iptables防火墙

最新推荐文章于 2024-02-28 09:38:44 发布
最新推荐文章于 2024-02-28 09:38:44 发布
阅读量112 收藏
点赞数
文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61060496/article/details/120596642
版权

一,四表五链

防火墙按照我们指定的规则来办事。而链就相当于是障碍,表是在链上的规则。

当匹配链上的规则正确时,才可以进入。就像我们打游戏一样,链就是关卡,表是关卡上的怪,只有打败怪,才能进入下一关。

五链:prerouting,input,output,forward,postrouting。

当有报文时,在prerouting上查看是否访问的本主机,如果是就经过input进入主机,不是将会通过forward转发出去或者直接丢掉。

当有出去的报文时,确定可以出去,经output和postrouting流出,访问其他主机。

四表:raw,mangle,nat,filter

raw:关闭nat表上启用的连接追踪机制(可以理解为追踪,追踪一般要从开始追踪,因此raw在进入和出去时会有,prerouting,output)

mangle:解析报文(每个链都需要解析报文,因此每个链上都有)

nat:网络地址转换(每一次传输时都要确定是否传输的地址正确,因此除了转换以外,其他都要,prerouting,input,output,postrouting)

filter:负责过滤功能(过滤,可以理解为是否安全,安全让通过,因此在input,output,forward)

注:后面括号里的内容不一定正确,只是增加理解和记忆。

报文需要把经过链上的所有表匹配完以后才能通过,而表也有优先级,raw>mangle>nat>filter,先匹配优先级高的,后匹配低的。相当于关卡中也有小怪和boss,先打小怪,后打boss。

二,iptables命令

前面已经说了四表和五链,iptables就是给四表和五链提供规则和处理动作的。

iptables命令常用选项:

-t:指定表

-I:指定链

-D:删除匹配的规则

-F:删除指定链或者所有链的规则

-s:匹配源地址

-d:匹配目标地址

--sport:匹配源端口

--dport:匹配目标端口

-p tcp:指定协议为tcp

-j:后面跟处理动作

 处理动作:

ACCEPT:允许通过

DROP:拒接通过,并直接丢弃(直接丢弃,不告诉你拒绝了)

REJECT:拒绝通过,并发送一个响应包(意思是告诉你我拒绝了)

-L:显示所有规则

-v:列出详细信息

-n:显示ip地址,以数字显示

查看规则:

 没有任何规则,此时添加一条规则:由192.168.159.129访问过来的数据给DROP掉。

 

添加完后查看,在input链上有一条规则,原本可以ping通这台主机,但是添加规则以后无法ping通。

再添加一条规则,允许通过,此时可以ping通,因为只会匹配最前面的规则。

白名单与黑名单机制:

白名单:只有在白名单里的人才允许访问,否则不能访问。

黑名单:在黑名单上的无法访问,其他人都可以访问。

一般使用白名单机制,只让应该访问的人进行访问。

总结:一般做项目时会关闭防火墙,所有很少使用防火墙,像上面写的规则,需要写入文件才可以保留下来,不然重启电脑会清空规则。

 

 

 

