iptables深度总结--基础篇_iptables input output forward(1)

最新推荐文章于 2024-08-20 22:51:42 发布
最新推荐文章于 2024-08-20 22:51:42 发布
阅读量684 收藏 17
点赞数 27
分类专栏: 2024年程序员学习 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61040489/article/details/137479351
版权

看看iptables来自于那个包

rpm -ql which iptables

iptables规则

组成部分:根据规则匹配条件来尝试匹配报文,一旦匹配成功,就由规则定义的处理动作作出处理

  • 匹配条件:默认为与条件,同时满足 基本匹配:IP,端口,TCP的Flags(SYN,ACK等) 扩展匹配:通过复杂高级功能匹配
  • 处理动作:称为target,跳转目标 内建处理动作: ACCEPT,DROP,REJECT,SNAT,DNATMASQUERADE,MARK,LOG… 自定义处理动作:自定义chain,利用分类管理复杂情形
  • 规则要添加在链上,才生效;添加在自定义上不会自动生效
  • 链chain: 内置链:每个内置链对应于一个钩子函数 自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有 Hook钩子调用自定义链时,才生效
iptables命令

cent6和centos7查看帮助的方式不同,centos7把拓展分出去了

centos6: man iptables

centos7:man iptables && man iptables-extendisions

man 8 iptables
iptables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options…]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
rule-specification = [matches…] [target]
match = -m matchname [per-match-options]
target = -j targetname [per-target-options]

在这里插入图片描述

-t=table -A=appentd -s=source ip -j=jump

input=INPUT

暴力ping
ping -f 192.168.63.3

iptables -t filter -A INPUT -s 192.168.63.3 -j DROP
iptables -t filter -A INPUT -s 192.168.63.3 -j REJECT
iptables -t filter -A INPUT -s 192.168.63.0/24 -j REJECT
drop是丢弃 REJECT是不回应
对于ping而言 reject收到unreachable ,drop无显示

liunx小型抓包工具

tcpdump -i eth0 -nn
tcpdump -i eth0 -nn src 192.168.63.3
tcpdump -i eth0 -nn host 192.168.63.3

iptables -L (英文)
iptables -nL(包的字节数)
iptables -nvL (更为详细的包的字节数)
iptables -nxvL(精确)
iptables -nvL --line-number编号,先后顺序
iptables -D INPUT 1 删除
iptables -t filter -I --line-number INPUT -s 192.168.63.0/24 -j ACCEPT

规则管理

-A:append,追加
-I:insert, 插入,要指明插入至的规则编号,默认为第一条
-D:delete,删除 (1) 指明规则序号 (2) 指明规则本身
-R:replace,替换指定链上的指定规则编号
-F:flush,清空指定的规则链
-Z:zero,置零
iptables的每条规则都有两个计数器
(1) 匹配到的报文的个数
(2) 匹配到的所有报文的大小之和
chain:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

全禁用 && 本地回环网络

iptables -t filter -A INPUT -s 0.0.0.0 -j DROP
iptables -p INPUT DROP
iptables -I INPUT 6 -s 127.00.1,192.168.663.250 -j ACCEPT
iptables -r INPUT 5 -i lo -j ACCEPT
iptables -P INPUT DROP

备份

n分钟之后执行任务

echo wall warning | at now+1 minutes

iptables命令拓展

管理端口号
ss -tnl
ss -tn

  1. 查看帮助 CentOS 6: man iptables CentOS 7: man iptables-extensions
  2. muiltport拓展

multiport扩展 以离散方式定义多端口匹配,最多指定15个端口
–source-ports,–sports port[,port|,port:port]… 指定多个源端口
–destination-ports,–dports port[,port|,port:port]… 指定多个目标端口
–ports port[,port|,port:port]…多个源或目标端口
示例: iptables -A INPUT -s 172.16.0.0/16 -d 172.16.100.10 -p tcp -m multiport --dports 20:22,80 -j ACCEPT
iptables -I INPUT 3 -s 192.168.37.6 -p tcp --dport 80 -j ACCEPT
iptables -I INPUT 3 -s 192.168.37.6 -p tcp --dport 330:335 -j ACCEPT
muiltport
当不连续端口号 可以使用拓展模块 muiltport
iptables -A INPUT -s 192.168.37.6 -p tcp -m multiport --dports 139,445,11001:11032 -j ACCEPT

  1. iprange拓展

iprange扩展 指明连续的(但一般不是整个网络)ip地址范围

–src-range from[-to] 源IP地址范围

–dst-range from[-to] 目标IP地址范围

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

,基本涵盖了95%以上网络安全知识点,真正体系化!**

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
[外链图片转存中…(img-P235Q6Gx-1712497218717)]

