iptables 介绍(一)

最新推荐文章于 2023-04-30 19:31:07 发布
最新推荐文章于 2023-04-30 19:31:07 发布
阅读量407 收藏
点赞数
分类专栏: linux iptables 文章标签: filter 防火墙 output 网络 input linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jack161641/article/details/7453421
版权

     iptables是linux下的防火墙软件,功能十分强大,主要用于包过滤、网络地址转换、数据包更改,很多安全厂商的防火墙都是基于iptables搭建的。

一iptables的基本理论
1.规则(rules)
规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。
2.链(chains)
链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定义的默认策略来处理数据包。
3.表(tables)
表(tables)提供特定的功能,iptables内置了3个表,即filter表、nat表和mangle表,分别用于实现包过滤,网络地址转换和包重构的功能。
(1).filter表
    主要用于过滤数据包,该表根据系统管理员预定义的一组规则过滤符合条件的数据包。对于防火墙而言,主要利用在filter表中指定的规则来实现对数据包的过滤
Filter表是默认的表,如果没有指定哪个表,iptables就默认使用filter表来执行所有命令,filter表包含了INPUT链(处理进入的数据包),RORWARD链(处理转发的数据包),OUTPUT链(处理本地生成的数据包)在filter表中只能允许对数据包进行接受,丢弃的操作,而无法对数据包进行更改
(2).nat表
    主要用于网络地址转换NAT,该表可以实现一对一,一对多,多对多等NAT 工作,iptables就是使用该表实现共享上网的,NAT表包含了PREROUTING链(修改即将到来的数据包),POSTROUTING链(修改即将出去的数据包),OUTPUT链(修改路由之前本地生成的数据包)
(3).mangle表
   主要用于对指定数据包进行更改,在内核版本2.4.18 后的linux版本中该表包含的链为:INPUT链(处理进入的数据包),RORWARD链(处理转发的数据包),OUTPUT链(处理本地生成的数据包)POSTROUTING链(修改即将出去的数据包),PREROUTING链(修改即将到来的数据包)

 

