Linux防火墙netfilter/ebtables简介

最新推荐文章于 2024-04-12 01:31:48 发布
最新推荐文章于 2024-04-12 01:31:48 发布
阅读量969 收藏 2
点赞数 1
文章标签: linux netfilter
原文链接:https://ebtables.netfilter.org/misc/ebtables-man.html
版权
ebtables是一款用于管理以太网桥帧的工具,类似于iptables但更简单。它包括filter、nat和broute三个表,每个表有内置链,用户可以自定义链。规则中的target包括ACCEPT、DROP等,用于处理匹配的以太帧。 ebtables在网络安全和桥接中起到关键作用。
摘要由CSDN通过智能技术生成

备注:本文翻译于ebtables官方用户手册,翻译中有用词不当的地方请指正

NAME

ebtables (v2.0.10-1) - Ethernet bridge frame table administration

SYNOPSIS(概要)

ebtables [-t table ] -[ACDI] chain rule specification [match extensions] [watcher extensions] target
ebtables [-t table ] -P chain ACCEPT | DROP | RETURN
ebtables [-t table ] -F [chain]
ebtables [-t table ] -Z [chain]
ebtables [-t table ] -L [-Z] [chain] [ [–Ln] | [–Lx] ] [–Lc] [–Lmac2]
ebtables [-t table ] -N chain [-P ACCEPT | DROP | RETURN]
ebtables [-t table ] -X [chain]
ebtables [-t table ] -E old-chain-name new-chain-name
ebtables [-t table ] –init-table
ebtables [-t table ] [–atomic-file file] –atomic-commit
ebtables [-t table ] [–atomic-file file] –atomic-init
ebtables [-t table ] [–atomic-file file] –atomic-save

DESCRIPTION

ebtales 是一个应用程序,主要用于设置和维护那些用于监视以太帧的规则表,它和iptables类似,但又比iptables简单,主要是由于以太层协议要比ip层协议简单

CHAINS

Linux内核中有三个带有内置链的ebtables表,不同的表代表着不同的功能集,每个表上都有一套规则。这套规则就叫做链,每套规则称为一条链chain。每个链都是可以与以太帧匹配的规则的有序列表。如果一条规则与一个以太帧匹配之后,指定的处理程序会对匹配的以太帧进行处理,这个指定的处理程序我们把他称为目标(target),然而,如果这个以太帧没有与链中的这条规则匹配,那么就检查链中的下一条规则,以此类推。用户可以为自己创建一条自定义链,这条自定义链的名称被当成target放在另一条规则当中。比起在链中逐条遍历检查规则,定义自己的自定义链可能更为好用,性能更佳,并且对于将过滤规则构造为组织良好且可维护的规则集至关重要。

TARGETS

一条防火墙规则指定了以太帧的范围(什么样的以太帧是可以匹配)以及匹配之后的被称为target的指定处理程序。当一个帧匹配了一条规则之后,接下来内核就会执行这条规则中的target部分。这个target可以是以下这几个值中的一个:ACCEPT,DROP,CONTINUE,RETURN,‘externsion’(跳转到用户自定义链)
ACCEPT的意思是让以太帧通过防火墙。DROP就意味着被匹配的以太帧必须得被丢弃,然而,当ACCEPT和DROP这两个target出现在BROUTING链的规则中时,他们所表示的意思还有所不同,这个会在下面的-t目录中会详细讲解。CONTINUE就意味着继续检查下一条规则,这点很好用,比如可以知道在这个链中有多少个帧通过了一个确定的点,你可以选择通过日志的方式把这些帧记录下来,也可以在这个帧上添加多个target的方式。RETURN意味值停止遍历这条链然后回到上层嵌套的链中继续执行下一条规则,'externsion’请参考用户手册中TARGET EXTENSIONS章节

TABLES

正如上面提到,linux内核有三个ebtables的表,在三个表的名字为filter,nat,broute。在这三个表中,filter是命令行操作时默认的,如果你要在filter上操作,你可以在ebtables的命令行选项中不携带**-t filter这个选项,但是如果你需要对其他两个表进行处理,就需要携带-t选项,且-t**选项必须为ebtables的第一个参数
-t, --table

