Ebtables/Iptables分析

最新推荐文章于 2023-05-18 20:37:08 发布
最新推荐文章于 2023-05-18 20:37:08 发布
阅读量7.3k 收藏 20
点赞数 4
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gongjun12345/article/details/83788087
版权

分析Ebtables/Iptables实现及命令。

ebtables和iptables都是linux系统下,netfilter的配置工具,可以在链路层和网络层的几个关键节点配置报文过滤和修改规则。

ebtables更侧重vlan,mac和报文流量。

iptables侧重ip层信息,4层的端口信息。

ebtables
命令实例:

1、显示table

ebtables -t filter -L 显示filter table的内容,默认也是显示该table
ebtables -t broute -L 显示broute table的内容
ebtables -t nat -L 显示nat table的内容
显示
Bridge table: filter
Bridge chain: INPUT, entries: 0, policy: ACCEPT
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT

2、增加一个chain

ebtables -t filter -N jason -P ACCEPT 增加一个名为jason的chain
显示
ebtables -t filter -L
Bridge table: filter
Bridge chain: INPUT, entries: 0, policy: ACCEPT
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
Bridge chain: jason, entries: 0, policy: ACCEPT
但其实现在不会有报文走到该chain,因为该chain没有实际挂载到任何内核报文收发点上。

3、修改一个chain的跳转

ebtables -t filter -A INPUT -j jason
显示
ebtables -t filter -L
Bridge table: filter
Bridge chain: INPUT, entries: 1, policy: ACCEPT
-j jason
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
Bridge chain: jason, entries: 0, policy: DROP
这样从br来的报文,会查询jason chain的规则,最后被丢弃。

4、修改chain的规则

ebtables -t filter -P jason DROP
显示
ebtables -t filter -L
Bridge table: filter
Bridge chain: INPUT, entries: 1, policy: ACCEPT
-j jason
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
Bridge chain: jason, entries: 0, policy: DROP
这样从br来的报文,会查询jason chain的规则,最后被丢弃。

5、清空一个chain的规则

ebtables -t filter -F INPUT
ebtables -t filter -L
Bridge table: filter
Bridge chain: INPUT, entries: 1, policy: ACCEPT
-j jason
Bridge chain: FORWARD, entries: 0, policy: ACCEPT
Bridge chain: OUTPUT, entries: 0, policy: ACCEPT
Bridge chain: jason, entries: 0, policy: DROP

ebtables [-t table ] -[ACDI] chain rule specification [match extensions] [watcher extensions] target

6、规则扩展部分:

Options:
–proto -p [!] proto : protocol hexadecimal, by name or LENGTH
–src -s [!] address[/mask]: source mac address
–dst -d [!] address[/mask]: destination mac address
–in-if -i [!] name[+] : network input interface name
–out-if -o [!] name[+] : network output interface name
–logical-in [!] name[+] : logical bridge input interface name
–logical-out [!] name[+] : logical bridge output interface name
–set-counters -c chain
pcnt bcnt : set the counters of the to be added rule

网上流行的iptable/ebtables的流程图有误,在此更正如下其各个table的位置
​​
在这里插入图片描述
下图仅供参考:
在这里插入图片描述

相关文献和链接:

Ebtables详解:
http://www.cnblogs.com/peteryj/archive/2011/07/24/2115602.html
Iptables详解
http://blog.csdn.net/reyleon/article/details/12976341
iptables 小结
http://blog.csdn.net/xingliyuan22/article/details/9152037
ebtables命令
http://blog.csdn.net/rudyn/article/details/28630495

使用案例:

1、NAT loopback
https://unix.stackexchange.com/questions/282086/how-does-nat-reflection-nat-loopback-work

2、LAN2LAN 组播报文二层不转发。
ebtables -t filter -A FORWARD -i eth0.+ -o eth0.+ -d 01:00:00:00:00:00/01:00:00:00:00:00 -j DROP
-d MAC/MASK的方式,将组播报文找出来。

原始链接:

http://ebtables.netfilter.org/
http://ebtables.netfilter.org/misc/ebtables-man.html

