 版本。 2. 打开终端或命令行窗口,并运行以下命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值