  • filter 是默认表,该表包含三个内置链:INPUT(用于目的地为网桥本身的帧,以目的MAC的角度),OUTPUT(本地产生的数据包或者路由转发的数据包或者网桥转发的数据包),FORWARD(网桥转发的帧)
  • nat 主要用于修改mac地址,包含三个内置链:PREROUTING(以太帧进来时对其进行修改),OUTPUT(用于本地产生的帧或者在桥接之前选择路由或者桥接),POSTROUTING(改变那些将要出去的帧),关于链的名称PREROUTING和POSTROUTING的小注释:将它们命名为PREFORWARDING和POSTFORWARDING会更准确,但是对于所有来自iptables世界到ebtables的人来说,使用相同的名字会更容易。请注意,如果您不喜欢默认名称,则可以使用(-E)更改名称。
  • broute 用于创建桥接,它具有一个内置链:BROUTING。目标DROP和ACCEPT在broute表中具有特殊含义(使用这些名称而不是更具描述性的名称主要是为了和其他表保持通用性)。DROP实际上意味着必须对帧进行路由,而ACCEPT意味着必须对帧进行桥接。BROUTING链很早就被遍历了。但是,只有进入处于转发状态的网桥端口上的帧才能遍历它。通常,这些帧将被桥接,但是您可以在此处另行决定。重定向目标在这里非常方便。

