iptables 介绍

最新推荐文章于 2024-03-11 15:06:14 发布
最新推荐文章于 2024-03-11 15:06:14 发布
阅读量679 收藏 2
点赞数
分类专栏: TCP/IP 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kv110/article/details/47816723
版权

iptables 介绍

iptable过滤流程

这里写图片描述

这里写图片描述

  1. 命令格式
    iptables [-t table] command [chain] [match][target]

  2. table
    filter: 默认表,处理包的过滤的表。没有-t就指filter表
    nat: 处理网络地址转换的表(network address translation)
    mangle:可以修改包的信息,如ttl,tos
    raw:高级用法,根据链接状态做相应处理

  3. chain: Rule的集合,通常跟数据流向有关
    默认的chain:
    filter: INPUT (接收的数据包), OUTPUT(发出去的数据包), FORWARD(要转发的数据包)
    nat: PREROUTING(路由前处理), POSTROUTING(路由后处理), OUTPUT
    mangle: INPUT, OUTPUT, FORWARD, PREROUTING, POSTROUTING
    raw: PREROUTING, OUTPUT

  4. command:对chain操作的命令,这是立即生效的
    -P :设置默认策略的(设定默认门是关着的还是开着的)
    iptables -P INPUT (DROP|ACCEPT) 默认是关的/默认是开的
    -F: FLASH,清空规则链的
    iptables -t nat -F PREROUTING清空nat表里的PREROUTING chain
    N:NEW 新建一个链
    -X: 用于删除用户自定义的空链(先清空再删除)
    -E:重命名chain
    -Z:清空链,及链中默认规则的计数器的

  5. target指的是要做什么操作。
    系统定义的target有ACCEPT(接收), DROP(直接丢弃), QUEUE(数据返回到用户空间处理) and RETURN(返回到调用的链,略过后面的rule处理), 还有一些扩展target,如REJECT,MASQUERADE(源地址伪装),REDIRECT(重定向,主要用于实现端口重定向)。DROP和REJECT的区别就是DROP直接丢包,而REJECT会返回一个错误数据。

  6. rule
    对rule的操作:
    -A(append) 在指定链的末尾添加一条新的规则
    -I (insert)在指定链中插入一条新规则,为指明插入位置
    -D(delete)删除制定链里的某条规则
    -R (replace)修改、替换指定链的某条规则,按序号或内容确定要替换的规则

    -L (list) 查看规则rule命令:
    -t table 显示某表的所有规则
    -n 显示ip address
    -v 显示verbose,指较多信息

    规则匹配
    -s 源地址匹配
    -d 目标地址匹配
    -p 协议匹配,如tcp, udp, icmp
    -i 接收输入的网络接口匹配
    -o 发送输出的网络接口匹配

    规则匹配扩展
    如对协议的-p扩展
    –dport 指定目标端口
    –sport 指定源端口
    –tcp-fiags:检查TCP的标志位 (SYN,ACK,FIN,PSH,RST,URG)

    举例
    iptables -t filter -A INPUT -p tcp -s 192.168.1.11 -j DROP
    iptables -A INPUT -i ppp0 -p tcp –sport 80 -j ACCEPT

  7. SNAT & DNAT
    SNAT基于原地址的转换一般用在我们的许多内网用户通过一个外网的口上网的时候,这时我们将我们内网的地址转换为一个外网的IP,我们就可以实现连接其他外网IP的功能。
    iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT –to-source 172.16.100.1
    iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE

    DNAT对于目标地址转换,数据流向是从外向内的,外面的是客户端,里面的是服务器端通过目标地址转换,我们可以让外面的ip通过我们对外的外网ip来访问我们服务器不同的服务器,而我们的服务却放在内网服务器的不同的服务器上。
    iptables -t nat -A PREROUTING -d 192.168.10.18 -p tcp –dport 80 -j DNAT –todestination 172.16.100.2

    iptables -t nat -A PREROUTING -d 0.0.0.0/0 -p tcp –dport 80 -j DNAT –to 192.168.43.1:8080
    不管目标IP地址是什么,只要是发往80端口的tcp包,都转发到192.168.43.1的8080端口

参考文档
http://blog.chinaunix.net/uid-22780578-id-3346350.html
https://en.wikipedia.org/wiki/Iptables

