iptables/netfilter介绍、样例实验和配置规则

最新推荐文章于 2024-07-13 11:15:36 发布
最新推荐文章于 2024-07-13 11:15:36 发布
阅读量656 收藏 2
点赞数 1
分类专栏: iptables 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dhRainer/article/details/83411296
版权

iptables/netfilter介绍、样例实验和配置规则

0x 01 前言

Iptables是运行在用户空间的应用级(Ring3)防火墙软件,通过调用Linux内核的Netfilter模块,进行网络数据包的流动、转送以及修改。iptables是状态防火墙,可以对会话的状态进行跟踪,这点相较于无状态防火墙要方便许多。
Netfilter是由Rusty Russell提出的Linux 2.4.x内核防火墙框架,目前支持的内核包括2.4、2.6及3.0。iptables所设置的规则最终是存放在内核内存中的Xtables(Netfilter的配置表)。Iptables和ip6_tables、arp_tables等Netfilter的项目都是建构在Xtables的架构下。

0x 02 表,链以及规则

1、表(tables)

表是包含了不同默认链的组合,每个表都和数据包的处理有关,iptables共内置了5个表,即filter,nat,mangle,raw,security分别实现数据包过滤、动态网络地址转换,(Network Address Translation,NAT),数据包修改,数据包状态跟踪,以及实现强制访问控制MAC(Mandatory Access Control )和自主访问控制DAC(Discretionary Access Control )等。

2、链(chains)

链是决定数据包是否可以通过的决定因素,每个数据包从进入系统,到离开系统,都至少要通过2条链。
链是Netfilter中的挂载点(Hook Point)在iptables中的体现,共包括5条链,分别为PREROUTING(数据包进入路由表之前),INPUT(通过路由表后目的地为本机),FORWARD(通过路由表后,目的地不为本机),OUTPUT(由本机产生,向外转发),POSTROUTING(发送到网卡接口之前),对应Netfilter中5个挂载点:

NF_INET_PRE_ROUTING,NF_INET_LOCAL_IN,NF_INET_FORWARD,NF_INET_LOCAL_OUT,NF_INET_POST_ROUTING

图1 Netfilter框架

注:挂载点(Hook Point),可以理解为回调函数点,数据包到达这些位置的时候,会主动调用对应的函数,使其在数据包路由的时候可以改变它们的路径以及内容。

3、规则(rules)

规则在链里面决定对数据包的处理动作,存储在内核空间的Xtables中。在这里,可以定义对数据包的具体处理(target)。当数据包穿过一条链的时候,每条规则会依序检查它(包括源目地址,协议等参数),如果没有规则与其相匹配,则数据包会被传递到下一条规则去尝试匹配,当匹配上之后,会按照target中规定的动作对数据包进行梳理。

图2 iptables中表、链以及规则的对应关系

0x 03 利用Iptables进行网络地址转换实例展示

我们经常使用xshell等交互式工具进行端口转发和地址转换,iptables中的地址转换功能对大部分人来说用到不算很多,但是却很有用。以此例来展示iptables的使用。

1、环境:
  • 1台centos7主机作为web主机
ip=192.168.0.10,hostname=webserver
  • 1台Ubuntu 16.04作为iptables所在主机,iptables版本为iptables 1.6.0
ip=192.168.0.5,hostname= IptablesTest
  • 1台Ubuntu 16.04作为client(192.168.0.20)
ip=192.168.0.20,hostname=client
2、需求描述

