快速了解iptables原理

最新推荐文章于 2023-01-16 22:47:19 发布
最新推荐文章于 2023-01-16 22:47:19 发布
阅读量279 收藏 1
点赞数
分类专栏: 网络 文章标签: iptables 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/effort6/article/details/107437257
版权

​ iptables是一个命令行工具位于用户空间,用户通过iptables这个客户端将安全设定执行到内核的netfilter模块。netfilter是linux操作系统的一个数据包处理模块,具有网络地址转换、数据包内容修改、数据包过滤等防火墙功能。

一、表和链

​ 链可以理解为“关卡”,数据包通过不同的关卡匹配不同的规则,然后根据规则的进行处理。如drop、accept、reject等。

在这里插入图片描述

  1. 在centos6中INPUT的规则不能存在与nat表,但是centos7是可以的;
  2. 日常更多使用的是从表到链的对应关系
  • raw表中的规则可以被使用的链:PREROUTING,OUTPUT
  • mangle表中的规则可以被使用的链:PREROUTING,INTPUT,FORWARD,OUTPUT,POSTROUTING
  • nat表中的规则可以被使用的链:PREROUTING,OUTPUT,POSTROUTING
  • netfilter表中的规则可以被使用的链:INTPUT,FORWARD,OUTPUT
  1. 链的匹配规则是从上到下按顺序匹配,直到匹配成功
  2. ipvs模块用于lvs转发,附属在INPUT链上,作为netfilter的一部分
  3. 常用场景
  • 到本机应用的数据包:PREROUTING --> INTPUT
  • 由本机转发数据包:PREROUTING --> FORWARD --> OUTPUT
  • 由本机应用发出的数据包:OUTPUT–> POSTROUTING
  • 本机作为lvs转发数据包:PREROUTING --> INTPUT --> IPVS–> POSTROUTING
  1. linux主机支持转发,需开启内核IP_FORWARD功能

二、规则管理

iptables -t filter -I INPUT -s 192.168.0.240 -j ACCEPT			#添加规则
iptables -t filter -A INPUT -s 192.168.0.2401-j ACCEPT			#追加规则
iptables -t filter -D INPUT 3					#删除规则

service iptables save							#保存规则,需要安装iptables-service,默认保存到/etc/sysconfig/iptables
iptables-save > /etc/sysconfig/iptables			#保存规则,持久化
iptables-restore < /etc/sysconfig/iptables		#载入规则

三、与firewalld区别

​ firewalld和iptables一样,它们的作用都用于维护规则,而真正使用规则干活的是内核的netfilter。只不过firewalld和iptables的结果以及使用方法不一样。firewalld是iptables的一个封装,可以让你更容易地管理iptables规则。它并不是iptables的替代品,虽然iptables命令仍可用于firewalld,但建议firewalld时仅使用firewalld命令

  1. firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效;

  2. firewalld使用区域和服务而不是链式规则;