kv110
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Iptables防火墙详细介绍
qq_42158153的博客
10-28 749
一:Linux防火墙基础: Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络层防火墙); Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。 1.Netfilter和iptables的区别: Netfilter: 指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(KernelSpace,又称内核空间)的防火墙功能体系; Iptables:指的是用来管理Linux.
linux iptables介绍
07-15
linux iptables介绍
iptables入门教程--设置静态防火墙(z)来自www.linuxsir.org 作者liweioop
bon_jovi的专栏
08-19 1980
iptables入门教程--设置静态防火墙发布时间:2005年5月30日 10时36分介绍:这篇文章是本人原创,向读者展示了如何一步一步建立静态防火墙来保护您的计算机,同时在每一步中,我力图向读者讲述清楚原理。在这篇教程之后,你将能理解到防火墙内在过滤机制,同时也能自己动手创建符合自己要求的防火墙。版权所有,转载请注明来自www.linuxsir.org 并写明作者liweioop1、iptabl
iptables介绍
qq_50247813的博客
03-02 1157
iptables是linux防火墙工作在用户空间的管理工具,是 netfilter/iptablesIP信息包过滤系统的一部分,用来设置、维护和检查Linux内核的IP数据包过滤规则filter负责过滤数据包,包括的规则链有:input,output和forwardnat用于网络地址转换(IP、端口),包括的规则链有:prerouting,postrouting和outputmangle。
iptables介绍
生而为人我很抱歉
06-10 203
iptables 可以简单理解为 Linux 系统内核级防火墙 netfilter 的用户态客户端。 Linux 管理员通过调用 iptables 命令,配置 Linux 内核 netfilter 模块规则,对网络数据包的流动进行管理。iptables 有表 (tables) 的概念,每张表又包含不同链 (chains),大部分情况下我们仅需要使用 filter 和 nat 两张表的链就可以完成功能。 filter 表中有 3 条链: INPUT, FORWARD, OUTPUT。如果3 条链都没有任何规则
Iptables介绍
weixin_34067049的博客
10-05 126
一、防火墙分类二、Linux防火墙(Iptables)netfilter:又称“内核空间”iptables:又称“用户空间”1、Iptables默认的四张表1)filter: 用于防火墙,默认有INPUT/OUTPUT/FORWARD三条链2)nat: 网络地址转换,默认有PREROUTING/POSTROUTING/OUTPUT三条链3)...
超级详细的iptables介绍
04-27
iptables很好的详细解释,其实玩RouteOS的防火墙配置也可以参考,本文档资源来自网上,因本人阅读方便做了格式整理,现将整理后的文件共享出来,我为人人人人为我嘛
Iptables详细介绍
06-08
Iptables详细介绍秒速了Iptables的基本概念知识,运行环境,运行原理等内容。对Iptables的结构构成和各部分协同工作做了介艄。并对常用Iptables的操作代码做了解释并举例。看了此文档后,读者即可以学会对iptables的...
iptables手册详解
11-08
iptables手册详解,静态网页版,对netfile网络基础知识做全面介绍,详细讲解iptables命令以及应用场景。
iptables简介文档
08-20
iptables
iptables简单介绍
chunlin
05-16 295
1. iptables介绍 防火墙分类: 从逻辑上分类: 主机防火墙:仅针对单个主机进行防护。 网络防火墙:处于网络入口或边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网 从物理上分类: 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软...
Iptables 简介
xftony的博客
06-05 570
Github-blog CSDN-blog docker,K8s的内部网络很多是基于Iptables实现的。这篇文章就Iptables进行简单的介绍。 简介 基本的Iptables由4张表和5条链组成。4张表分别是raw表、mangle表、nat表,以及filter表。5条链分别是PREROUTING、INPUT、FORWARDING、OUTPUT,以及POSTROUTIONG...
iptables简介
wdirdo的博客
10-23 249
iptables简介 从linux防火墙知道iptables是一个防火墙工具,通过系统调用调用hook function实现访问控制。 iptables 命令行工具,工作于用户空间。 iptables的主要功能:用来编写规则,写好的规则被送往netfilter,告诉内核如何处理数据报文。 iptables的组成 iptables由五个表和五个链以及一些规则组成 五个表table: f...
iptables详解
hiolb的博客
06-04 7566
一、iptables介绍 iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。 核心:四表五链 iptables并不是真正意义上的防火墙,可以将它理解为一个客户端工具。 用户通过iptables这个客户端,将用户的安全设定执行到对应的“安全框架”--netfilter中。 netfilter才是正在的防火墙,netfilter位于内核空间。 而iptables是一个命令行工具,位于用户空间,通过这个命令行工具来操作netfilter。 netfilter/iptables组成Linu
iptables工作原理及iptables命令行使用介绍
粥同学的学习笔记
02-07 9916
iptables详解iptables原理技能 iptables原理 技能 最需要掌握的技能就是查看iptables规则来进行trouble shoot了。掌握iptables的根本在于掌握数据包在四表五链的流转过程。 查看iptables规则最实用的命令是: iptables-save #该条命令会将iptables规则输出到标准输出,其输出的形式和当初添加的形式是一样的,这样就让熟悉iptabl...
关于iptables -m选项以及规则的理解
u011029104的专栏
04-12 938
关于iptables的详细状态可以查看http://os.51cto.com/art/201108/285209.htm 时常在服务器的防火墙上看到有这些规则, 2 106K 8294K ACCEPT all --0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED,我觉得有必要搞下这个iptables了 下面就来谈谈iptables 一.首先iptabl...
iptables 具体介绍
最新发布
wyq2070857323的博客
03-11 1120
IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。v 详细 n数字化显示 L看规则生产环境用的 比较多比如在INPUT 链 新建web链 和nginx链两个互不干扰 也方便查-N新加自定义链-X清空自定义链的规则,不影响其他链 iptables -X-Z清空链的计数器(匹配到的数据包的大小和总和)iptables -Z-S。
iptables命令详解--包括高级用法
热门推荐
sinat_27261621的博客
06-27 3万+
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值