iptables防火墙

最新推荐文章于 2024-05-26 20:52:11 发布
最新推荐文章于 2024-05-26 20:52:11 发布
阅读量532 收藏
点赞数 1
分类专栏: Linux 文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengmaohuli/article/details/124712217
版权

目录

Linux包过滤防火墙概述

netfilter

iptables

iptables的表、链结构

规则的作用:

链的作用:

链的分类依据:

默认包括5种规则链

INPUT:

OUTPUT:

FORWARD:

POSTROUTING链:

PREROUTING链:

iptables概述

-netfilter和iptables关系:

iptables的四表五链结构介绍

四表五链

四表:

raw表:

mangle表:

nat表:

filter表:

五链:

INPUT:

OUTPUT:

FORWARD:

PREROUTING链:

POSTROUTING链:

默认的表、链结构示意图

数据包过滤的匹配流程

规则表之间的顺序

规则链之间的顺序

规则链内的匹配顺序

数据包过滤的匹配流程示意图

​编辑入站数据流向:

转发数据流向:

出站数据流向:

规则链内部各条防火墙规则之间的顺序:

 案例

语法结构

数据包的常见控制类型

常用的基本操作

查看规则列表

删除、清空规则

设置默认策略

匹配条件

通用匹配

协议匹配

Linux包过滤防火墙概述

在Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如web 网站、电子邮件系统、FTP服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢?这就用到了Linux防火墙。

Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。

netfilter

位于Linux内核中的包过滤功能体系

称为Linux防火墙的“内核态”

iptables

位于/sbin/iptables,用来管理防火墙规则的工具

称为Linux防火墙的“用户态”

——上述2种称呼都可以表示Linux防火墙

包过滤的工作层次

主要是网络层,针对IP数据包

体现在对包内的IP地址、端口等信息的处理上

iptables的表、链结构

规则的作用:

对数据包进行过滤或处理

链的作用:

容纳各种防火墙规则

链的分类依据:

处理数据包的不同时机

默认包括5种规则链

INPUT:

处理入站数据包

OUTPUT:

处理出站数据包

FORWARD:

处理转发数据包

POSTROUTING链:

在进行路由选择后处理数据包

PREROUTING链:

在进行路由选择前处理数据包

iptables概述

-netfilter/iptables: IP信息包过滤系统,它实际上由两个组件 netfilter和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。

-netfilter和iptables关系:

(1)netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。Linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,netfilter是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集

(2)iptables:属于"用户态"(User Space,又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易通常位于/sbin/iptables目录下。

(3)netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、nat和filter

四个规则表。表中所有规则配置后,立即生效,不需要重启服务。

iptables的四表五链结构介绍

iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链

四表五链

规则表的作用:容纳各种规则链;表的划分依据:防火墙规则的作用相似

规则链的作用:容纳各种防火墙规则;规则的作用:对数据包进行过滤或处理;

链的分类依据:处理数据包的不同时机

总结:表里有链,链里有规则

四表:

raw表:

主要用来决定是否对数据包进行状态跟踪,包含两个规则链,OUTPUT、PREROUTING

mangle表:

修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING

nat表:

负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链,OUTPUT、PREROUTING、POSTROUTING。

filter表:

负责过滤数据包,确定是否放行该数据包(过滤)。包含三个链,即INPUT、FORWARD、OUTPUT

:在iptables 的四个规则表中,mangle 表和raw表的应用相对较少

五链:

INPUT:

处理入站数据包,匹配目标IP为本机的数据包。

OUTPUT:

处理出站数据包,一般不在此链上做配置。

FORWARD:

处理转发数据包,匹配流经本机的数据包。

PREROUTING链:

在进行路由选择前处理数据包,用来修改目的地址,用来做DNAr。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

POSTROUTING链:

在进行路由选择后处理数据包,用来修改源地址,用来做SNAr。相当于内网通过路由器NAr转换功能实现内网主机通过一个公网IP地址上网。

默认的表、链结构示意图

最低0.47元/天 解锁文章
粉毛狐狸
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解iptables防火墙
boyuser的博客
11-16 456
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
linuxiptables防火墙
weixin_55609813的博客
05-25 284
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
防火墙 iptables的使用
X2683933654的博客
11-29 383
防火墙是一种技术,它通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验waf web网页 防火墙
iptables详细讲解及用法
最新发布
wyf_wyf_001的博客
05-26 1375
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
iptables 防火墙
chenx2022的博客
05-21 3238
Linux系统的防火墙:ip信息过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上netfilter / iptables关系:netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
iptables四表五链
m0_57730097的博客
12-06 718
五个链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING filter是默认表,过滤规则表,根据预定义的规则过滤符合条件的数据,真正负责主机防火墙功能,这个表定义了三个链。 INPUT:负责过滤所有目标是本机地址的数据包,通俗来说就是过滤进入主机的数据包 OUTPUT:处理所有源地址是本机地址的数据包 FORWARD:负责转发流经主机的数据包。起到转发的作用,和NAT关系很大。 NAT表负责网络地址转换,即来源与目的的IP地址和port的转换。和主机本身无关,一般.
iptables防火墙.doc
09-29
·防火墙的功能:保护、隔离 安装iptables服务 [root@master~]#yum-yinstalliptables-services [root@master~]# systemctl start iptables
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
iptables防火墙应用指南
05-31
iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南 iptables防火墙应用指南
iptables防火墙加固任务
04-23
iptables防火墙加固任务,制订了一套iptables防火墙加固任务
linux增加iptables防火墙规则的示例
01-10
以下是我的iptables设置 代码如下: *filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [49061:9992130]-A INPUT -i lo -j ACCEPT   不开启有很多服务无法使用,开启回环地址-A INPUT -p icmp -j ACCEPT   允许icmp包通过,也就是允许别人ping自己-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT-A INPU
EasyExcel学习-Excel数据导入数据库
qq_33817316的博客
11-25 1143
easyexcel是阿里巴巴项目组提供的excel工具类。 gitHub地址:https://github.com/alibaba/easyexcel 本文基于springboot环境学习EasyExcel实现Excel数据导入数据库 EasyExcel环境ControllerService监听器二级目录 环境 <dependency> <groupId>com.alibaba</groupId> <a
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables基础(一)
weixin_33946020的博客
04-05 361
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
Linux 防火墙开放特定端口 (iptables
weixin_44260459的博客
02-09 2万+
查看状态: iptables -L -n 下面添加对特定端口开放的方法: 使用iptables开放如下端口 /sbin/iptables -I INPUT -p tcp --dport 8000 -j ACCEPT 保存 /etc/rc.d/init.d/iptables save 重启服务 service iptables restart 查看需要打开的端口是否生效? /etc/init.d/iptables status 法2: 或直接编辑/etc/sysconfig/iptables -A INPUT
iptables 使用详解
chengxuyuanyonghu的专栏
07-13 5524
iptables规则功能 filter表: filter主要和主机自身有关,主要负责防火墙功能 过滤本机流入流出的数据包是默认使用的表; input   :负责过滤所有目标地址是本机地址的数据包,就是过滤进入主机的数据包; forward  :负责转发流经主机但不进入本机的数据包,和NAT关系很大; output   :负责处理源地址的数据包,就是对本机发出的数据

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值