s小龙人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统之防火墙(iptables)
bread_winner的博客
08-20 5583
注意:firewalld和iptables不能同时打开,一定要关闭firewalld,再打开iptables,不然会对下面的实验有影响 防火墙的工作机制(三表五链) 链: 链就是位置,共有五个 : 数据包进路由之前(PREROUTING)、目的地址为本机,进系统(INPUT) 、转发(FORWARD)、原地址为本机,向外发送,出系统(OUTPUT)、发送到网卡之前,出路由(POSTROUTING)...
iptables详解
wdt3385的专栏
12-25 4920
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
Iptables防火墙基本匹配条件应用
江晓龙的博客
07-08 2032
**需求:**仅允许 192.168.20.21 访问 192.168.20.20 的80端口,其余的来源客户端都拒绝访问。1)实现该需求的防火墙规则如下 注意第二条拒绝所有的时候一定要使用-A参数追加到最后一行,否则所有的来源都将不可访问。2)查看设置的防火墙规则INPUT链中一共有2条规则,第一条规则的动作是允许,允许192.168.20.21访问192.168.20.20的tcp 80端口,第二条规则的动作是拒绝,拒绝全部IP访问本机的80端口。 3)测试结果只有来源地址为192.168.20.21的
浅析iptables里面的dport和sport
S_K15的博客
11-04 3118
此文转载至:https://blog.csdn.net/xinguimeng/article/details/44041985 首先说一下dport和sport的概念: dport--------目的端口 sport--------来源端口 需要注意的是它和我们的数据包的流动行为方式有关,也就是看是INPUT还是OUTPUT。 INPUT iptables -A INPUT -p tcp --dport 80 -j ACCEPT 这里的是INPUT参数,因此这个代表我们的这条数据包的是进入操作,那么这
iptables----sport、dport解释
weixin_34416649的博客
08-20 515
以前一直对iptables的sport、dport不清楚,所以这里记录一下。 (1)清理防火墙iptables -F iptables -X iptables -Z (2)iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --...
iptables里面的dport和sport(转帖)
yes1983的专栏
06-06 501
首先先来翻译一下dport和sport的意思: dport:目的端口 sport:来源端口 初学iptables比较容易迷糊,但是我尽量用通俗的语言给你讲解。 dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。 但是在使用的时候要分具体情况来对待,这个具体情况就是你的数据包的流动行为方式。(INPUT还是OUTPUT) 比如你的...
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
### 一键配置CentOS iptables防火墙Shell脚本解析 #### 概述 本文将详细介绍一个用于一键配置CentOS系统中的iptables防火墙的Shell脚本。该脚本可以帮助用户简化新装系统的iptables配置过程,使其更加高效且易于...
Linuxiptables防火墙的基本应用教程.docx
10-29
iptablesLinux 上常用的防火墙软件,本教程将介绍 iptables 的安装、清除 iptables 规章、iptables 只开放指定端口、iptables 屏蔽指定 IP、IP 段及解封、删除已添加的 iptables 规章等 iptables 的基本应用。...
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
iptables
Syx834722207的博客
05-31 298
###########iptables###### 1.关闭firewalld火墙,开启iptable systemctl stop firewalld systemctl disable firewald systemctl start iptables systemc    enable iptables 2.iptable          -t        ##指定
教你设置疯狗都咬不烂的防火墙
2301_76288258的博客
11-29 613
防火墙( FireWall ):隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默 认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ (demilitarized zone)网络中.设置默认策略(-般在生产环境中设置网络型防火墙、主机型防火墙时都要设置默认规则为DROP,并设置白名单.需要注意的是,当使用管理选项“-F”清空链时,默认策略不受影响。
Iptables防火墙
最新发布
h2728677716的博客
02-28 214
有ACCEPT(接受),DROP(拒绝)两种。任意一种匹配则说明匹配成功,那么数据包则不需要继续往下匹配。伍个链:INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING。一般拒绝的规则放在所有规则的最上面,允许的规则放在所有规则的最下面。防火墙默认规则是所有规则都匹配后,最后匹配默认规则。防火墙是对于访问的请求数据经过多层规则,层层过滤。4张表:filter,nat,raw,mangle。如果没有匹配到规则,那么最终会匹配默认规则。
Linux防火墙iptables
keisena的博客
11-23 256
前言 iptables位于/sbin/iptables,用来管理防火墙规则的工具,被称为Linux防火墙的"用户态" Linux包过滤防火墙 netfilter ​ 位于Linux内核中的包过滤功能体系 ​ 称为Linux防火墙的"内核态" iptables ​ 位于/sbin/iptables,用来管理防火墙规则的工具 ​ 称为Linux防火墙的"用户态" 包过滤的工作层次 ​ 主要是网络层,针对IP数据包 ​ 体现在对包内的IP地址、端口等信息的处理上 iptables的表、链结构 规则链 规则的作用:
辛星浅析iptables里面的dport和sport
辛星,前进的路上.
03-03 1万+
首先说一下dport和sport的概念:              dport--------目的端口              sport--------来源端口                             需要注意的是它和我们的数据包的流动行为方式有关奥,也就是看INPUT还是OUTPUT。             比如iptables   -A  INPUT  
CentOS 6.4 中iptables 配置详解
chtdsl
05-03 2万+
整理之后,再更新。 可以参看:http://blog.51cto.com/tag-iptables.html iptables 指令详解 语法: iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值