模仿反向代理的场景,webserver的http流量不能被其他机器直接访问,需要通过IptablesTes

最低0.47元/天 解锁文章
试着去听歌
关注
专栏目录
IPTables工具及其与netfilter关系介绍
瑞风轻拂
09-08 5016
IPTables概述         IPTables是基于Netfilter基本架构实现的一个可扩展的数据报高级管理系统或核外配置工具,利用table、chain、rule三级来存储数据报的各种规则。Netfilter-iptables由两部分组成,一部分是Netfilter的"钩子",另一部分则是知道这些钩子函数如何工作的一套规则--这些规则存储在被称为iptables的数据结构之中。钩子函
iptables/netfilter
viewsky11的专栏
11-21 691
Iptables/Netfilter原理分析Netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能: 1) 网络地址转换(Network Address Translate) 2) 数据包内容修改 3) 以及数据包过滤的防火墙功能 Netfilter平台中制定了五个数据包的挂载点(Hook Point,我们可以理解为回调函数点,数据包到达这些位置的时候会主动调用
iptables防火墙配置及Netfilter框架
最新发布
weixin_48579910的博客
07-13 1159
iptables是一个功能强大且灵活的防火墙工具,通过定义和管理规则,可以有效地控制和保护网络流量。了解并掌握iptables的基本概念、命令和配置示例,可以帮助管理员在多种网络环境下构建安全的防火墙策略。对于更简化的管理,可以考虑使用ufw或firewalld等工具。Netfilter框架是Linux内核中强大且灵活的网络数据包处理框架,通过钩子点、表、链和规则的组合,实现复杂的网络过滤、地址转换和数据包修改功能。
netfilter hook实验
kklvsports的专栏
05-11 830
    上一篇点击打开链接介绍了netfilter的机制,本篇通过一个极简单的内核模块实践一下该机制。
台湾IT的巨作: linux iptables/netfilter介绍 part1
09-12
台湾IT的巨作: linux iptables/netfilter介绍 Linux网络安全技术与实现 第二版 linux iptables/netfilter/Qos/Policy route/proxy ARP/bridge/IPsec/L2TP的详细介绍 难得的linux IP相关的详细介绍
台湾IT的巨作: linux iptables/netfilter介绍 part12
09-12
台湾IT的巨作: linux iptables/netfilter介绍 Linux网络安全技术与实现 第二版 linux iptables/netfilter/Qos/Policy route/proxy ARP/bridge/IPsec/L2TP的详细介绍 难得的linux IP相关的详细介绍 详细的目录...
iptables/netfilter框架分析(图片版)
11-25
iptables/netfilter框架分析的图片说明,详细的解释iptables/netfilter的工作原理,用于学习iptables/netfilter十分有用。
Linux iptables/Netfilter 防火墙 详解
weixin_44983653的博客
08-24 1263
Linux iptables/Netfilter 防火墙详解防火墙的概念1、安全技术2、防火墙的分类3、网络层防火墙4、应用层防火墙iptables 基本认识1、iptables 概念2、Netfilter 组件3、三种报文流向4、iptables 的组成4.1 五表(table)4.2 五链(chain)4.3 五表五链的对应关系(常用是 raw 和 filter)4.4 通过 CLI 查看五表...
linux下的netfilter防火墙配置
09-04
ipt 1/7 http://www.boobooke.com/v/bbk3648 ipt 2/7 http://www.boobooke.com/v/bbk3649 ipt 3/7 http://www.boobooke.com/v/bbk3671 ipt 4/7 http://www.boobooke.com/v/bbk3679 ipt 5/7 http://www.boobooke.com/v/bbk3680 ipt 6/7 http://www.boobooke.com/v/bbk3685 ipt 7/7 http://www.boobooke.com/v/bbk3686
iptables netfilter 详解中文手册
04-30
学习iptables和netfilter的好帮手,全中文pdf版本,清晰,一步步教你完全掌握iptables
kernel netfilter配置
10-13
kernel netfilter配置,通过这个配置实现IPTABLES的访问。
netfilter/iptables 简介
weixin_34336526的博客
07-19 204
netfilter 是 Linux 内置的一种防火墙机制,我们一般也称之为数据包过滤机制。iptables 则是一个命令行工具,用来配置 netfilter 防火墙。下图展示了一个带有防火墙的简单网络拓扑结构: 图中的 Linux 主机既充当了路由器的角色,同时又充当了防火墙的角色。本文我们将以该拓扑结构介绍 netfilter/iptables 防火墙中的基本概念和主要功能。说明:本文的演示环...
iptables & netfilter
oneslide
11-03 353
网络包特点 根据网络包特点,网络包经历的阶段也不一样。 网络包 经历阶段 入境网络包,目的地址是本地 PREROUTING -> INPUT 入境网络包,目的地址非本地 PREROUTING -> FORWARD -> POSTROUTING 出境网络包,本地生成 OUTPUT -> POSTROUTING 下图说明了网络包的路径: 内核对这些...
netfilter 讲解 ,讲的很好
miaomiaodmiaomiao的专栏
08-01 1312
Netfilter为多种网络协议(IPv4、IPv6、ARP等)各提供了一套钩子函数。 在IPv4中定义了5个钩子函数,这些钩子函数在数据包流经协议栈的5个关键点被调用。 这就像有5个钓鱼台,在每个钓鱼台放了一个鱼钩(钩子函数),把经过的数据包钓上来, 然后根据自定义的规则,来决定数据包的命运: 可以原封不动的放回IPv4协议,继续向上层递交;可以进行修改,再放回IPv4协议;也可以直接丢
iptables 和 netfilter
aoli_shuai的博客
12-18 273
netfilter netfilter 是linux操作系统核心层内部的一个数据包处理模块 netfilterIPtables iptables 的4张表和5条链 4张表:filter 表,nat 表 ,mangle 表 , raw 表 5条链:INPUT , OUTPUT , FIRWARD , PREROUTING , POSTROUTING 这张图,表示了iptables的4张表和5...
iptables/netfilter详解
weixin_33809981的博客
07-25 241
iptables/netfilter详解一、前言1.防火墙(Firewall)是隔离工具;工作于主机或网络的边缘,对经由的报文根据预先定义的规则(识别条件)进行检测, 对于能够被规则匹配到的报文实行某预定义的处理机制的一套组件。 2.防火墙分类: 硬件防火墙:在硬件级别能部分防火墙,另一部分功能基于软件实现; 软件防火墙:应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值