广东程序员鱼
关注
  • 27
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables深度总结--基础_iptables input output forward
2401_84166458的博客
04-09 843
链:INPUT OUTPUT FORWARD PREROUTING POSTROUTING表:filter、nat、mangle、raw、security数据报文刚进网卡,还没有到路由表的时候,先进行了prerouting,进入到路由表,通过目标地址判断出来,如果是给自己发的,就直接INPUT,如果是通过自己到转发别的目标的,就进行forward。如果是访问本机的,那么经过INPUT之后,需要往外出,那么就会用到OUTPUT链。OUTPUT出去之后就要查询路由表,就和forward chain汇总到一个出口
iptables深度总结--基础_iptables input output forward(3)
m0_63102527的博客
04-07 729
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
iptables INPUT设置
jackycjw的博客
06-06 1万+
参数说明: -A:规则直接加在末尾 -I:后面跟具体的位置,将规则插入到指定的位置 -D: 删除规则 -p:协议类型,如tcp类型,还有特定的-dport端口参数 -j: 处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝 如: 1、端口6379接受tcp协议 iptables -A INPUT -p tcp --dport 6379 -j ACCEPT 2...
iptables防火墙----filter表的学习-INPUT
weixin_69899223的博客
06-13 2452
iptables防火墙----filter表的学习-INPUT
iptables深度总结--基础
yanzhuang521967的博客
04-17 1304
iptables命令的总结
iptables INPUT使用实例说明
u013011267的专栏
06-29 952
文章写很好,主要用于网络与ip的访问。 https://www.cnblogs.com/cangqinglang/p/12199777.html 额外补充: iptables只是一些过滤规则而已,并不是将端口 kill 掉,相当在程序打开的端口 和 客户端(也可能是本机)连接之间增加了一个过滤器(防火墙),符合规则的就通过,不符合的就关闭 全局DROP规则 iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DR
iptables-1.4.21-35.el7.x86_64.rpm
05-26
centOS7适用,iptables-1.4.21-35.el7.x86_64.rpm
iptables-services-1.4.21-35.el7.x86_64.rpm
05-26
centOS7适用,iptables-services-1.4.21-35.el7.x86_64.rpm
iptables-1.4.21-28.el7.x86_64.rpm
07-12
适用于Linux系统的防火墙
iptables-services-1.4.21-28.el7.x86_64.rpm
06-13
iptables-services-1.4.21-28.el7.x86_64.rpm 下载安装
iptables-services-1.4.21-24.el7.x86_64.rpm
01-21
iptables-sesrvices1.4.21版本
iptables四表五链
m0_57730097的博客
12-06 730
五个链:INPUTOUTPUTFORWARD、PREROUTING、POSTROUTING filter是默认表,过滤规则表,根据预定义的规则过滤符合条件的数据,真正负责主机防火墙功能,这个表定义了三个链。 INPUT:负责过滤所有目标是本机地址的数据包,通俗来说就是过滤进入主机的数据包 OUTPUT:处理所有源地址是本机地址的数据包 FORWARD:负责转发流经主机的数据包。起到转发的作用,和NAT关系很大。 NAT表负责网络地址转换,即来源与目的的IP地址和port的转换。和主机本身无关,一般.
iptables中的默认规则
热门推荐
孤的博客
08-07 1万+
iptables中默认规则是指filter表中的INPUTOUTPUTFORWARD 三条链的规则
使用 Iptables 命令详细图文教程
Stars.Sky 的博客
06-08 1万+
使用 Iptables 详细图文教程
iptables详解
wdt3385的专栏
12-25 4895
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
linux 防火墙iptables详解
隔壁老猪
04-16 1689
一、iptables的表和链1.iptables/netfilter netfilter: hooks function :钩子函数,真正执行工作的 iptables:定义规则的,用户空间的命令行接口 钩子函数:内核的功能 netfilter:内核级别已经支持v6 iptables:主要...
IPTABLES 学习笔记【1】
yang_kaiyue的博客
05-06 228
4表5链的介绍, iptables简单使用, 常用匹配条件介绍
MPLS相关实验
最新发布
2302_78454622的博客
08-20 81
4、R1上使用静态,R7上运行rip协议,R8上运行ospf协议。3、在R2、R3、R4、R5、R6上运行MPLS。2、R3、R4、R5、R6运行ospf。1、合理利用IP地址进行分配。一、实验拓扑图以及实验要求。一、实验拓扑图以及实验要求。
iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT
07-24
`iptables -P` 命令用于设置默认的策略规则,这对于防火墙配置非常重要,因为它影响新添加到链的所有规则的处理方式。 1. `iptables -P INPUT DROP`: 这行命令设置了输入方向 (INPUT) 的默认策略为 "DROP"。意味着所有到达本地系统的网络包如果没有匹配到更具体的规则都将被丢弃而不是被接受或转发给相应的应用程序。这是一种非常严格的策略,通常用于安全性的考虑。 2. `iptables -P FORWARD ACCEPT`: 对于转发方向 (FORWARD),默认策略被设置为 "ACCEPT"。这意味着通过路由器或网关发送的数据包将被接收并可以继续传递给目标系统,除非有其他更具体的规则明确阻止了它。这也是一个相对宽松的策略,主要用于允许数据在网络内部流动。 3. `iptables -P OUTPUT ACCEPT`: 输出方向 (OUTPUT) 的默认策略被设置为 "ACCEPT"。表示本机生成的流量(例如文件传输、HTTP请求等),如果没有任何特定规则阻止,将被正常地发送出去。这是最宽松的策略,因为它是所有应用需要的基本行为。 这三条命令决定了新创建的规则在未指定任何动作时应如何处理数据包。然而,在实际应用中,应该谨慎设置这些默认策略,尤其是对于敏感的安全区域,以免意外地限制了必要的通信。通常的做法是在更具体的规则中明确指定每个链的处理方式,而非依赖默认策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值