Linux之iptables详解及tcpdump

最新推荐文章于 2024-04-29 00:01:48 发布
最新推荐文章于 2024-04-29 00:01:48 发布
阅读量706 收藏 2
点赞数
分类专栏: Linux服务器网络运维 Linux基础
原文链接:https://www.jianshu.com/p/ed001ae61c58
版权

https://www.jianshu.com/p/ed001ae61c58

原文有几处写的不明白的地方加以重整:

 

可以参考这个人写的,感觉他明白的笔记透彻:

https://blog.51cto.com/13677371/2094355

  • 作者一共在内核空间中选择了5个位置
    这五个位置也被称为五个钩子函数(hook functions),也叫五个内置规则链

对应关系

 

  1.  PREROUTING(路由前)    进入/离开本机的内网接口
  2.  INPUT(数据包流流入入)     数据包从内核流入用户空间的 | 内核--->应用程序
  3.   FORWARD(转发)              从一个网络接口进来, 到另一个网络接口去的(内核里设置关卡)
  4.   OUTPUT(数据包流出)       数据包从用户空间流出的 | 应用程序-----流出----->
  5.   POSTROUTING(路由后)  进入/离开本机的外网接口


  • iptables的工作机制

从上面知道了作者选择的5个位置, 来作为控制的地方, 其实蓝色字体的三个位置已经基本上能够将路径彻底封锁了, 但是为什么已经在进出的口(指的是用户与内核之间的联系的进出)设置了关卡后还要在内部卡(指的是完全在内核中的PREROUTING & POSTROUTING)呢 ? 由于数据包尚未进行路由决策(也叫查找路由表/路由选择/路由判断(查找路由的过程在PREROUTING和FORWARD之间)),还不知道数据要走向那里, 所以在进出口是没有办法实现数据过滤的. 所以要在内核空间里设置转发的关卡. 进入用户空间的关卡,从用户空间出去的关卡,

也可以这样理解 他们没什么用 为什么还要设置他们这个问题: 因为我们要先做NAT和DNAT,做了NAT即完成目标地址转换,而这个转换必须在路由之前进行, 所以我们在外网而后内网的接口进行设置关卡.

红色字体参考最下图 :示例图 .

 

 

 图9.1-2  P308 单一网域,仅有一个路由器: 
 
防火墙除了可以作为 Linux 本机的基本防护之外,他还可以架设在路由器上面以管控整个局域网络的封包进出。 因此,在这类的防火墙上头通常至少需要有两个接口,将可信任的内部与不可信任的 Internet 分开, 所以可以分别设定两块网络接口的防火墙规则啦!简单的环境如同下列图 9.1-2 所示。 
 
在图 9.1-2 中,由于防火墙是设定在所有网络封包都会经过的路由器上头, 因此这个防火墙可以很轻易的就掌控到局域网络内的所有封包.

图9.3-4 含义: 比较简单的封包透过 iptables 而传送到后端主机的表格与链流程

Tips: 有没有发现有两个『路由判断』呢?因为网络是双向的,所以进与 出要分开来看!因此,进入的封包需要路由判断, 送出的封包当然 也要进行路由判断才能够发送出去啊!了解乎?

示例图

《鸟哥的Linux私房菜-服务器架设篇(第三版)高清晰_PDF密码解除》

当网络布线如图 9.1-2的架构,若内部 LAN 有任何一部主机想要传送封包出去时, 那么这个封包要如何透过 
Linux 主机而传送出去?他是这样的: 

1. 先经过 NAT table 的 PREROUTING 链; 
2. 经由路由判断确定这个封包是要进入本机与否,若不进入本机,则下一步; 
3. 再经过 Filter table 的 FORWARD 链; 
4. 通过 NAT table 的 POSTROUTING 链,最后传送出去。

 

