Linux网络管理—iptables命令

最新推荐文章于 2024-04-29 19:32:19 发布
最新推荐文章于 2024-04-29 19:32:19 发布
阅读量335 收藏
点赞数
分类专栏: Linux 文章标签: linux iptables 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoZhuanMing/article/details/120209640
版权

作用:用于 IP 包的过滤和实现 NAT.

1. 表和链

常用的表有2个:filternat. 每张表又包含多条链,每条链就是规则序列.

  • filter 表包含 INPUTFORWARDOUTPUT 链.
  • nat 表包含 PREROUTINGOUTPUTPOSTROUTING 链.

2. 处理流程

接收到数据包的处理过程

  1. 本机收到数据包,由 nat.PREROUTING 先进行处理;
  2. 如果数据包的目的地址是本机,则交由 filter.INPUT 进一步处理;然后将数据包交给本机上层协议栈.
  3. 如果数据包的目的地址不是本机,则交由 filter.FORWARD 进一步处理;然后交由 nat.POSTROUTING 进行处理.

发送数据包的处理过程

  1. 数据包先后经过 nat.OUTPUTfilter.OUTPUT 进行处理;
  2. 然后交由 nat.POSTROUTING 进行处理.

3. 命令组成

常用选项

  • -t: 指定要处理哪张表,默认是 filter.
  • -n: 以数字形式显示地址和端口号.

规则组成

  • -p protocol: 指定协议,可以取指为 tcp, udp, icmp.
  • [! ]-s address[/mask]: 指定源地址,可以是主机名、网络名和IP地址. ‘!’ 表示取反.
  • [! ]-d address[/mask]: 指定目的地址,可以是主机名、网络名和IP地址.
  • [! ]-i [name]: 进入的网络接口.
  • [! ]-o [name]: 出去的网络接口.
  • [! ]--sport port[:port]: 指定源端口范围.
  • [! ]--dport port[:port]: 指定目的端口范围.

4. 操作

罗列规则

[root@controller ~]# iptables -t nat -L POSTROUTING -n --line-number
Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    RETURN     all  --  192.168.122.0/24     224.0.0.0/24
2    RETURN     all  --  192.168.122.0/24     255.255.255.255
3    MASQUERADE  tcp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
4    MASQUERADE  udp  --  192.168.122.0/24    !192.168.122.0/24     masq ports: 1024-65535
5    MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24
6    POSTROUTING_direct  all  --  0.0.0.0/0            0.0.0.0/0
7    POSTROUTING_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0
8    POSTROUTING_ZONES  all  --  0.0.0.0/0            0.0.0.0/0
  • -L: 列出指定链包含的规则.
  • --line-number: 显示每条规则在链中的位置(行号).

创建链

[root@localhost ~]# iptables -t filter -N chain1
  • -N: 创建指定名称的链.

追加规则

[root@localhost ~]# iptables -A chain1 -p tcp --dport 22 -j DROP
  • -A: 追加规则至指定链的末尾.
  • --dport: 匹配指定的目的端口号.
  • -j DROP: 如果匹配规则,则丢弃数据包.

插入规则

[root@localhost ~]# iptables -I INPUT 1 -s 116.56.140.61 -d 192.168.122.132 -j chain1
  • -I: 插入指定规则到指定链的指定地方,此处是插入链首(序号为1).
  • -j chain1: 如果匹配规则,则跳转到 chain1 链去继续匹配.

替换规则

[root@localhost ~]# iptables -R INPUT 1 -s 192.168.122.1 -d 192.168.122.132 -j chain1
  • -R: 替换指定链指定规则为新的规则,此处替换第一条规则.

删除规则

[root@localhost ~]# iptables -D INPUT 1
  • -D: 删除指定链上指定的规则,此处删除第一条规则.

清空规则

[root@localhost ~]# iptables -F chain1
  • -F: 清空指定链上的所有规则.

重命名自定义链

[root@localhost ~]# iptables -E chain1 CHAIN1
  • -E: 此处将 chain1 重命名为 CHAIN1.

删除链

[root@localhost ~]# iptables -X CHAIN1
  • -X: 删除指定的自定义链,需要确保没有其他链引用要删除的链.

设置默认策略

[root@localhost ~]# iptables -P INPUT ACCEPT
  • -P: 设置指定链(需要是内建链)的默认目标规则,此处表示,如果所有规则都不匹配,则接受该数据包.

SNAT

注意:主机需要先开启转发功能:

  • 临时:echo "1" > /proc/sys/net/ipv4/ip_forward

  • 永久:编辑配置文件 /etc/sysctl.conf,设置 net.ipv4.ip_forward = 1,然后执行 sysctl -p

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 10.10.177.0/24 -o eth0 -j SNAT --to-source 10.10.188.232
  • --to-source: 将数据包的源地址替换为指定的地址.
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
  • -j MASQUERADE: 自动使用合适的地址替换数据包源地址.

