Iptables配置心得

最新推荐文章于 2023-05-31 15:48:30 发布
最新推荐文章于 2023-05-31 15:48:30 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 运维笔记 文章标签: 内核 linux kernel iptables 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linkpark1904/article/details/50790404
版权

原创文章,转载请注明: 转载自 镜中影的技术博客
本文链接地址: Iptables配置心得
URL:http://blog.csdn.net/linkpark1904/article/details/50790404

一、 iptables原理概述

在linux内核中,iptables是一款自带的防火墙软件,基于内核实现网络流量的过滤,针对数据包的IP地址,端口号,标志位,连接状态定义相应的防火墙规则,匹配规则后用指定的处理机制进行处理,可以是允许,可以是丢弃。

图 1-1 iptables转发原理图

如上图所示,数据包从网卡1进入linux主机后,首先进入内核维护的网络内存空间中,内核接手数据包后,会进行一系列流水线处理。在解封IP头部后,先检测数据包的目的IP,然后查询路由表,如果该IP指向自己,解封TCP头部,得到相应的端口号,将该报文发送给对应的应用程序。若数据包的目的IP不是自己,则在路由表中查看下一跳的地址,将改报文转发到相应的网卡。

Iptables分为两部分,一部分位于内核中,用来存放规则,称为NetFilter。还有一段在用户空间中,用来定义规则,并将规则传递到内核中,这段在用户空间中的程序就叫做iptables。

其中存放规则的地方有五处,如上图所示的prerouting、input、output、forward、postrouting:

  • prerouting:数据进来还未查询路由表之前的规则。
  • input:由外部发往用户空间内部的规则。
  • output:由用户空间内部发往外部的规则。
  • forward:不进入用户空间,进行路由转发的规则。
  • postrouting:查询完路由表后,将要转发的规则。

这五个点也叫做hook function(钩子函数),具体的数据流向如下图所示:
图1-2 iptables转发流程图

在prerouting规则中会拦截在查询路由表之前的ip报文,可以对ip报文进行修改、丢弃等操作,查询路由表后,数据包有可能走两条路径,一条直接进入用户空间,一条不经过用户空间,直接经由内核的forward规则进行转发,在转发出去的时候,也可以经由postrouting规则对ip报文进行相应的修改。
Iptables可以定义四类规则:

