netfilter模块及iptables基本概念

最新推荐文章于 2023-03-02 11:21:02 发布
最新推荐文章于 2023-03-02 11:21:02 发布
阅读量187 收藏
点赞数
文章标签: 操作系统
㈠ netfilter

linux一般都是作为服务器使用,对外提供一些基于网络的服务
通常我们都需要对服务器进行一些网络访问控制,类似防火墙的功能
常见的访问控制包括:哪些IP可以访问服务器,可以使用哪些协议,哪些接口,是否需要对数据包进行修改等等
如服务器可能受到来自某IP的攻击,这时就要禁止来自该IP的所有访问
linux的内核集成了网络访问的控制功能,通过netfilter模块实现

linux内核通过netfilter模块实现网络访问控制功能
在用户层我们可以通过iptables程序对netfilter进行控制管理
netfilter可以对数据进行允许、丢弃、修改操作
netfilter支持以下方式对数据包进行分类:
●源IP地址
●目标IP地址
●使用接口
●使用协议
●端口号
●连接状态


注释:
① filtering point:过滤点,你需要选择合适的过滤点

★ input:输入的数据
★ forward:转发的数据
★ output:服务器发出的数据
★ prerouting:路由前的数据
★ postrouting:路由后的数据

② table:netfilter的功能的划分

★ filter:用以对数据进行过滤
★ nat:用以对数据包的源、目标地址进行修改
★ mangle:用以对数据包进行高级修改

当你需要创建一条访问控制策略时,首先要选择正确的过滤点,然后选择合适的功能
常用功能(流量也就是数据包)
作为服务器使用
▲ 过滤到本机的流量:在input过滤点,使用filter表
▲ 过滤到本机发出的流量:在output过滤点,使用filter表

作为路由器使用
▲ 过滤转发的流量:在forward过滤点,使用filter表
▲ 对转发数据的源、目标IP 进行修改:在prerouting或postrouting过滤点,使用nat表

㈡iptables

iptables通过策略对数据进行访问控制
一个策略使用一行配置
策略按顺序排列
当收到、发出、转发数据包时,使用策略对数据包进行匹配,并且按策略顺序进行逐条匹配
数据包按照第一个匹配上的策略执行相关动作:丢弃、放行或者修改
没有匹配的策略时,则使用默认动作(每个过滤点都拥有各自默认的动作,一般是放行)