未完待续…

zhangdltech
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux软件防火墙--firewalld
景天科技苑
01-02 1万+
在CentOS 7之后有几种防火墙共存:firewalld、iptables、ebtables。默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld 服务引入了一个信任级别的概念来管理与之相关联的连接与接口。
linux防火墙基础
看清所以看轻
08-31 240
防火墙是指设置在不同网络与网络安全域之间的一系列部件的组合,也是不同安全域之间信息的唯-出口。通过监测、限制并更改跨越防火墙的数据流,尽可能地对外屏蔽网络内部的信息.结构和运行状态,且有选择地接受外部网络访问。在内外网之间架起- -道屏障,以避免发生不可预知或潜在的入侵。从传统意义上来说防火墙技术分为三类:包过滤(Packet Filtering)、 应用代理(Application Proxy)...
AP 中Netfilter/Ebtables/Iptables本地和转发流量的路径
eydwyz的专栏
12-01 943
Netfilter框架: 测试环境: 准备netfilter 环境:测试STA—>AP的流量   firewall-rules stop   iptables -t mangle -A PREROUTING -s 192.168.1.131 -p icmp -j LOG --log-prefix="IPT_MANGLE_PRER_
ebtables介绍
kv110的专栏
08-23 6745
ebtables 参考文档 http://ebtables.netfilter.org/misc/ebtables-man.html external/ebtables/docs/how_it_works.html
走进Linux内核之Netfilter框架
maimang1001的专栏
05-24 1128
走进Linux内核之Netfilter框架 - 掘金笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等。话不多说直接上才艺,现在带你走进Linux内核之Netfilter框架。https://juejin.cn/post/7008945265021288484 本文正在参与 “走过Linux三十年”话题征文活动 笔者此前对Linux内核相关模块稍有研究,实现内核级通信加密、视频流加密等,涉及:Linux内核网络协议栈、Linux内核通信模块、Linux内核加密模块、秘钥生成分发
ebtales 讲解
paoyingdapan的博客
04-26 967
最近学习了linux下的ebtales和高级路由策略的使用,今天先讲ebtale的使用一、基本概念表:nat filter broute,其中nat是默认表链: PREROUTE INPUT FORWARD OUTPUT POSTROUTE规则:匹配条件+动作二、配置命令ebtables -t :指明是什么表              -D:删除一条规则              -A: 添加一条...
Linux-ebtables-以太网网桥防火墙
weixin_40342459的博客
10-07 6399
ebtables 和 iptables 一样,主要是做数据包过滤的配置工具, ebtables 主要工作在数据链路层, iptables主要工作IP层和第四层应用层,他们主要做配置工具,底层的数据包过滤机制还是在 netfilter 核心工作组 和iptables 一样, ebtables 也有表,链和动作的概念 ebtables 有三张表,五条链和四个动作,支持自...
Linux防火墙
lltyyds的博客
12-25 3954
一、安全技术和防火墙 1.安全技术 (1)入侵检测系统(Intrusion Detection Systems) 特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类 似于监控系统一般采用旁路部署(默默的看着你)方式 (2)入侵防御系统(Intrusion Prevention System) 以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断,在判定为攻击行为后立即予以
linux 防火墙zone,Linux firewalld防火墙使用
weixin_32747681的博客
05-14 646
一、Firewalld概述动态防火墙管理工具定义区域与接口安全等级运行时和永久配置项分离两层结构核心层 处理配置和后端,如iptables、ip6tables、ebtables、ipset和模块加载器;顶层D-Bus 更改和创建防火墙配置的主要方式。所有firewalld都使用该接口提供在线工具。原理图二、Firewalld与iptables对比firewalld 是 iptables 的前端控...
ebtables.docx
01-06
ebtables: 基本过滤配置 将IP地址与MAC地址关联(反欺骗规则) MAC NAT 仅转发特定MAC地址的IPv4 做一个brouter 重定向目标 以原子方式加载或更新表 在没有奴役桥梁的接口上使用ebtables进行过滤 加快流向桥梁本身的流量 使用标记匹配和目标 使用arpreply进行arp请求并让arp请求填充arp缓存 将目标IP和MAC地址更改为相应的广播地址 将数据包复制到用户空间 启用对同时运行ebtables工具的支持。 关闭具有多个网络的IP安全漏洞。
Ebtables/Iptables分析
Jason.Gong的专栏
11-06 7432
分析Ebtables/Iptables实现及命令。 ebtables和iptables都是linux系统下,netfilter的配置工具,可以在链路层和网络层的几个关键节点配置报文过滤和修改规则。 ebtables更侧重vlan,mac和报文流量。 iptables侧重ip层信息,4层的端口信息。 ebtables 命令实例: 1、显示table ebtables -t filter -L 显示f...
ebtables与iptables之间的交互技巧
sxd2001的博客
06-12 2227
ebtables与iptables之间的交互操作进行了分析,并剖析了broute的DROP不同用法之间的实质差异,避免broute的DROP起不到强制路由作用
[linux] ebtables技术
l00102795的博客
07-12 688
Linux系统中使用ebtables技术ebtables就是以太网桥防火墙,以太网桥工作在数据链路层(MAC层),ebtables主要过滤数据链路层数据包,ebtables能过滤桥接流量。ebtables每个阶段的过滤时机都比iptables早。ebtables的配置分为表、链和规则三级。表:内置固定的,共三种:filter,nat,broute,用-t选项指定。filter最常用,不设置-t默认就是这个表。
ebtables使用介绍
to_be_better_wen的博客
02-05 8771
ebtables的使用方法总结
浅析ebtables的概念和一些基本应用【转】
Uaena的博客
02-12 1616
(转自:https://blog.csdn.net/wuruixn/article/details/8107862) ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具。既然称之为配置工具,就是说过滤功能是由内核底层提供支持的,这两个工具只是负责制定过滤的rules. ebtables即是以太网桥防火墙,以太网桥工作在数据链路层,ebtables来过滤数据链路...
ebtables介绍【转】
Uaena的博客
05-25 2773
(转自:https://blog.csdn.net/kv110/article/details/47919913) ebtables是与iptables类似的命令, 区别在于ebtables用于对以太网帧的过滤,iptables用于对ip数据包的过滤。 过滤流程见图 1. 命令格式 ebtables [-t table ] -[ACDI] chain rule specification [match extensions] [watcher extensions] target ebtable
iptables/ebtables学习笔记
最新发布
CrystalGabrielle的博客
04-12 1271
iptables/ebtables学习笔记
mac地址
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
12-26 463
请注意,ebtables需要在Root权限下运行,并且对于不同的Linux发行版,其使用方法和参数可能会略有不同。建议查阅相关文档或在系统上使用。ebtables是Linux下的一个工具,用于配置以太网桥的过滤规则。它可以根据不同的条件来过滤和修改网络数据包。上述命令将源IP为192.168.1.2的数据包的目的MAC地址替换为00:11:22:33:44:55。除了替换MAC地址,ebtables还支持其他操作。命令获取更详细的信息和用法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值