OpenWrt 防火墙应用--iptables工具

最新推荐文章于 2024-08-09 15:41:38 发布
最新推荐文章于 2024-08-09 15:41:38 发布
阅读量6.9k 收藏 16
点赞数 2
分类专栏: OpenWrt 防火墙 文章标签: openwrt linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/esansiy/article/details/120410332
版权
本文介绍了OpenWrt防火墙的iptables工具,详细讲解了iptables的表和链,如filter、nat、mangle,以及规则设定、处理动作和自定义链。还探讨了iptables的扩展模块、黑白名单机制,并提供了实用案例,包括端口转发和禁止特定IP访问服务。
摘要由CSDN通过智能技术生成

OpenWrt 防火墙应用--iptables工具

OpenWrt 防火墙应用–iptables工具

OpenWrt 防火墙

openwrt 下的 NAT、DMZ、firewall、rules 都是由配置文件 “/etc/config/firewall” 进行控制管理的。此文件可以使用 UCI 进行控制,也可以使用 vi 编辑器直接修改。
该文件最后会在 /etc/init.d/firewall 启动的时候由 UCI 进行解码并且生成 iptables 规则生效。

1 iptables

1.1 表和链

”链“ 表示的是数据流经过的一个一个的关卡,一共有五个链:PREROUTING, INPUT, FORWORD, OUTPUT, POSTROUTING

  • 到本机某进程的报文:PREROUTING -> INPUT
  • 从本机某进程出去的报文:OUTPUT -> POSTROUTING
  • 由本机转发的报文:PREROUTING -> FORWARD -> POSTROUTING

“表” 表示的是每个关卡上设置的规则的分类,一共有四类

  • filter 表:负责过滤功能,防火墙;内核模块:iptable_filter

过滤表

filter是iptables的默认表,主要用于报文过滤,在这里根据报文的内容对报文进行丢 弃或者接收。

它包含有 3 个内置规则链:

①INPUT输入链:处理目标地址为本机 IP 地址的报文。
②OUTPUT输出链:处理本机 IP 地址产生的报文。
③FORWARD转发链:处理经过本机路由的报文。

这样每一个IP报文只经过这3个内置链中的一个,便于进行数据报文匹配和处理。 这里是真正实现防火墙处理的地方。

注意:

①经过本机转发的报文经过 FORWARD 链,不经过 IPPUT 链和 OUTPUT 链。
②本机产生的报文经过 OUTPUT 链,其他的链不经过。
③去往主机的报文经过该主机的 INPUT 链,其他的链不经过。

  • nat 表:网络地址转换功能;内核模块:iptable_nat

网络地址转换表

nat用来完成源/目的地址和端口的转换,当一个报文在创建一个新的连接时进入该表。
它也有3个内置规则链:

①PREROUTING:用于修改到来的报文,只用来做网络地址转换。
②OUTPUT:用于修改本机产生的并且在路由处理之前的报文。
③POSTROUTING:用于修改准备出去的报文的地方。

通过目的地址转换,你可以将服务器放在防火墙后面,并使用私有 IP 地址。一些协 议通过 nat 转换有困难(例如 FTP 或 SIP),连接跟踪将打开这些协议的数据/媒体流路径。nat 表不能用于报文过滤和报文修改,因为每一个连接流仅有一次机会进入该表中的规则链。

网络地址转换在路由功能前后都可能发生,源地址转换是在数据包通过路由之后在 POSTROUTING 规则链进行地址转换。目的地址转换是在路由之前,在 PREROUTING 规 则链进行地址转换。

  • mangle 表:对报文进行拆分和修改;内核模块:iptable_mangle

修改表

这个表主要用来进行报文修改。

有5个内置规则链:

①REROUTING:针对到来的报文,在路由之前修改的地方。
②INPUT:针对目的地址为网关本身的报文。
③FORWARD:针对通过网关路由转发的报文。
④POSTROUTING:将要发送出去的报文的地方。
⑤OUTPUT:本机产生报文在路由之前修改的地方。