jack161641
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 实战】02 iptables常用命令
程序员笔记
10-02 636
既将INPUT链的默认策略设置为了ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了”iptables -F”操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是ACCEPT。注意DROP规则是用的A,append,即在ACCEPT之后,添加一条规则。假设,我想要放行ssh远程连接相关的报文,也想要放行web服务相关的报文,那么,我们在INPUT链中添加如下规则。
suricata + ELK保姆级搭建入侵检测/入侵防御01 --- suricata环境搭建
m0_49979570的博客
01-24 6598
前言 最近在整理网络安全方面的问题,服务器由于是部署在微软云的原因,所以在微软云中了解到了网络监察程序相关的内容,它使用的是suricata + ELK来进行网络流量的监察,在查找suricata的过程,我发现国内suricata方面的资源太少,以至于花了一些时间才明白是如何进行搭建的。(其实就是菜 = =|||) 本文章搭建的环境为Ubuntu OS,使用的suricata是直接使用apt install方式安装。 由于在微软云上直接看网络监察程序那页实在是没说明白,直接跟着操作会有一些问题存在,所以E
suricata中模式概念详解
wsk004321的专栏
05-19 5676
截止目前,结合开源中国中“背着笔记本流浪”的blog中文章,已经对main函数和数据包收取、解码有了初步了解。其中遇到的困难和疑惑的地方记录在这里,便于今后学习和提升。 1、网络编程知识经验不足,suricata整个架构采用多线程编程的方式,如若不了解线程的用法,理解起来会存在一些难度。 2、底层网络协议了解不够,需要日后补充下知识,感觉仅限了解的层面即可,至少可以看懂。 3、在
一大堆iptables规则
SHELLCODE_8BIT的博客
04-30 133
【代码】一大堆iptables规则。
主机直接ssh到服务器的虚拟机使用iptables方法
jyshappy的博客
05-09 694
iptables -I INPUT -i eno1 -p tcp --dport 2200:2299 -j ACCEPT iptables -I FORWARD -p tcp --dport 22 -j ACCEPT for i in {1…9}; do iptables -t nat -I PREROUTING -d 10.20.25.154 -p tcp -m tcp --dport 220i−jDNAT−−to−destination192.168.122.20i -j DNAT --to-desti
Centos离线安装iptables.docx
04-15
本文将详细介绍如何在CentOS系统上离线安装iptables及其服务。 #### 二、准备工作 在进行离线安装之前,首先需要准备以下几个步骤: 1. **软件包下载**: - 下载地址:...
iptables详解
09-04
本文档将详细介绍iptables的工作原理及其在网络安全中的应用。首先,我们需要了解安全体系的一般构成: 1. **Firewalls**:用于监控和控制进出网络的流量。 2. **TCPWrappers**:通过配置文件来限制对特定服务的...
iptables详解 .pdf
04-29
iptables 详细介绍,随着k8s的兴起,iptables被关注的人更多了。本书详细介绍iptables的内容,带你滤清各种表及链。在阅读的同时,更多的是要动手操作。技术这一行,实践才是最重要的。
iptables防火墙应用指南
05-31
- **1.2.2 Netfilter/Iptables**:Netfilter是包含所有iptables表的一个容器,类似于一栋楼中的多个房间。这里Netfilter相当于整栋大楼,而表则是楼内的各个房间。 - **1.2.3 表(tables)**:表是链的容器,即...
iptables应用手册详细介绍
04-06
iptables 应用手册详细介绍 iptablesLinux 核心里的 Netfilter 子系统所提供的唯一工具程序,用于创建防火墙、网址转换、数据包记录、流量统计等功能。iptables 的接口很可能是 Linux 有史以来最精致的,使得 ...
detection_filter:使用Wire程序包过滤原始人工检测位置的节点
04-13
detection_filter 使用Wire程序包过滤原始人工检测位置的节点 人体检测管道 这是人体检测管道当前的工作方式: darknet节点推出检测到对象的边界框。 这些边界框由rgb_human_detection_node以及接近同步的深度图像捕获。 图像变换用于将边界框校正为深度框,从中提取深度值,并将其投影到相对于RealSense相机的真实世界中。 然后,将(x,y,z)中的这些相对人类位置作为/dragoon_messages/Objects 。 该节点( detection_filter )捕获这些相对的人类检测位置并对其进行预处理(4月12日:预处理仅包括忽略8m以外或0.05m以下的相对检测)。 然后,使用TF-tree将这些经过预处理的检测结果转换为/map帧,并将其发布为wire_msgs/WorldEvidence ,以输入到全局Kalman滤波器中。
wazuh 收集 suricata eve.json日志
guoguangwu的专栏
11-19 4082
安装suricata和规则 (源码或者安装包),本博客提供安装包操作方式: 切换成超级用户进行操作 yum -y install epel-release wget jq curl -O https://copr.fedorainfracloud.org/coprs/jasonish/suricata-stable/repo/epel-7/jasonish-suricata-stable-e...
Linux -- 使用netfilter_queue修改数据包以及需要的环境搭建
青椒*^_^*凤爪爪的博客
11-24 1万+
环境:ubuntu 16.04 64bitLTS 下面的内容只是一些安装测试的步骤和方法的记录,并没有什么实质性和原理的说明,主要为作者本人记录的远程笔记,如果有幸对您也有帮助,请您顺手顶一下,如果您觉得您是在看不下去,也请不要喷我,毕竟学习不易,小白辛苦的学习还是需要鼓励的,先谢谢您呐!(滑稽狗头.jpg) 在项目中需要使用netfilter_queue修改数据包,然后习惯性的先找了度娘...
iptables简单配置方法
高飞的专栏
03-25 4398
CentOS提供的软件防火墙iptables,通过配置防火墙,可以一定程度上防止服务器被入侵。但是iptables规则略复杂,开始接触的时候可能会感觉头晕,这里提供一个简单的配置模板。防火墙对于外来的网络连接,一般处理的方式有三种:ACCEPT、DROP和REJECT,对应的意思就是接收请求、抛弃请求和拒绝请求。 编辑/etc/sysconfig/iptablesvim /etc/sysconfi
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 4844
构造rpm包及其依赖的离线安装环境 离线安装suricata,离线更新suricata规则,使用suricata离线检查pcap包
pcap_open 和 pcap_open_live
swartz_lubel的专栏
07-21 2万+
pcap_t* pcap_open ( const char * source, int snaplen, int flags, int read_timeout, struct pcap_rmtauth * auth, char * errbuf ) 打开一个通用源,以便捕获/发送(仅限WinPcap)流量。 该pcap_open()替换所有pcap_open_x
图像处理常用边缘检测算子总结
热门推荐
Augusdi的专栏
06-05 10万+
不同图像灰度不同,边界处一般会有明显的边缘,利用此特征可以分割图像。需要说明的是:边缘和物体间的边界并不等同,边缘指的是图像中像素的值有突变的地方,而物体间的边界指的是现实场景中的存在于物体之间的边界。有可能有边缘的地方并非边界,也有可能边界的地方并无边缘,因为现实世界中的物体是三维的,而图像只具有二维信息,从三维到二维的投影成像不可避免的会丢失一部分信息;另外,成像过程中的光照和噪声也是不可避免
Suricata配置文件说明1
Traxer的学习之路
04-21 6171
本系列文章是Suricata官方文档的翻译加上自己对其的理解,部分图片也是来自那篇文章,当然由于初学,很多方面的理解不够透彻,随着深入后面会对本文进行一定的修正和完善。Suricata使用Yaml作为其配置文件的格式,关于Yaml可以参考YAML-维基百科。其中Suricata默认的配置文件是suricata.yaml,以硬编码的形式写在源代码中,当然也可以在执行的时候添加-c+指定位置的yaml文
iptables介绍
最新发布
05-10
iptablesLinux系统中一个重要的防火墙软件,它可以过滤网络数据包,提供网络安全保护和流量控制。iptables可以根据预定义的规则来阻止或允许特定类型的流量通过网络接口。这些规则由iptables的命令行工具进行配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值