  1. filter:
最低0.47元/天 解锁文章
镜中影
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables配置
08-07
iptables配置
iptables学习总结
qq_35251736的博客
04-18 3903
iptables 文章目录iptables1. 防火墙相关概念1.1 逻辑区分1.2 物理区分2. iptables和netfilter2.1 iptables和netfilter的关系2.2 netfilter的作用3. 报文流向4. 关卡,链与表4.1 关卡4.2 链4.3 表5. 规则5.1 规则查询5.1.1 查询表中的所有链5.1.2 查询表中的指定链5.2 规则管理5.2.1 规则添加5.2.2 规则删除5.2.2.1 编号删除5.2.2.2 匹配条件与动作删除5.2.2.3 全链删除5.2.2
网络安全实验之《防火墙》实验报告
7xun's space
04-17 9266
SNAT:开通内网机器的外网访问权限,是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的IP,这样,接收方就认为数据包的来源是被替换的那个IP的主机,MASQUERADE是用发送数据的网卡上的IP来替换源IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过dhcp分配IP的情况下,就得用MASQUERADE。解决方法:此时我的主机连接的是wifi,我把wifi关掉,然后主机连接手机的移动热点,再重启ubuntu,输入ifconfig,ens33处便能正常显示ip了。
网络安全实用篇—iptables防火墙学习总结
最新发布
旺仔Sec&blog
05-31 1294
IptablesLinux系统中的一个防火墙工具,它可以对进出本机的网络流量进行过滤、修改和重定向等操作。我们可以使用iptables配置防火墙规则,通常它是通过命令行来操作的。
关于防火墙iptableables命令的学习体会
Wfishes的专栏
01-10 913
今天一早来到实验室,大腿同学说计算机不能上网,查看了下代理服务器,发现关机了,怀疑是被黑了或是恶作剧了。幸运的是这名黑客还算有“热心”,只是警告我们一下我们的安全系数低,他可以随意的入侵我们。当我们再启动代理服务器时,发现各自的主机还是无法ping通外网,而代理服务器却可以连接到外网,然后查看网卡、ip等都没有发现异常,最后通过查看相关资料,发现问题出在linux防火墙上。 代理服务器主机使用的
实验七 Linux环境下 iptables防火墙配置
君莫hacker的博客
11-24 5777
Linux环境下iptables防火墙配置 (1)通过iptables进行端口设置。 a. 添加规则关闭某端口(如TCP的22端口);然后,查看已有规则,并试图访问该端口。 b. 删除上述规则开放该端口;然后,查看已有规则,并试图访问该端口。 (2)通过iptables实现ICMP包的过滤。 a. 添加规则拒绝ICMP包通过;然后,查看已有规则,并试图执行ping命令。 b. 删除上述规则允许ICMP包通过;然后,查看已有规则,并试图执行ping命令。
Linuxiptables配置申明.doc
11-30
Linuxiptables配置申明.doc
iptables配置管理
05-10
Linuxiptables的教程,写的不错,希望对大家学习有帮助
LinuxIPTABLES配置详解
01-30
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定...
iptables配置脚本_iptables配置脚本.sh_
10-02
最基础的iptables配置脚本,一键加固Linux防火墙
关于iptables配置心得
weixin_34258782的博客
07-09 181
其实iptables并不是一个很神秘的东西,只是掌握其配置起来比较困难,因为他的语法规则比较繁琐,配置起来比较麻烦,但是如果能掌握其基本用法,配置和使用起来慢慢就会得心应手。本文将从iptables的基本规则和用法详细讲起,然后附加一下案例来对iptables详细的理解,希望本文对你学习iptables有一点帮助下面我们一块来揭开iptables的神秘面纱。 说的iptables,稍微对ipta...
linux 嵌入式环境使用iptables防火墙的一些体验
一年一年又一年
06-23 2015
近期刚刚转到linux服务器开发组,因为需求问题需要开发一部分内网环境路由、策略控制方面的内容,走了很多弯路,现在总结一下!完全是随笔,比较乱。 这里不介绍如何下载安装! 路由方面由于初期不清楚linux内核提供IP转发功能,去选择开源路由器源码去学习,比如quagga、番茄等,但是分割其中的内容加入现有系统比较麻烦,quagga还是不错的,属于进程模块也比较方便加入系统,操作上比较类似Ci
Linux学习笔记总结--配置iptables防火墙
weixin_30642869的博客
11-07 98
将原有的iptables 文件保存一份 cp -p /etc/sysconfig/iptables /etc/sysconfig/iptables.bak 清空现有的规则 iptables -F iptables -P INPUT DROP iptables -I INPUT -m state --state RELATED , ESTABLISHED -...
iptables学习心得
weixin_33831673的博客
07-25 182
为了保证安全,人们想了很多的办法;防火墙、杀毒软件、***检测系统、***防御系统等等可以说方式不少。其中,防火墙是唯一的防范于未然、将威胁扼杀于摇篮之中的一种常用方法,其他的方法都是发现安全威胁之后所采取的措施。所以可见防火墙的重要性。防火墙的实现可以包括两大类方式:硬件防火墙和软件防火墙。但是现在纯硬件防火墙造价太过昂贵,而且使用局限性也非常大,所以基于软件实现的防火...
配置iptables防火墙
草莓甜甜圈的博客
10-08 377
linuxIPTABLES配置详解 -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 24000 -j ACCEPT -A RH-Firewall-1-INPUT -s 121.10.120.24 -p tcp -m tcp --dport 18612 -j ACCEPT 如果你的IPTABLES基...
iptables防火墙概述即使用
weixin_47403060的博客
10-07 238
一、Linux包过滤防火墙概述 1.1、netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” 1.2、iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为Linux防火墙的用户态 –上述两种称呼都可以表示Linux防火墙 1.3、包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 二、iptables的表、链结构 2.1、五链 2.1.1、规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各
iptables
zion--6135的博客
07-20 704
iptables-tnat-AOUTPUT-ptcp-d192.168.2.101--dport55-jDNAT--to-destination192.168.2.10053//实现把192.168.2.101的55端口的报文,转发到192.168.2.10053。路由器----交换机---LAN内的电脑1(192.168.1.1),电脑2(192.168.1.2)--->路由器收到---->给电脑1回复ip地址--->电脑1拿到一个ip地址。ip地址不是路由器。.........
iptables基础知识详解
热门推荐
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -> Tables -&g...
iptables 配置
05-30
iptablesLinux 系统上的一种防火墙工具,可以用于配置和管理网络包的过滤、转发和 NAT 等功能。 以下是一些常用的 iptables 配置命令: 1. 查看当前 iptables 配置: ``` sudo iptables -L -n ``` 2. 清空当前 iptables 配置: ``` sudo iptables -F ``` 3. 允许某个 IP 地址的访问: ``` sudo iptables -I INPUT -s <IP地址> -j ACCEPT ``` 4. 允许某个端口的访问: ``` sudo iptables -A INPUT -p tcp --dport <端口号> -j ACCEPT ``` 5. 禁止某个 IP 地址的访问: ``` sudo iptables -I INPUT -s <IP地址> -j DROP ``` 6. 禁止某个端口的访问: ``` sudo iptables -A INPUT -p tcp --dport <端口号> -j DROP ``` 注意:以上命令需要使用 root 权限执行。另外,iptables 配置比较复杂,建议在操作之前先备份原有的配置文件,确保出现问题时可以还原到原有状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值