通常使用该表进行报文修改,以便进行 QoS 和策略路由。通常每一个报文都进入该表,但不使用它来做报文过滤。

  • raw 表:关闭 nat 表上启用的连接追踪机制:iptable_raw

原始表

这个表很少被用到,主要用于配置连接跟踪相关内容,在ip_conntrack 之前调用。

它提供了两个内置规则链:

①PREPROUTING:到达本机的报文。
②OUTPUT:本机进程产生的报文。

这里是能够在连接跟踪生效前处理报文的地方,你可以标记符合某种条件的报文不被 连接跟踪处理。一般很少使用。

表和链的关系

并不是所有的链上都同时存在上面四个表,同时每个表也不会存在所有的链上:

  • PREROUTING:raw,mangle,nat
  • INPUT: mangle, filter
  • FORWARD: mangle, filter
  • OUTPUT: filter, nat, mangle, raw
  • POSTROUTING: mangle, nat

同一个链中,表的优先级 raw -> mangle -> nat -> filter

指定规则表

-t 参数用来,内建的规则表有三个,分别是:nat、mangle 和filter,当未指定规则表时,则一律视为是filter

三规则表的功能如下:

nat:此规则表拥有PREROUTING 和 POSTROUTING 两个规则链,主要功能为进行一对一、一对多、多对多等网址转换工作(SNAT、DNAT),这个规则表除了作网址转换外,请不要做其它用途。