DNAT

[root@localhost ~]# iptables -t nat -A PREROUTING -d 192.168.31.168 -p tcp --dport 80 -i eth0 -j DNAT --to-destination 192.168.31.167:8080
  • --to-destination: 将数据包的目的地址替换为指定的地址.
gaoZhuanMing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables配置——NAT地址转换
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
iptables
Jsben的博客
04-23 615
第1章 iptables介绍 1.iptables是什么? iptables是开源的基于数据包过滤的防火墙工具。 2.iptables企业应用场景 1、主机防火墙(filter表的INPUT链)。 2、局域网共享上网(nat表的POSTROUTING链)。半个路由器,NAT功能。 3、端口及IP映射(nat表的PREROUTING链),硬防的NAT功能。 4、IP一对一映射。 3.商用防火墙品牌 ...
iptablesbuild:大型Linux网络iptables生成工具-开源
05-08
iptablesbuild旨在管理大型linux系统网络中的iptables配置。 它通过在中央位置使用全局配置文件来生成iptables配置,从而发挥作用。 它旨在与现有的Configuration环境结合使用。
iptables命令、规则、参数详解
diaoxihang5066的博客
12-28 919
表 (table)包含4个表:4个表的优先级由高到低:raw-->mangle-->nat-->filterraw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链...
iptables命令实现端口映射——网络透传
weixin_42310302的博客
04-13 2043
iptables实现端口映射
防火墙iptables转发规则
折剑听雨落
05-20 3830
转载:地址 1.#增加 iptables -t nat -A PREROUTING -p tcp --dport 指定端口 -j REDIRECT --to-ports 53 iptables -t nat -A PREROUTING -p udp --dport 指定端口 -j REDIRECT --to-ports 53 类如: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 56
熟练应用snat和dnat,掌握公网私网之间的连通(补充防火墙规则备份以及如何Linux抓包)
qq_45773660的博客
05-25 472
snat与dnat一、SNAT1.1 原理与应用1.2 SNAT转换前提条件1.3 开启snat1.4 转换固定的公网 IP 地址非固定的公网 IP 地址(动态)1.5 补充二、DNAT2.1 原理与应用2.2 DNAT转换前提条件2.3 开启dnat2.4 转换发布内网的Web服务发布时修改目标端口2.5 补充三、防火墙规则备份和还原3.1导出备份表的规则3.2 导入规则3.3 设置自动还原规则四、抓包 一、SNAT 1.1 原理与应用 SNAT应用环境 局域网主机共享单个公网IP地址接入Intern
IPtables与端口转发
小猪观察员的博客
11-21 1408
一、IPtables端口转发的设置 iptables -t nat -A PREROUTING -p tcp -d 192.168.102.37 --dport 422 -j DNAT --to 192.168.102.37:22 然后使用iptables -t nat -L命令可以查看到在nat的表中的PREROUTING链生成了DNAT转发的规则。 命令解释:-t:在后面添加对应的表。iptables一般的表有net、row、mangle、filter表,一般不加-t命令就是默认为fil.
iptables命令详解和举例
u011029104的专栏
07-07 664
防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防...
使用iptables进行NAT转发
热门推荐
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
详解Docker使用Linux iptables 和 Interfaces管理容器网络
01-20
我使用docker至今已有... Docker广泛使用linux iptables和网桥接口,这篇文章是我如何用于创建容器网络的总结,大部分信息来自github上的讨论,演示文稿,以及我自己的测试。文章结尾我会给出我认为非常有用的资料链接
Linux使用iptables限制多个IP访问你的服务器
01-20
Linux内核上,netfilter是负责数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪等功能的一个子系统,这个子系统包含一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables是一个...
ufw命令 – 管理netfilter防火墙 — 命令大集合
09-18
ufw命令 – 管理netfilter防火墙 — 命令大集合 UFW,或称Uncomplicated Firewall,是iptables的一个接口,为不熟悉防火墙概念的初学者提供了易于使用的界面,同时支持IPv4和IPv6,广受欢迎。 ufw程序用于管理Linux...
Linux』 第一章 基本操作指令(上)
m0_54443558的博客
04-28 904
Linux 基本指令
linux-journal日志文件特别大怎么办,journal日志文件学习
你是我的天晴
04-28 228
今天发现磁盘容量不多了,就去清理磁盘,发现这个文件特别大:journal,特此来学习下。
Linux:浏览器访问网站的基本流程(优先级从先到后)
fox_kang的博客
04-28 695
浏览器访问网站的基本流程(优先级从先到后) 首先查找浏览器是否存在该网站的访问缓存 其次查找本机的域名解析服务器 windows:C:\Windows\System32\drivers\etc\hosts Linux:/etc/hosts 使用外部的域名解析服务器解析(例如:114.114.114.114) 第一步:浏览器使用域名访问www.bilibili.com.网站 第二步:首先去访问根域名解析服务器查询,根服务器返回.com域名解析服务器地址==(这里的根域名解析服务器不会直接给出域名对应的
Linux】开始认识软硬链接
最新发布
JLX_1的博客
04-29 2719
本文通过对文件系统的总结,讲解了Linux中的软硬链接
linux 信号
l2894的博客
04-27 802
设定闹钟是再OS内部,OS内可能有很多进程使用闹钟,所以OS要管理所有的闹钟,先描述,再组织,所以内核中一定要有描述闹钟属性的结构体,并用特定的数据结构组织起来,这里可以使用小根堆来对闹钟进行管理。),并保存在指定寄存器中,当中断发生时,CPU会暂停当前正在执行的程序,并保存当前进程的上下文数据,然后查找中断向量表,找到与中断号对应的处理函数的地址,回调方法。同时CPU有很多针脚,和外设物理连接,每个针脚有自己的编号,键盘按下按键会给特定的针脚发送高电平,触发硬件中断,CPU会识别到针脚的编号(
linux iptables命令详解
09-26
Linux iptablesLinux管理员用来设置IPv4数据包过滤条件和NAT的...以上是Linux iptables命令的简要介绍,如果你想深入了解iptables,可以参考引用和引用提供的详细文章,以及在Linux CentOS系统中安装iptables工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值