netfilter/iptables 小结

最新推荐文章于 2022-03-16 18:06:28 发布
最新推荐文章于 2022-03-16 18:06:28 发布
阅读量1.2k 收藏
点赞数
分类专栏: 操作系统 文章标签: output input redirect filter tcp 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhfeng/article/details/2003419
版权

  netfilter/iptables 小结

1.netfilter是防火墙在内核中的框架,iptables是用于管理netfilter的工具。netfilter在系统中定义了五个监测点对网络中的数据进行检测。这五个点分别是input,output,prerouting,forward,postrouting。
见下图


解释:
prerouting:数据到达防火墙后首先需要判断是进行本地的接受还是路由,prerouting完成这个工作。
fowrad:    对于需要进行路由处理的数据进行路由转发
postrouting:根据规则链的目标进行数据包的发送或者丢弃,完成路由功能。
input:      用于对向上层传递的数据进行处理
output:     对于需要从应用层向下传的数据进行处理。

这些规则链由于在完成不同的功能时可能需要不同的组合,因而把他们放在了三个不同的表中filter,Nat,Mange。
filter表包含input,forward,output三个规则链,用于数据过滤
nat表包含prerouting,postrouting,input,output四个规则链,用于完成数据过滤
mangele表包含output,postrouting用于完成对数据包指定标志的修改。

下面是iptables的语法总结     
iptables -t 表名            动作   规则链                    匹配方式                  扩展匹配   符合这条规则的包的处理方式
                   NAT            -A        INPUT                    -p(tcp/udp/icmp)    --sport                    -j    
                   MANGLE   -D        OUTPUT               -src                           --dport                   ACCEPT
                   FILTER     -R         FORWARD          -dst                          --tcp-flags              DROP
                                      -I           PREROUTING      -i                             --mac-source       REJECT
                                      -L          POSTROUTING   -o                                                            REDIRECT
                                      -F                                                                                                          DNAT
                                      -Z                                                                                                          SNAT
                                      -X
                                      -P
                                      -E
动作解释:
-A  :在所选择的链中添加一条或者多条规则
-D  :在所选择的链中删除一条或者多条规则,可以为规则的序列号也可以是规则
-R  :替换所选择链中的一条规则
-I  :向所选择的链中插入一条或者多条规则,默认插入链的头部
-L  :显示所选择链中的规则
-F  :清空所选择的链
-Z  :清空计数器
-N  :创建用户的规则链
-X  :删除用户自定义的规则链
-P  :指定规则链的默认规则
-E  :重命名规则链

匹配方式解释:
-p  :指定要待检测包的协议,可以是tcp,udp,icmp中的一个或者全部(all)。!表示取反
-src:指定源地址,可以是主机名,网络名和下角切的ip地址。!表示取反
-dst:指定目标地址,同src
-i  :指定数据是从哪个接口进入的。!表示取反。如果接口名后边跟一个+则表示所有以该接口名开头的数据都会被匹配
-o  :输出接口的名称,同-i

扩展匹配解释:
-p
  如果匹配tcp协议,则可以指定
  --sport:指定源端口号或者范围,可以是0-65535
  --dport:指定目的端口号或者范围
  --tcp-flags:匹配tcp协议的六个标志位。它由两部分组成,第一部分是要检查的标志位,第二部分是不许被设置的标志位。tcp的六个标志位是:syn,ack,fin,rst,urg,psh。举例 syn,ack,fin,rst  syn表示只匹配那些syn标志被设置,而ack,find和rst标记没有被设置的包。
 
  如果匹配udp协议,则可以指定
  --sport:同tcp
  --dport:同tcp
 
  如果匹配icmp协议,则可以指定
  --icmp-type:指定icmp协议的类型,!取反。

  如果匹配mac,则可以指定
  --mac-source:网卡的mac地址,格式“xx:xx:xx:xx:xx:xx”,它只对以太网的prerouting,forward,input有效。

