iptables/netfilter学习

最新推荐文章于 2023-03-15 13:12:18 发布
最新推荐文章于 2023-03-15 13:12:18 发布
阅读量242 收藏 1
点赞数
分类专栏: 网络协议 Linux学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjxzb/article/details/106452431
版权

iptables/netfilter学习


iptables是一个配置Linux内核防火墙的命令行工具,它基于内核的netfilter机制。新版本的内
核(3.13+)也提供了nftables,用于取代iptables。

netfilter

netfilter是Linux内核的包过滤框架,它提供了一系列的钩子(Hook)供其他模块控制包的流
动。这些钩子包括

  • NF_IP_PRE_ROUTING :刚刚通过数据链路层解包进入网络层的数据包通过此钩子,它在路
    由之前处理
  • NF_IP_LOCAL_IN :经过路由查找后,送往本机(目的地址在本地)的包会通过此钩子
  • NF_IP_FORWARD :不是本地产生的并且目的地不是本地的包(即转发的包)会通过此钩子
  • NF_IP_LOCAL_OUT :所有本地生成的发往其他机器的包会通过该钩子
  • NF_IP_POST_ROUTING :在包就要离开本机之前会通过该钩子,它在路由之后处理

iptables

filter表

主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG)。filter 表对应的内核模块为iptable_filter,包含三个规则链:

  • INPUT链:INPUT针对那些目的地是本地的包;
  • FORWARD链:FORWARD过滤所有不是本地产生的并且目的地不是本地(即本机只是负责转发)的包;
  • OUTPUT链:OUTPUT是用来过滤所有本地生成的包;

nat表

主要用于修改数据包的IP地址、端口号等信息(网络地址转换,如SNAT、DNAT、MASQUERADE、REDIRECT)。属于一个流的包(因为包 的大小限制导致数据可能会被分成多个数据包)只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded,那么余下的包都会自动地被做相同的操作,也就是说,余下的包不会再通过这个表。表对应的内核模块为 iptable_nat,包含三个链:

  • PREROUTING链:作用是在包刚刚到达防火墙时改变它的目的地址;
  • OUTPUT链:改变本地产生的包的目的地址;
  • POSTROUTING链:在包就要离开防火墙之前改变其源地址;
    (centos7中还有INPUT,centos6中没有)

mangle表

主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标记,以实现Qos(Quality Of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。

包含五个规则链:PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。

raw表

是自1.2.9以后版本的iptables新增的表,主要用于决定数据包是否被状态跟踪机制处理。在匹配数据包时,raw表的规则要优先于其他表。
包含两条规则链——OUTPUT、PREROUTING
在这里插入图片描述

iptables示例

查看规则列表

iptables -nvL

允许22端口

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许来自192.168.0.4的包

iptables -A INPUT -s 192.168.0.4 -j ACCEPT

允许现有连接或与现有连接关联的包

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

NAT

iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -I OUTPUT -d 55.55.55.55/32 -j DNAT --to-destination 10.0.0.30
iptables -t nat -I PREROUTING -d 55.55.55.55/32 -j DNAT --to-destination 10.0.0.30
iptables -t nat -I POSTROUTING -s 10.0.0.30/32 -j SNAT --to-source 55.55.55.55\

参考资料

1、https://www.cnblogs.com/yyxianren/p/10910176.html
2、https://www.digitalocean.com/community/tutorials/a-deep-dive-into-iptables-and-netfilter-architecture