  3. firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制

默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制

沉舟已过
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
notrack跳过连接跟踪
redwingz的博客
02-27 2793
使用如下的iptables命令配置notrack, iptables -t raw -A PREROUTING -i ens33 -p tcp --dport 80 --syn -j NOTRACK 或者 iptables -t raw -A PREROUTING -i ens33 -p tcp --dport 80 --syn -j CT --notrack 使用iptables查看配置的...
iptables配置conntrack的NOTRACK和TRACK
热门推荐
Netfilter
01-17 1万+
iptables本身没有TRACK target,以至于你不能指定需要被conntrack模块处理的数据包白名单,比如我想实现:除了来源IP是192.168.10.0/16网段的需要被track之外,其它的都不要track。       当然,你可以通过下面的配置实现我的需求:iptables -t raw -A PREROUTING ! -s 192.168.10.0/16 -j NOTRACK
iptables踩坑记
weixin_34319640的博客
02-17 330
1:第一坑:众所周知nf_conntrack,下面会有介绍补坑方法。2:连环坑:要解决第一个坑,需要修改内核参数,如:net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_max = 1048576net.nf_conntrack_max = 1048576...
TCP/IP详解 第七章 防火墙和网络地址转换(4) iptables防火墙的raw表
caofengtao1314的专栏
06-24 594
mangle-->nat-->filter 举例来说:如果PRROUTING链上,即有mangle表,也有nat表,那么先由mangle处理,然后由nat表处理 RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. RAW表可以应用在那些不需要做nat的情况下,以提高性能。如大量访问的we
网络教程】IPtables官方教程--学习笔记3
jackhh1的博客
08-06 1151
本章讨论了netfilter中的状态机是如何工作的,以及它如何保持不同连接的状态。本章还讨论了它是如何呈现给你和终端用户的,以及你可以做什么来改变它的行为,以及不同的协议,这些协议对连接跟踪来说更复杂,以及不同的连接跟踪助手如何命名运作等...
Linux快速教程
01-07
这份"Linux快速教程"旨在帮助新手快速掌握Linux基础,理解其工作原理,并能进行基本的系统管理和操作。 Linux的核心是一个操作系统内核,它管理硬件资源,提供服务供应用程序使用。Linux的桌面环境如GNOME、KDE、...
JSP基于Iptables图形管理工具的设计与实现(源代码+lw).zip
最新发布
07-15
项目说明:项目通俗易懂,使读者快速了解项目,了解 Spring 核心原理。在手写Spring 源码的过程中会摘取整体框架中的核心逻辑,简化代码实现过程,保留核心功能,例如:IOC、AOP、Bean生命周期、上下文、作用域、...
Linux服务器的快速安全基础部署_Python_Shell_下载.zip
04-13
为了深入学习这些内容,你可以解压“Linux服务器的快速安全基础部署_Python_Shell_下载.zip”,查看“defense-matrix-master”中的文档、脚本或代码,理解其工作原理,并尝试在自己的环境中实践。这样不仅可以提升你...
如何实现在一台虚拟主机放多个站点教程
10-27
首先,我们需要了解虚拟主机的工作原理。虚拟主机是通过软件技术(如Apache的VirtualHosts、Nginx的Server Blocks或IIS的网站绑定)将单一物理服务器划分为多个逻辑服务器,每个逻辑服务器都可以配置为独立的网站。...
PPT-《操作系统原理及应用(Linux)》-王红-电子教案
04-07
这份由王红教授编写的《操作系统原理及应用(Linux)》PPT,为学习者提供了一条简洁明了的路径,以便快速掌握操作系统的基本概念和Linux的实际应用。以下是该PPT中可能涵盖的一些关键知识点: 1. **操作系统定义与...
iptables详解
支持向量机学习笔记
10-12 1642
iptables是命令行工具,通过iptables将用户的安全设置添加到安全框架即防火墙netfilter中。netfilter位于内核空间,是Linux操作系统内部的一个数据包处理模块。netfilter/iptables(简称iptables),是Linux下的包过滤防火墙,可替代商业防火墙,提供封包过滤、封包重定向和网络地址转换(NAT)等功能。
来,今天飞哥带你理解 iptables 原理
zhangyanfei01的专栏
12-07 589
大家好,我是飞哥!现在 iptables 这个工具的应用似乎是越来越广了。不仅仅是在传统的防火墙、NAT 等功能出现,在今天流行的的 Docker、Kubernets、Istio 项目中也...
一图解释iptables原理
晴空的博客
11-28 765
一图解释iptables原理。有助于快速了解iptables原理,设置规则。附有对应的实例。实操更易理解
iptables深度指南
weixin_43230594的博客
09-07 3946
Linux iptables
IPTABLES原理
m0_45857447的博客
12-08 1285
iptables是linux系统下的防火墙软件,是netfilter机制的一部分,通过iptables可以操纵linux对网络访问进行精细的控制,例如丢掉特定地址来源的数据包。 iptables就是客户端代理,用于管理防火墙,真正的防火墙是netfilter。 - “安全框架” - Netfilter 位于在内核中 Netfilter - 内核空间;是真正去实现软件防火墙功能 IPtables - 用户空间;是一个用户空间的客户端代理软件 在用户空间中使用IPtables工具,将安全策略执...
【博客590】iptables raw表的特殊作用
qq_43684922的博客
01-16 1261
从netfilter的hook点优先级我们也可以看到raw表hook点优先级非常高:数值越低,优先级越高 3、raw表的特殊作用 raw 表:示例场景:配合-j notrack实现允许规则指定80端口的包不进入链接跟踪/NAT子系统用例:
iptables原理知识
weixin_33705053的博客
08-21 184
一、iptables原理iptables实际上是定义防火墙规则的工具,真正对数据报文处理的是内核中的netfilter模块。netfilter对报文的处理方式一般有:过滤,地址转换,连接追踪。1、常用的数据报文格式的解释防火墙实际上是对进出本机的各种报文进行控制,所以了解常见报文的结构(格式)可以精确的控制报文。1)IP报文的格式ip报文的结构如下图: 在这里与防火墙关系最...
如何快速了解iptables 的工作原理
02-24
答:iptables 是Linux操作系统上的一种防火墙工具,它...它的工作原理是:iptables 会根据规则集中定义的条件,检查传入和传出的网络数据包,根据用户设定的规则来决定是否允许该数据包通过,从而实现安全防护的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值