处理方式解释:
-j  :目标跳转,指定规则的目标,也就是说如果包匹配做什么
    REJECT:拒绝数据包并返回一个错误
    DROP:  直接丢弃数据包
    SNAT:  做源地址转换
    DNAT:  做目标地址转换,只能用于nat表的postrouting。
    MASQUERADE:用于动态获取ip地址的地址转换。只能用于nat表的postrouting。
    REDIRECT:只能用于nat表的prerouting和output。它修改包的目标地址而发给自身。

lhfeng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
iptables基础用法介绍
qq_39526788的博客
10-23 404
iptables由四个表和五个链以及一些规则组成四个表table:       filter、nat、mangle、raw filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包 nat表:network address translation 地址转换规则表 mangle:修改数据标记位规则表 Raw:关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度 优先级由高到低的顺序为:
iptables防火墙概述即使用
weixin_47403060的博客
10-07 238
一、Linux包过滤防火墙概述 1.1、netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” 1.2、iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为Linux防火墙的用户态 –上述两种称呼都可以表示Linux防火墙 1.3、包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 二、iptables的表、链结构 2.1、五链 2.1.1、规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各
netfilter内核实现概述
qq_17045267的博客
01-23 2140
netfilter内核实现概述 一、前言 netfilter是Linux内核中网络防火墙的基础,无论是基于xtables的iptables,还是conntrack、nftables,其底层都是基于netfilter的。总体来说,netfilter提供了一个相对来说比较通用的防火墙框架,这个框架提供了个入口,内核中的其他网络模块可以通过这个入口来实现自己的网络逻辑。本文简单地对netfilter的整个框架以及其内核实现进行了梳理。 二、netfilter框架 2.1 基本原理 相比于那些基于netfilter
大白话netfilter
yanchendage的博客
03-16 9837
背景 最近在看k8s源码,读到了kube proxy,网络应该是k8s里重要的一章节,看着看着发现还是之前学的又给忘了,所以先来一波技术储备。 netfilter net+filterfilter是过滤的意思,那我们从字面分析就是过滤数据包从而达到防火墙的目的。上面说netfilter位于内核空间,那也就是说netfilter在内核空间设立了一个个检测点(HOOK)。 NF_IP_PRE_ROUTING 刚刚进入网络层的数据包通过此点 NF_IP_LOCAL_IN 经路由查找后,送往本机的通过此检查点
netfilter 学习摘要
dianyiguai5431的博客
08-18 124
netfilter 子系入口在L3,完成后把数据包发往L4 netfilter 主要功能: 数据包选择(iptables) 数据包过滤 网络地址转换(NAT) 数据包操纵(在路由选择之前或之后修改数据包头的内容) 连接跟踪 网络统计信息收集 常见框架 IPVS:一种传输层负载均衡解决方案。 IP sets: 一个由用户空间工具ipset和内核部分 组成的框架。 ip...
Netfilter学习笔记
Langeldep的专栏
04-11 8667
这两天在学习iptables,感觉这个东西实在是太牛逼!想用两篇博文来介绍一番。 第一篇会介绍下netfilteriptables的关系,以及iptables的原理;第二篇希望通过libipq和nfqueue-bindings-python来介绍下user态如何利用C和Python来调用iptables的接口获得封包的信息。 netfilter 简单地说,netfilter是一套在计算机网
linux中Netfilter机制的分析
袁裕飞的专栏
07-24 2735
  1.概述:2.4.x的内核相对于2.2.x在IP协议栈部分有比较大的改动, Netfilter-iptables更是其一大特色,由于它功能强大,并且与内核完美结合,因此迅速成为Linux平台下进行网络应用扩展的主要利器,这些扩展不仅包括防火墙的实现--这只是Netfilter-iptables的基本功能--还包括各种报文处理工作(如报文加密、报文分类统计等),甚至还可以借助Netfil
Netfilter
鲸鱼的博客
12-15 2219
Netfilter
【Linux 驱动】Netfilter/iptables (八) Netfilter的NAT机制
wenqian 'blog
12-27 3360
NAT是Network Address Translation的缩写,意即“网络地址转换”。从本质上来说,是通过修改IP数据首部中的地址,以实现将一个地址转换成另一个地址的技术。当然在某种情况下,修改的不仅仅是IP首部的来源或目的地址,还包括其它要素。 随着接入Internet的计算机数量不断猛增,IP地址资源也就愈加显得捉襟见肘。这也是Ipv6出现的一大原因。我们现在所有的IP地址是32位,意味