程序员学编程
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码(教程含完整源码)
code2day的博客
03-02 1444
在本文中,我们逐步实现了迷你防火墙,并研究了许多详细的技术。不仅是代码;但我们也通过运行真实的演示来验证迷你防火墙的行为。
iptables系列教程(一)| iptables入门篇
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-13 715
一个执着于技术的公众号前言在早期的 Linux 系统中,默认使用的是 iptables 配置防火墙。尽管新型 的 firewalld 防火墙已经被投入使用多年,但是大量的企业在生产环境中...
nftables基础与实践
本博客暂停使用
06-30 3326
@[TOC](nftables应用与实践(一) 基础) 鉴于之前的小项目的缺点,以及对比iptables(ipset)、nftables、ebpf-iptables后,敲定过滤网络数据包的底层工具还是选用nftables而不是iptables+ipset。 理由: ebpf很优秀,但需要C编程,开发效率低下;golang库小众年久失修; 红帽自己的iptables和ipset替代方案nftables纳入考虑;而且有golang的比较成熟的库; iptables+ipset,优点是只需要熟悉一下ipset,
iptables的使用
最新发布
我活在当下,我巨他妈勇敢。
03-15 178
在看iptables使用规则前,得先明白这5个钩子函数的触发规则。
netfilter框架概述
rondyning的博客
05-25 2793
1 Netfilter 1.1 netfilter概述 Netfilter是linux 2.4.x引入的一个子系统,它是一个通用的、抽象的框架。其不依赖于具体的协议,而是为每种网络协议定义一套HOOK函数。这些HOOK函数在数据报经过协议栈的几个关键点被调用。 内核的任何模块可以对每种协议的一个或多个HOOK进行注册,实现挂接。这样当某个数据报被传递给Netfilter框架时,内核能检测到是否有任何模块对该协议和HOOK函数进行了注册。若注册了,则调用该模块的注册时使用的回调函数,这样这些模块就有机会检查、
【Linux内核层】深入netfilter编程
图像、视频、算法、Linux
12-04 7095
由于【智能路由器】系列系列博客中好几篇文章都用到了netfilter来实现路由器中的部分功能,所以写这篇博客来阐述一下我在使用netfilter框架编程时的看法。我尽量以简洁的语言描述netfilter编程要点。5个钩子点分别为:PREROUTING、POSTOUTING、INPUT、FORWARD、OUTPUT,下面给了一个很简洁的框架图,想必大家很熟悉 注意到:我在netfilter的5个钩子
iptables 使用详解
qq_14932665的博客
09-16 342
iptables -L -n 查看本机关于IPTABLES的设置情况 参考
iptables/netfilter
weixin_45437959的博客
05-12 274
iptables是一个配置Linux内核防火墙的命令行工具,它基于内核的netfilter机制。新版本的内核(3.13+)也提供了nftables,用于取代iptables。 netfilter netfilter是Linux内核的包过滤框架,它提供了一系列的钩子(Hook)供其他模块控制包的流动。这些钩子包括 NF_IP_PRE_ROUTING:刚刚通过数据链路层解包进入网络层的数据包通过此钩子,它在路由之前处理 NF_IP_LOCAL_IN:经过路由查找后,送往本机(目的地址在本地)的包会通过此钩子
Linux 内核开发 - NetFilter
阿呆的隐秘角落
09-12 2143
Linux 内核开发 - NetFilter
大白话netfilter
yanchendage的博客
03-16 9813
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter在内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
netfilter小例子
11-28
刚刚开始学习linux netfilter,一个初级的netfilter小例子
2.6.30内核Netfilter的简单例子、二(DropLo)
09-11
感觉上一个例子过于简单,再来一个带判断条件的:丢弃所有来自环路设备的数据包,drop lo。 教程地址:http://blog.csdn.net/sahusoft/archive/2009/09/11/4541286.aspx
Linux Netfilter编程源码
12-16
实现linux下防火墙的应用,可以添加相应规则对网络数据包进行相应过滤。
shell编程之iptables
m0_48580960的博客
06-20 391
Linux包过滤防火墙概述 netfilter 1、位于Linux内核中的包过滤功能体系 2、称为Linux防火墙的“内核态” iptables 1、位于/sbin/iptables,用来管理防火墙规则的工具 2、称为Linux防火墙的“用户态” netfilter工作在底层,iptables工作在表层的工具实则还是调控的netfilter。 包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 iptables的表、链结构 1、规则表 表的作用:容纳各种规则链 表的划
深入理解 netfilteriptables
云原生实验室
03-09 1065
Netfilter (配合 iptables)使得用户空间应用程序可以注册内核网络栈在处理数据包时应用的处理规则,实现高效的网络转发和过滤。很多常见的主机防火墙程序以及 Kubernete...
Linux中netfilter模块编程实践
weixin_40581617的博客
08-29 581
 上篇我们看了netfilter的实现机制,这篇来实现下netfilter模块实操一把。 为了注册一个钩子,需要填充nf_hook_ops结构体,包括优先级,钩子地点和钩子函数。然后调用nf_register_hook()函数。 1.   数据结构     struct nf_hook_ops {         /* User fills in from here down. */ ...
制作linux下netfilter过滤驱动程序
Win32FanEx 的专栏
06-16 949
centos下网包过滤
IPTables工具及其与netfilter关系介绍
瑞风轻拂
09-08 4979
IPTables概述         IPTables是基于Netfilter基本架构实现的一个可扩展的数据报高级管理系统或核外配置工具,利用table、chain、rule三级来存储数据报的各种规则。Netfilter-iptables由两部分组成,一部分是Netfilter的"钩子",另一部分则是知道这些钩子函数如何工作的一套规则--这些规则存储在被称为iptables的数据结构之中。钩子函
浅析NetFilteriptables
wxywxywxy110的博客
11-24 3482
继上文介绍了Linux防火墙后,浅析Linux防火墙链接一:介绍NetFilteriptables框架如上图,分三种情况介绍数据包和钩子函数的关系: 1.当数据包从物理层和数据链路层传输过来,如果数据包是访问Linux主机本身。则经过PRE_ROUTING和LOCAL_IN钩子函数,到达传输层和应用层。2.当数据包从物理层和数据链路层传输过来,如果数据包需要转发,则经过PRE_ROUTING、F
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值