拥抱firewalld,但也别忘了iptables——上篇(iptables详解)

最新推荐文章于 2024-08-01 17:51:50 发布
最新推荐文章于 2024-08-01 17:51:50 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: Linux 文章标签: linux 网络 后台 iptables 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gg_18826075157/article/details/72891671
版权

CentOS7(RHEL7)开始,官方的标准防火墙设置软件从iptables变更为firewalld,但是我个人认为对iptables稍加了解仍十分有必要,甚至感觉iptables就是firewalld的前端软件。

iptables的语法组成

$ iptables [-t 规则表] 命令选项 规则链 [条件匹配] [跳转动作]

规则表

iptables将对于数据包的控制分给4个规则表完成,各自在不同的场合发挥作用。它们分别是filter表nat表mangle表raw表

1.filter表

filter表负责数据包的接收或者拒绝,我们最常接触的就是它。
如果直接修改配置文件/etc/sysconfig/iptables,则常是如下格式。

 *filter
 #在这里编写filter的配置
COMMIT

当然你也可以使用命令来添加filter规则:

# 使用命令往filter表格中添加以下规则:直接丢弃端口80接收到的数据包
$ iptables -t filter -p tcp --dport 80 -j -DROP

因为默认的规则表就是filter,因此这部分可以省略,如下:

$ iptables -p tcp --dport 80 -j -DROP

2.nat表

所谓NAT,就是网络地址转换,主要通过修改数据包中的传输源地址和目的地址来实现。常用于将数据包根据某些规则分发到本地局域网的各台服务器上,实现负载均衡或者IP地址复用扩展。

如果直接修改配置文件/etc/sysconfig/iptables,则常是如下格式。

*nat
 #在这里编写nat的配置
COMMIT

当然你也可以使用命令来添加NAT规则

# 把访问202.103.96.112的访问转发到192.168.0.112上(PREROUTING可理解为流入的数据包)
$ iptables -t nat -A PREROUTING -d 202.103.96.112 -j DNAT --to-destination 192.168.0.112

# 把即将要流出本机的数据的源ID地址修改成为58.20.51.66(POSTROUTING可理解为流出的数据包)
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 58.20.51.66

3.mangle表

mangle表主要负责管理各数据包处理的优先级,常用于改善通信质量,其实现方式主要是修改TOS(服务类型)的值。
如果直接修改配置文件/etc/sysconfig/iptables,则常是如下格式。

*mangle
 #在这里编写mangle的配置
COMMIT

当然你也可以使用命令来添加mangle规则

# 将80端口的通信服务类型设置为高吞吐量
$ iptables -t mangle -A PREROUTING -p tcp --dport 80 -j TOS --set-tos Maximize-Throughput

4.raw表

raw表的功能与mangle表有点类似,都是可以给特定的数据包附加标记,最常见的就是附加NOTRACK标记。也就是不经过防火墙,不对该数据包进行任何跟踪而交由其他机器负责处理。

例如,你发现机器因为大量的DNS解析服务负荷则造成通信质量下降,因此决定使用负载均衡把DNS相关的数据包交给其他服务器来处理,这时候只需要为端口53添加NOTRACK标记就可以了。

$ iptables -t raw -I PREROUTING -p udp --dport 53 -j NOTRACK
$ iptables -t raw -I OUTPUT -p udp --dport 53 -j NOTRACK

表之间的优先顺序

Raw——mangle——nat——filter

规则链

种类说明
INPUT对于输入(接受信息)
OUTPUT对于输出(发送信息)
FORWARD对于转发
PREROUTING对于接收信息时的地址转换
POSTROUTING对于发送信息时的地址转换

规则表和规则链的对照关系

表名对应的规则链
filter表INPUT、OUTPUT、FORWARD
nat表POSTROUTING、PREROUTING、OUTPUT
mangle表POSTROUTING、PREROUTING、INPUT、OUTPUT、FORWARD
Raw表PREROUTING、OUTPUT

命令选项

名称说明
-A(–append)在指定规则链的最后增加1条规则
-D(–delete)从指定规则链的中删除1条规则
-P(–policy)设置指定规则链的默认策略
-N(–newchain)自定义新的规则链
-X(–deletechain)删除自定义规则链
-I(–insert)从指定的位置插入一条规则

条件匹配

名称说明
-s(–source)设置匹配对象的源地址
-d(–destination)设置匹配对象的目标地址
-p(–protocol)设置匹配对象的协议类型,比如tcp、udp、icmp、all
-i(–in-interface)设置匹配对象的接收网络接口,比如eth0、eth1
-o(–out-interface)设置匹配对象的发送网络接口,比如eth0、eth1

“-j”:对于匹配成功的对象执行跳转动作

名称说明
ACCEPT允许数据包通过
DROP直接丢弃数据包,不予以回应
REJECT发送ICMP信息以表示拒绝接收数据包
REDIRECT重定向至某个端口
LOG对于该数据包记录日志