mangle:此规则表拥有 PREROUTING、FORWARD 和 POST

最低0.47元/天 解锁文章
esansiy
关注
专栏目录
OpenWrt 防火墙应用--uci工具
esansiy的博客
09-24 1149
OpenWrt 防火墙–UCI工具 OpenWrt 防火墙 openwrt 下的 NAT、DMZ、firewall、rules 都是由配置文件 “/etc/config/firewall” 进行控制管理的。此文件可以使用 UCI 进行控制,也可以使用 vi 编辑器直接修改。 该文件最后会在 /etc/init.d/firewall 启动的时候由 UCI 进行解码并且生成 iptables 规则生效。 uci uci是 ...
openwrt 路由iptables实例
03-11
openwrt 路由iptables实例
centos7 iptables 端口转发 保存_iptables 概念及相关规则学习
weixin_39907939的博客
11-24 697
iptables 不是防火墙,而是一个客户端,通过执行命令将防火墙的配置放置在真正的防火墙框架中,位于用户空间,netfilter 才是真正的防火墙安全框架,位于内核空间。我们可以通过 iptables 对进入主机和从主机的 ip 以及端口进行限制,还可以进行网络转发。下面图片来源于博客 iptables详解:iptables 概念链如上图所示,”链“ 表示的是数据流经过的一个一个的关卡,一共有五...
openWrt firewall分析以及nftables配置方法
weixin_39580537的博客
08-09 1491
如下为firewall的uci配置文件,该配置文件位于/etc/config目录下,下图中包括了defaults、zone、forwarding三个部分;
openwrt - iptables 命令、例子、日志
u011029104的专栏
02-01 1311
以上配置应该足够了。0是emerg,1是alert,2是crit,3是err,4是warning,5是notice,6是info,7是debug。Openwrt是一个GNU/Linux的发行版,Openwrt防火墙Linux防火墙是通过netfilter内核模块,加上用户空间的iptables管理工具实现的 ── 同样是五链四张表、五元素的管理框架。这是标准的系统日志级别。0是emerg,1是alert,2是crit,3是err,4是warning,5是notice,6是info,7是debug。
【笔记】openwrt - iptables 命令、例子、日志
LawssssCat的博客
11-06 5817
原图:https://arthurchiao.art/assets/img/deep-dive-into-iptables-netfilter/Netfilter-packet-flow.svg简化图:数据包过滤匹配流程。
关于openwrt中无法支持iptables命令、以及如何保存iptables设置的策略和在重启系统后自动加载的问题。
yujianhengxing的专栏
09-15 4082
关于openwrt中无法支持iptables命令、以及如何保存iptables设置的策略和在重启系统后自动加载的问题
OpenWrt-pi3
03-19
6. **路由器安全**:设置防火墙规则(UFW或iptables),启用SSH安全,配置WPA2加密等。 7. **远程访问与监控**:使用SSH远程连接,设置监控工具如Ntopng查看网络流量,或者使用LuCI(Luci Web界面)进行图形化管理...
OpenWrt Image Builder 制作带插件的HG255D固件记录
lvshaorong的博客
11-01 8468
使用网上下载的别人编译的Openwrt固件总会存在这样或者那样的问题,或者根本不满足自己的需要,这时候就需要自己编译固件,自己编译ipk包。可以解决很多内核版本不匹配,软件过时,路由器不稳定,固件臃肿的问题。本文从0开始详细介绍从固件编译到固件安装的每一个步骤,最后成功编译一个带ss功能和luci 后台web页面的HG255D固件
openwrt 配置防火墙
最新发布
08-15
配置 OpenWRT防火墙主要是通过 LuCI(Lightweight Configuration Interface),它是一个用户界面工具,简化了路由器设置过程。 以下是基本的步骤: 1. 登录到 OpenWRT 管理界面:通常在浏览器输入路由器的 IP ...
openwrtiptables-mod-extra_
05-20
openwrt中安装wifidog的先决条件
Openwrt开发日志:iptables的各个表
慎独
07-31 5089
Mission 5 ——iptable的控制 Tool: Xshell; WinSCP; Openwrt;Newifi Reference: 《智能路由器开发指南》 Procedure: 学
【转】Openwrt iptables分析
anren7769的博客
07-23 553
转自:https://www.cnblogs.com/tanhangbo/p/4550455.html 重点学习如何一步步画出iptables关联表 这里将载有Openwrt的WR841N的路由表dump出来分析一下。 这个是dump出iptables的命令 root@OpenWrt:/etc/config# iptables-save 这里分为4部分...
Openwrt iptables分析
weixin_30596023的博客
06-03 492
这里将载有Openwrt的WR841N的路由表dump出来分析一下。 这个是dump出iptables的命令 root@OpenWrt:/etc/config# iptables-save 这里分为4部分: 1.NAT表 *nat :PREROUTING ACCEPT [37930:3638072] :INPUT ACCEPT [440:34479] :OU...
openwrt下,用iptable转发端口访问远程的SMB服务
jiong0818的博客
08-09 540
iptales指令的详细教程:https://blog.csdn.net/weixin_44390164/article/details/120500075。
OpenWrt设置mac地址过滤和使用Iptables防火墙禁止mac地址上网
热门推荐
shile的专栏
08-15 4万+
本文介绍使用OpenWrt限制特定mac地址的方法,一种是使用无线网络的mac地址过滤,一种是使用Iptables防火墙阻止策略。 一。使用mac-filter功能限制mac地址上网 方法1.web界面: 定位到菜单Network->wifi,如下图: 点击相应SSID的Edit, 如上图,在Interface Configuration栏目MAC-Fil
OPENWRT 教程第七章 防火墙开发之iptables
09-06 2015
Openwrt 是一个 GNU/Linux 的发行版, 和其他大多数的发行版一样,Openwrt防火墙同样也是基于 iptablesiptables -L INPUT --line-numbers //列出INPUT 链所有的规则 iptables -D INPUT 4 //删除指定的第4行规则 iptables -R FORWARD ...
在线生成IPTABLES防火墙脚本的网站
weixin_34025151的博客
12-01 107
对于刚刚接触IPTABLES的朋友来说,对于DOS命令形式的设置,是有点让人头疼的; IPTABLES的各种复杂的选项和参数使他们望而却步。为了让更多的网络管理员能用上功 能强大的IPTABLES防火墙,许多网站提供了在线生成IPTABLES防火墙脚本的功能,只要 根据网站向导就可以自动生成IPTABLES防火墙壁脚本! 1、Bifrost-GUIfirewall...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值