Linux防火墙机制Netfilter/iptables简介
deanzhang5757的专栏
12-27 1332
Netfilter是什么? Netfilter是Linux的第三代防火墙,因其比之前的两种防火墙ipfwadm及ipchains出色而被Linux组织作为默认的防火墙。Netfilter是自由软件,但在各方面均不逊于商业版的防火墙。 Netfilter与Linux的关系 Netfilter与Linux是两个相互独立的组织,在Linux 2.4早期的版本,并没有包含Netfilter的功能,到后期的...
netfilter 链接跟踪机制与NAT原理
weixin_30822451的博客
02-26 255
内核版本:2.6.121.链接跟踪 conntrack 1.1.netfilter框架5个链: NF_IP_PRE_ROUTING:数据包进入路由表之前 NF_IP_LOCAL_IN:通过路由表后目的地为本机 NF_IP_FORWARD:通过路由表后,目的地不为本机 NF_IP+LOCAL_OUT:由本机产生,向外转发 NF_IP_POST_ROUTING:发送到网卡接口之前。 4...
【协议森林】详解Netfilter(一)
平凡的世界
01-09 2198
1、Netfilter介绍 Netfilter是2.4.x内核引入的,工作在内核空间中,通常结合ip_table内核模块一起使用以构造linux下的防火墙。Linux内核中,netfilter是一个包过滤框架,默认地,它在这个框架上实现了包过滤、状态检测、网络地址转换和包标记等多种功能。因为它设计的开放性,任何有内核开发经验的开发人员,也可以很容易地利用它提供接口,在内核的数据链路层、网络层,实现...
从netfilter的NF_IP_PRE_ROUTING抓包 和 用libpcap抓包有什么区别?
hubi0952的专栏
06-07 2071
从netfilter上抓的包好象只能是进入本机或广播包,不能抓混杂模式下的不进入本机的数据。 不知道从netfilter上能不能监听网卡上的数据,就像原始套接字一样混杂模式下监听网络数据。 终于在ip_input.c中找到了 /* When the interface is in promisc. mode, drop all the crap * that it receiv
ebtables之BROUTING和PREROUTING的redirect的区别
系统运维
02-17 568
ebtables和iptables实用工具都使用了Netfilter框架,这是它们一致的一方面,然而对于这两者还真有一些需要联动的地方。很多人不明白ebtales的broute表的redirect和nat表PREROUTING的redirect的区别,其实只要记住两点即可,那就是对于相同点,它们都将数据包导向了本地的IP层;对于不同点,broute表的redirect将数据包的接收设备设置成了实际...
再理一下prerouting和postrouting等插入点
weixin_30455661的博客
02-25 455
这些地方的准确翻译是hook点(hook点是一个土的说法,学名叫rule chain,规则链)这些规则链是内核netfilter架构布置在内核里面的,然后iptables是利用了这套基础架构,想起了内核里的ftrace基础架构; iptables利用了netfilter提供的基础设施,netfilter在内核中安置了有PRE_ROUTING/POST_ROUTING/LOCAL_IN/LOCAL...
Netfilter——Netfilter中的HOOK机制
Windeal
04-20 9283
Netfilter 是 Linux网络内核协议栈提供了报文过滤(防火墙)框架,HOOK机制是Netfilter的核心。一、如何在协议栈中调用钩子函数  在协议栈中相应位置嵌入Netfilter的函数NF_HOOK,来拦截报文送到Netfilter中进行处理。  协议栈中的五条内置链我们知道Linux网络内核内置了5条链PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUT
iptables策略详解
qk的专栏
03-18 897
iptables策略详解 时间:2013-01-21 10:00来源:未知 编辑:admin 点击: 1819 次 iptables可用操作 (1)-L : 显示所选链接的所有策略 : # iptables -L -n 查看iptables 策略 (2)-A : 在所选的链最尾部添加一条新的策略:# iptables -A INPUT -s 192.168.0.1 -j DROP (3)
2.6内核源码netfilter中NF_INET_PRE_ROUTING跟NF_IP_PRE_ROUTING啥关系?
王以山的专栏
09-10 3316
认真看头文件,头文件上面有说明。两者的值是一样的。NF_IP_*和NF_IP6_*都不能用在新的内核,内核/内核模块要用NF_INET_*。我记得没错的话,这种转变是从2.6.25的内核开始,当时还没有NF_INET_*,全部都用NF_IP系列的。现在,NF_IP_*只是为了兼容用户程序而保留的,一般应该用NF_INET_*。你可以理解成变量换了个名字。 我知道
"深入解析Netfilter/IPTables源代码及架构设计"。
Netfilter/IPTables是Linux防火墙机制的新一代,采用模块化设计,具有良好的可扩充性。其重要工具模块IPTables连接到Netfilter的架构中,并允许使用者对数据报进行过滤、地址转换、处理等操作。Netfilter提供了一个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值