保存规则

使用iptables命令创建的规则列表通常只保存在内存,机器重启后就会消失,我们可以使用以下命令把它保存到/etc/sysconfig/iptables文件中。

$ service iptables save
烧煤的快感
关注
专栏目录
iptablesfirewalld防火墙
m0_62948770的博客
08-14 5263
认识安全的重要性,学习iptablesfirewalld
Linux防火墙之firewalldiptables
day day up
07-15 2607
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 3967
目录防火墙介绍iptablesfirewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptablesfirewalld Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
防火墙Firewalldiptables
最新发布
2201_75444658的博客
08-01 595
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
Linux--firewalld防火墙基础(firewalldiptables关系,四表五链,netfilter与iptables关系,iptables语法与参数,firewalld网络区域)
CN_ChenJian
08-03 964
文章目录前言一、Firewalldiptables概述1.1、Firewalld二、Firewalldiptables的关系2.1:netfilter2.2:Firewalld/iptables2.3:netfilter和Firewalldiptables关系2.4:Firewalldiptables的区别2:5:CentOS 6 和CentOS 7 防火墙的区别 前言 防火墙是现代网络安全防护技术中的重要构成内容,可以有效地防护外部的侵扰与影响。随着网络技术手段 防火墙技术 防火墙技术的完善,防火
linux firewalldiptables的区别
06-13 1458
firewalldiptables的比较: 1,firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效; 2,firewalld使用区域和服务而不是链式规则; 3,firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制; 4,firewalld自身...
iptables&firewalld
携手凡生的博客
08-18 341
一、iptables1) iptables实验的环境配置:为了避免防火墙之间互相影响,在作iptables的实验之前,先做一点准备工作: systemctl stop firewalld systemctl disable firewalld systemctl mask firewalld systemctl unmask iptables.service systemctl strt iptab
Linux防火墙入门级教程——iptablesfirewalld配置详解
weixin_43507410的博客
08-11 500
合理的防火墙是你的计算机防止网络入侵的第一道屏障。你在家里上网,通常互联网服务提供会在路由中搭建一层防火墙。当你离开家时,那么你计算机上的那层防火墙就是仅有的一层,所以配置和控制好你 Linux 电脑上的防火墙很重要。如果你维护一台 Linux 服务器,那么知道怎么去管理你的防火墙同样重要,只要掌握了这些知识你才能保护你的服务器免于本地或远程非法流量的入侵。 很多 Linux 发行版本已经自带了防火墙,通常是iptables,它很强大并可以自定义,但配置起来有点复杂,firewalld也是用于管理Linux
【130】Linux 中防火墙firewalldiptables的启动与关闭
小麦粒的Python
08-13 1575
Linux 中防火墙firewalldiptables详解 FirewalldLinux系统自带的防火墙工具,通过管理Firewalld可以实现对netfilter进行...
IptablesFirewalld防火墙(最详细说明)
xuetengbo111的博客
11-22 669
章节简述: 红帽RHEL7系统已经用firewalld服务替代了iptables服务,新的防火墙管理命令firewall-cmd与图形化工具firewall-config。 本章节基于数十个防火墙需求,使用规则策略完整演示对数据包的过滤、SNAT/SDAT技术、端口转发以及负载均衡等实验。 不光光学习iptables命令与firewalld服务,还新增了Tcp_wrappers防火墙服务小节,简单配置即可保证系统与服务的安全。 一、了解防火墙管理工具 防火墙虽有软件或硬件之分但主要功能还是依据策略对外部请求
iptablesfirewalld.pdf
11-30
很详细的iptablesfirewalld
Linux--防火墙{FirewalldIptables的关系,iptables四表五链,firewalld网络区域以及通过图形工具进行操作}
m0_47219942的博客
07-30 1439
Linux--防火墙{FirewalldIptables的关系,Firewalld配置方法,网络区域以及通过图形工具进行操作}前言一:FirewalldIptables概述1.1:Firewalld简介1.2:iptables简介二:FirewalldIptables的关系2.1:netfilter2.2:Firewalldiptables2.3:netfilter和Firewalldiptables关系2.4:Firewalldiptables的区别2:5:CentOS 6 和CentOS 7
运维进阶——iptables详解
zhaoliang_Guo的博客
06-06 5224
iptables 先将双网卡的desktop的firewalld关闭,并锁定 [root@dektop ~]# systemctl stop firewalld [root@dektop ~]# systemctl mask firewalld ln -s '/dev/null' '/etc/systemd/system/firewalld.service' [root@dektop ~]# ...
iptablesfirewalld的区别
qq_37387363的博客
12-01 1152
在RHEL7里有几种防火墙共存:firewalldiptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 firewalldiptables比起来至少有两大好处: 1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效; 2、firewalld在使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分
防火墙工具Firewalldiptables轻松搞定
知识库总结、分享
05-29 954
Firewalldiptables都是Linux操作系统中用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活和易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持与iptables兼容,可以根据实际需求选择使用。ufw和firewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
iptables&firewalld防火墙
python_bobo的博客
08-19 1600
防火墙的三张表五条链 三张表: fileter ##不经过内核的链组成 nat ##经过内核的链组成 mangle ##附加表 五条链: INPUT ##输入 OUTPUT ##输出 FORWARD ##通过 PREROUTING ##目的地地址伪装 POSTROUTING ##源地址伪装首先介绍iptables 开始前需要下载并打开iptables
IptablesFirewalld防火墙
Howie66的博客
02-23 905
8.1 防火墙管理工具众所周知,相较于企业内网,外部的公网环境更加恶劣,罪恶丛生。在公网与企业内网之间充当保护屏障的防火墙(见图8-1)虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。这样一来,就可...
CentOS 6/7防火墙关闭教程:iptablesfirewalld操作详解
值得注意的是,虽然文章没有详细列出在 CentOS 7 上切换到iptables的过程,但一般来说,如果需要将firewalld更改为iptables,可能需要手动编辑防火墙配置文件,或者查阅官方文档进行适当的设置。此外,随着 CentOS 7...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值