策略
通过iptables命令创建一条策略
策略包含以下几个部分
例子:iptables -t filter -A INPUT -s 192.168.1.1 -j drop
● 表:规定使用的表(filter、nat、mangle,不同表有不同功能)
● 过滤点:规定过滤点
● 匹配属性:规定匹配数据包的特征
● 匹配后的动作:放行、丢弃、记录
iteye_14608
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux netfilter/iptables知识点详解
09-14
在本篇文章里小编给大家整理的是关于Linux netfilter/iptables知识点详解,有兴趣的朋友们可以参考下。
linux netfilter/iptables 架构分析及nelink的使用
飞翔de刺猬
09-29 4070
本文主要介绍,分为三部分: 1.linux netfilter/iptables组织架构,及其如何扩展netfilter模块。 2.linux netlink机制及其使用方式。 3.介绍内核模块的编写方法:内嵌到源码树构建;独立于源码树构建。
Linux协议栈-netfilter(2)-conntrack
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
linux访问控制(二)防火墙基础和netfilter模块简述
chinaltx的博客
02-16 621
一、一些防火墙的基础知识 1.1 按照协议栈划分防火墙 链路层防火墙:根据MAC地址定制处理规则 网络层防火墙:根据数据包中的协议类型(主要是IP/ICMP)和源目IP定制过滤规则 传输层防火墙:根据数据包中的协议类型(主要是TCP/UDP)和源目端口定制过滤规则 应用层防火墙:属于应用代理防火墙,性能要求最高。 1.2 特殊防火墙 域名防火墙 关联状态防火墙 例如允许内网访问外网而外网...
Linux协议栈-netfilter(1)-框架
落尘纷扰的专栏
04-04 1万+
1. netfilter框架 Netfilter 是内核中进行数据包过滤,连接跟踪,地址转换等的主要实现框架。当我们希望过滤特定的数据包或者需要修改特定数据包的某些内容再发送出去,这些动作主要都在netfilter中完成。 iptables工具就是用户空间和内核的Netfilter模块通信的手段,iptables命令提供很多选项来实现过滤数据包的各种操作,后面会讲到iptables命令如何
基于Netfilter从零开始写一个Linux防火墙,为我们的迷你防火墙编写代码(教程含完整源码)
code2day的博客
03-02 1397
在本文中,我们逐步实现了迷你防火墙,并研究了许多详细的技术。不仅是代码;但我们也通过运行真实的演示来验证迷你防火墙的行为。
Linux网络安全Netfilter机制与iptables工具
10-21
传统 ipchains 的任何功能(来源与目的封包过滤、导向、伪装)。 提供 Source NAT 与 Destination NAT 的功能。 可以针对特定使用者、群组、PID 等限制网络连结的过滤存取。 可以设定封包在 Routing Table 进出前时先...
洞悉linux下的Netfilter&iptables;整理
08-27
洞悉linux下的Netfilter&iptables; 内核中的ip_tables小觑、内核中的rule,match和target、包过滤子系统iptable_filter、如何理解连接跟踪机制、状态防火墙、DNAT、SNAT、iptables命令行工具源码解析
netfilter/iptables(简称为iptables
01-09
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)...
netfilter模块编译和运行
xuwaiwai的博客
06-09 696
netfilter 模块的Makefile书写和编译过程
linux内核netfilter模块HOOKs点的注册及调用
04-19
详细介绍了linux下防火墙之netfilter模块的hooks注册、调用、测试等情况。
netfilter&iptables探讨(1)——基本原理
dillanzhou的博客
08-07 566
在Linux内核中,netfilteriptables就提供了这样一套内核网络定制机制。本文将简单介绍netfilteriptables的原理、用途以及两者的关系,从而说明这套机制是如何实现通过用户态的简单配置,就能修改linux内核网络行为的。对netfilteriptables的具体实现和用法将在后续的文章中讨论。......
netfilter/iptables模块功能中文介绍
enchen的专栏
03-02 700
 功能介绍 (每个info和help本是英文的,为方便阅读我把它翻译成中文,由于水平有限,如果有误请有经验者来信指正) 获取最新patch-o-matic-ng的地址:ftp://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/ [root@kindgeorge src] wget ftp://ftp.netfilter.org/pub/
linux内核netfilter模块分析之:HOOKs点的注册及调用
热门推荐
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
02-22 2万+
0:相关文档  linux 下 nf_conntrack_tuple 跟踪记录  其中可以根据内核提供的数据结构获取连接跟踪记录。  iptables 中的NAT使用总结    iptable的在防火墙上面的应用。 1:iptable中三个tables所挂接的HOOKs 其实这个问题很简单的运行iptables打开看看就知道,此处的hook与内核的hook是对应起来的。
在mininet下设计网络拓扑、性能评价以及Linux内核修改、编译
冰冻三尺非一日之寒
11-02 3075
文章目录前言一、mininet简单使用二、关于拥塞控制内核的相关命令1.引入库2.读入数据总结 前言 在网络领域,大多数情况下做的实验都是基于ns2、ns3等仿真软件。这些软件是在应用层上模拟了一套网络协议,算是在应用层实现的,而mininet使用的网络协议是基于内核的,更关注网络拓扑本身,要想修改协议进行网络测试,直接到内核级别进行更改,更有现实意义 一、mininet简单使用 在Linux平台上安装好mininet之后,可以通过终端使用,官方也支持python API,更方便的进行编码。 使用mi.
Linux netfilter 学习笔记 之十二 ip层netfilter的NAT模块代码分析
lickylin的专栏
07-04 1万+
本节主要是分析NAT模块相关的hook函数与target函数,主要是理清NAT模块实现的原理等。   1.NAT相关的hook函数分析 NAT模块主要是在NF_IP_PREROUTING、NF_IP_POSTROUTING、NF_IP_LOCAL_OUT、NF_IP_LOCAL_IN四个节点上进行NAT操作,在上一节中我们知道nat表中只有PREROUTING、POSTROUTING、LOC
netfilter/iptables模块编译及应用
jiangxinyu的专栏
01-03 1088
netfilter/iptables模块编译及应用netfilter/iptables模块编译及应用        by KindGeorge # yahoo.com  2005.4.2 at ChinaUnix.net 相信很多人都会用iptables,我也一直用,并且天天用.特别是看完platinum的>介绍后,觉得有必要深入了解一下它的拓展功能.于是立刻下载,先查看一下它的说明, 其
Linux netfilter 学习笔记 之九 ip层netfilter的连接跟踪模块代码分析
lickylin的专栏
06-29 6570
上一节分析了连接跟踪模块相关的初始化代码,本节分析连接中hook函数。在分析之前,我们再次回顾一下数据包在连接跟踪模块中的走向。   发往本地的数据: 对于连接跟踪来说,只在hook点NF_IP_PRE_ROUTING、NF_IP_LOCAL_IN两个hook点进入到连接跟踪模块,按优先级顺序,依次调用 ipv4_conntrack_defrag->ipv4_conntrack_in->i
Linux中netfilter模块编程实践
badman250的专栏
05-16 3175
上篇我们看了netfilter的实现机制,这篇来实现下netfilter模块实操一把。为了注册一个钩子,需要填充nf_hook_ops结构体,包括优先级,钩子地点和钩子函数。然后调用nf_register_hook()函数。1.   数据结构  struct nf_hook_ops {        /* User fills in from here down. */        nf_hoo...
netfilteriptables的区别
最新发布
06-13
iptables是基于Netfilter框架的一个用户空间的工具,用于配置和控制Linux内核中的Netfilter子系统。 简单来说,Netfilter是一个内核层面的框架,提供了对网络数据包的处理和过滤的功能,而iptables是基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值