Coder-Jason
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptablesebtables指南
03-12
非常不错的东西与大家分享,包括iptables指南与ebtables指南
linux ebtables iptables关联图
06-27
很强大的linux协议栈ebtables\iptables数据处理流程图
Linux系统- firewall-cmd的使用详解
鬼刺
10-15 2064
1 引言
ebtables使用介绍
to_be_better_wen的博客
02-05 7205
ebtables的使用方法总结
ebtables官方文档翻译
扎实基础方能走远
08-01 981
官方文档:http://ebtables.netfilter.org/misc/ebtables-man.html 非权威翻译,大家辩证查阅。 描述: ebtables是一个创建和维护内核 嗅探Ethernet frame规则表格的应用程序,它类似iptables,但是没有它复杂,因为Ethernet协议相比ip协议更简单一点 CHAINS Linux内核内置了三种ebtables 表。这些表用来区分不同的功能规则,每一种规则的集合就叫做一个chain,每一个chain都是一个用来匹配Ethern
ebtables基本使用
u011029104的专栏
04-27 8608
ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具。既然称之为配置工具,就是说过滤功能是由内核底层提供支持的,这两个工具只是负责制定过滤的rules. ebtables即是以太网桥防火墙,以太网桥工作在数据链路层,ebtables来过滤数据链路层数据包。2.6内核内置了ebtables,要使用它必须先安装ebtables的用户空间工具(ebtables-v2.0.6),安装完成后就可以使用ebtables来过滤网桥的数据包。参照用户实际要求,设置ebtables规则如..
ebtables基本使用说明
u011029104的专栏
06-28 3913
Targets: (1)ACCEPT : 让帧通过 (2)DROP: 丢弃帧。 (3)CONTINUE:让帧继续走下面的规则(rule) (4)RETURN: 停止当前链的过滤规则,进而去走前面链的下一条规则 注意:在BROUTING链中ACCEPT和DROP有不同的含义:如果是DROP,则规则转发到路由(iptables)去处理 TABLES: 内置三个表(tables): (1)filter : 默认使用此表,并且无需使用 -t 或 -table参数 (2)nat (3)br.
ebtables与iptables之间的交互技巧
sxd2001的博客
06-12 1929
ebtables与iptables之间的交互操作进行了分析,并剖析了broute的DROP不同用法之间的实质差异,避免broute的DROP起不到强制路由作用
ebtables学习
qq_44984584的博客
05-18 975
eg: ebtables -D INPUT 1:2 (将filter表中INPUT链的第1到第2条规则删除掉)I插入新的规则链(必须指明规则链号)。(1)BROUTING: 此处的target (DROP /ACCEPT)有不同的含义。–ip-proto:IP包类型,1为ICMP包,6为TCP包,17为UDP包。(4)RETURN: 停止当前链的过滤规则,进而去走前面链的下一条规则。创建新的链路,默认的位ACCEPT,可以通过命令-P来进行更改。(3)CONTINUE:让帧继续走下面的规则(rule)
Linux系统中使用ebtables技术
zwenqian0602的博客
01-12 790
Linux系统中使用ebtables技术
ebtables/iptables interaction on a Linux−based bridge
04-08
ebtables/iptables interaction on a Linux−based bridge
ebtables-iptables interaction on a Linux-based bridge.mht
12-10
ebtables-iptables interaction on a Linux-based bridge.mht
iptables-ebtables-1.8.4-22.el8.x86_64.rpm
01-14
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
RFC6890特定用途IP地址定义
Jason.Gong的专栏
05-28 2150
2.2.2 IPv4 特定用途地址 address name alloc data term data src dst forwardable Global Reserved by Protocol 0.0.0.0/8 This host on this network 1981/9 N/A True False False False True 10.0.0.0/8 Priv...
RFC7599 MAP-T
Jason.Gong的专栏
07-09 1641
本文介绍了一种解决无状态的IPv6-IPv4转换的解决方案,提供给共享和非共享的IPv4和IPv6网络互通的连接。 1、介绍: 最初的IPv6网络服务提供商,如RFC6219的部署所得到的经验,表明可以成功过度到IPv6,并且依然支持对于没有点对点双栈的残留IPv4用户。 本文介绍的地址+端口映射转换,缩写为(MAP-T)架构就是一种双重无状态,基于NAT64的解决方案。其建立在现有的[RFC6145]有状态NAT64的技术,还有[RFC7597]定义的有状态地址和传输层端口映射的MAP-E技术。MAP-T
RFC1191 路径MTU发现
Jason.Gong的专栏
08-22 1323
本文介绍了一种动态路径最大MTU发现的机制。介绍了路由器产生一种特殊icmp报文。 概述 1、主机先尝试发送一个576字节的报文,并把DF置位(dont fragment)。 这样如果路由器无法分片,会发送一个目的不可达icmp报文。 主机收到后,会减小MTU并继续尝试PMTU发现。 2、一旦主机发现PMTU小到不需要分片即可达到对端,PMTU发现过程结束。 3、路由器需要对报文太大的icmp中,...
RFC 7703 MAP-T测试经验
Jason.Gong的专栏
07-22 910
1、介绍: 2、测试拓扑: MAP-T CPE是跑Fedora11的linux虚拟机。主机其实也是3台虚拟机,1台是linux Kubuntu 12.04,一台是win7,一台是win xp。 IPv6路由器是配置了静态路由的linux机器。 NIC.br_IPv4是连接IPv4公网的交换机,NIC.br IPv6是连接IPv6公网的交换机。 2.2 配置文件: 2.2.1 MAP-T 配置要点: IPv6 prefix=2001:db8:6:d600::/56 IPv4 prefix=198.51.100
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
ebtables iptables
09-01
ebtables和iptables都是用于Linux操作系统中网络流量的过滤工具。 ebtables是Ethernet Bridge表的工具,用于对以太网帧进行过滤和操作。以太网桥是用于连接不同网络的设备,它根据MAC地址将数据从一个网络转发到另一个网络。ebtables可以用来设置规则,例如在桥接设备之间转发特定MAC地址的帧或阻止特定MAC地址的帧等。 iptables是基于netfilter架构的防火墙工具,用于过滤和操作IP数据包。它通过检查IP数据包的头部信息,如源IP地址、目标IP地址、协议等,来决定是否允许或拒绝数据包传输。iptables可以设置不同的规则,以实现网络流量的控制和安全性。 虽然ebtables和iptables都是用于过滤网络流量的工具,但它们操作的层次不同。ebtables在数据链路层(第二层)操作以太网帧,而iptables在网络层(第三层)操作IP数据包。因此,ebtables更适用于本地网络中基于MAC地址的流量控制,而iptables适用于基于IP地址和协议的流量控制和防火墙配置。 在实际应用中,可以根据需求选择使用ebtables或iptables或同时使用两者来进行网络流量的过滤和控制,以提高网络的安全性和性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值