搜搜秀
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
tcpdumpiptables
Fyong39的博客
02-24 663
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 tcpdump : 1 指定网卡抓包 sudo tcpdump -i ens33 -vv 2 将抓到的包保存到文件中 sud
Linux iptables命令详解
weixin_43405004的博客
05-02 1072
iptablesLinux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。与大多数的Linux软件一样,这个包过滤防火墙是免费的。 iptables简介 *iptables基础* 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源
iptables深度总结--基础篇
yanzhuang521967的博客
04-17 1284
iptables命令的总结
Linux网络抓包工具tcpdump是如何实现抓包的,在哪个位置抓包的?
最新发布
李姓门徒
04-29 2125
随着G行架构从集中式体系向分布式式体系转型,行内系统服务快速增多,不同的服务短期内需要在集中式体系、分布式体系之间互相调用,调用链复杂,网络通讯相关问题时有发生。系统管理员在排查网络问题时就用到一款网络抓包工具tcpdump,该工具可以将网络中传送的数据包完全截获下来进行分析,能有效的排查复杂环境的网络问题。本文将从原理的角度分析tcpdumpLinux系统的实现。 主要是希望能够分析实现原理,以协助判断tcpdump抓的是网卡的包,还是经过内核处理后的包?对于分析服务器处理网络包过程有很大帮助。
iptables详解及应用(史上最全)
热门推荐
putixiao的博客
10-20 1万+
1.1 iptables概念 从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:在硬件级别实现部分防火墙...
Linux内核角度分析tcpdump原理(一)
flynetcn的专栏
10-08 4169
一、tcpdump的用途 tcpdumpLinux系统抓包工具,tcpdump基于libpcap库,根据使用者的定义对网络上的数据包进行截获,tcpdump可以将网络中传送的数据包中的"头"完全截获下来提供分析,支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助去掉无用的信息。通过tcpdump可以分析很多网络行为,比如丢包重传、详细报文、tcp分组等,总之通过tcpdunp可以为各种网络问题进行排查,可以在服务器上将捕获的数据包信息以pcap文件保存下来,..
[LINUX使用] iptables && tcpdump && wireshark && tshark
ykun089的博客
09-06 639
收到来自 10.10.10.10 的数据后都丢弃直接 reject 来自 10.10.10.* 网段的数据。
Linux tcpdump 命令使用详解
benarchen 的博客
02-25 1282
文章目录一、介绍二、基础用法三、进阶用法四、总结和建议 一、介绍 在日常工作中,我们总是能遇上各种各样奇怪的网络问题,比如我这台机器怎么 ping 不通了,我的 ssh 怎么又连不上了,这个控制台怎么又访问不了了等等各种网络问题,当然有时候可以通过 ping、telnet、arp 这些命令和工具来排查和解决,但这些都比不上去抓个包来得实在,也就是下面要分享的 tcpdump 命令。 tcpdumpLinux 系统中最有效的网络工具之一,凡是有网络问题十有八九都可以用它快速定位。它运行在用户态,本质是通
LinuxIPTABLES配置详解
01-30
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定...
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
详解Linux iptables 命令
09-15
Linux iptables命令是Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
Linux自带iptables详解
03-16
Linux自带iptables详解,这是我个人在工作中总结下来的,可以有不足,以后会再完善的。
iptables 详解iptables 详解
12-02
iptables 详解
抓包神器TCPDUMP的分析总结-涵盖各大使用场景、高级用法
萌兔兔MMQ!!
08-20 4909
以上总结的是一些工作中较常用的使用方法及技巧,在不同的问题场景下,知道抓什么包,明确自己需要什么包,包抓的越精准,定位问题就不会像大海捞针一样,分析包的过程也会变的会事半功倍、气定神闲。
tcpdumpiptables关系
jiayu的博客
03-07 1043
iptablestcpdump PREROUTING # 设置所有流量DROP iptables -t raw -A PREROUTING -j DROP # 设置截取流量 [root@localhost ~]# tcpdump -i ens33 -nvv tcpdump: listening on ens33, link-type EN10MB (Ethernet), capture size 65535 bytes 07:30:30.928282 IP (tos 0x0, ttl 128, id
SNAT、DNAT、tcpdump抓包
weixin_55609824的博客
05-26 1197
目录一.SNAT原理与应用1.1 SNAT应用环境1.2 SNAT原理1.3 SNAT转换前提条件 一.SNAT原理与应用 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.2 SNAT原理 修改数据包的源地址。 1.3 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward 或
从netfilter的NF_IP_PRE_ROUTING抓包 和 用libpcap抓包有什么区别?
hubi0952的专栏
06-07 2063
从netfilter上抓的包好象只能是进入本机或广播包,不能抓混杂模式下的不进入本机的数据。 不知道从netfilter上能不能监听网卡上的数据,就像原始套接字一样混杂模式下监听网络数据。 终于在ip_input.c中找到了 /* When the interface is in promisc. mode, drop all the crap * that it receiv
Linux防火墙:从历史到iptables详解
尽管CentOS 7.x使用的是firewalld,但其底层实现仍然是iptables,这表明了iptablesLinux防火墙策略中的核心地位。 课程重点介绍了netfilter,这是Linux内核内置的包过滤功能体系,它在内核态运行,负责数据包的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值