Linux防火墙中的“四表五链“解析

最新推荐文章于 2024-03-31 14:36:45 发布
最新推荐文章于 2024-03-31 14:36:45 发布
阅读量3.6k 收藏 25
点赞数 8
分类专栏: Linux基础 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nk298120/article/details/117253362
版权

目录

防火墙介绍

  • 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。
  • 能够指定火墙策略的两个工具包
    iptables和firewalld
  • Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络层防火墙(iptables)
  • Firewalld:只用于管理Linux防火墙的命令程序,属于“用户态”(User Space。又称为用户空间)的防火墙管理体系。支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具

iptables和firewalld的关系

在这里插入图片描述
参考链接:https://blog.csdn.net/m0_47219942/article/details/107698753

四表五链

  • 常说防火墙三表五链,其实应该说四表五链比较合适,不过raw表应用较少,因此也常用“三表五链”来描述防火墙

四表

表名称功能内核模块
filter表负责过滤功能,防火墙iptables_filter
nat(Network Address Translation)表用于网络地址转换(IP、端口)iptables_net
mangle表拆解报文,作出修改,封装报文iptables_mangle
raw表关闭nat表上启用的连接追踪机制,确定是否对该数据包进行状态跟踪iptable_raw

优先级:

  • 当数据包抵达防火墙时,将依次应用raw、mangle、nat和filter表中对应链内的规则(如果有)如下图所示
    在这里插入图片描述

五链

名称功能
PREROUTING数据包进入路由之前
INPUT目的地址为本机
OUTPUT原地址为本机,向外发送
FORWARD实现转发
POSTROUTING发送到网卡之前
  • 图示:
    在这里插入图片描述

对应关系

  • filter表,包含三个规则链:INPUT,FORWARD,OUTPUT。
  • nat表,包含三个规则链:PREROUTING,POSTROUTING,OUTPUT。
  • mangle表,包含五个规则链:PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。
  • raw表,包含两条规则链:OUTPUT、PREROUTING。

注:在iptables的四个规则表中,mangle表和raw的表应用相对较少

在处理各种数据包时,5种默认规则链的应用时间点

  • INPUT链:当接收到防火墙本机地址的数据包(入站)时,应用此链中的规则。
  • OUTPUT链:当防火墙本机向外发送数据包(出战)时,应用次链中的规则。
  • FORWARD链:当接收到需要通过防火墙发送给其他地址的数据包(转发)时,应用次链中的规则。
  • PREROUTING链:在对数据包作路由选择之前,应用次链中的规则。
  • POSTROUTING链:在对数据包作路由选择之后,应用次链中的规则。

注:INPUT、OUTPUT链更多的应用在“主机防火墙”中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTING链更多的应用在“网络防火墙”中,特别是防火墙服务器作为网关使用时的情况。

iptables 命令的管理控制选项

选项名功能及特点
-A在指定链的末尾添加(–append)一条新的规则
-D删除(–delete)指定链中的某一条规则,按规则序号或内容确定要删除的规则
-I在指定链中插入(–insert)一条新的规则,若未指定插入位置,则默认在链的开头插入
-R修改、替换(–replace)指定链中的某一条规则,按规则序号或内容确定要替换的规则
-L列出(–list)指定链中的所有的规则进行查看,若未指定链名,则列出表中所有链的内容
-F清空(–flush)指定链中的所有规则,若未指定链名,则清空表中所有链的内容
-N新建(–new-chain)一条用户自己定义的规则链
-X删除指定表中用户自定义的规则链(–delete-chain)
-P设置指定链的默认策略(–policy)
-n使用数字形式(–numeric)显示输出结果,若显示主机的IP地址而不是主机名
-v查看规则列表时显示详细(–verbose)的信息
-V查看iptables命令工具的版本(–Version)信息
-h查看命令帮助信息(–help)
–line-number查看规则列表时,同时显示规则在链中的顺序号

举例如下:

    • 追加:
      iptables -A INPUT/OUTPUT(链名) -p (协议) tcp/udp 可以指定网卡(用-i 和-o 参数),可以指定源地址/目标地址(-d -s ) --dport (指定端口号) -j ACCEPT
    • 插入:
      iptables -I(默认第一)可以指定序号
      实例:iptables -I INPUT -p tcp --dport 80 -j ACCEPT
    • 表名默认是fitler可以省略,但是链名一定要加(如:INPUT )
    • iptables -t 表名(可以省略不计) -D链序号 (第几条策略,从上往下 )

  • iptables -R INPUT/OUTPUT 7(一定要跟对应链的序号) -p tcp --dport 80 -j ACCEPT
    • service iptables status
    • iptables -t 接想要查询的表名(有四个) -L
    • iptables -L -v -n
    • iptables -vnL (有参数顺序的要求)

注: drop是丢弃;reject是拒绝

HTDST
关注
  • 8
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux firewalld与iptables的区别
06-13 1428
firewalld 与 iptables的比较: 1,firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效; 2,firewalld使用区域和服务而不是式规则; 3,firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制; 4,firewalld自身...
Linux防火墙篇——iptables
最新发布
aran2002的博客
05-21 1234
Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
Linux常用知识——防火墙iptables和firewalld
全栈开发的博客
11-19 450
linux常用操作
防火墙工具Firewalld 和iptables轻松搞定
知识库总结、分享
05-29 904
Firewalld和iptables都是Linux操作系统用于防火墙的工具,它们的作用都是控制网络流量,保护系统安全。总体而言,Firewalld相对于iptables来说更加灵活和易用,可以自动更新规则,支持动态调整防火墙设置,同时也支持与iptables兼容,可以根据实际需求选择使用。ufw和firewalld都是防火墙的前端,用于管理iptables规则。ufw是Ubuntu下的防火墙前端用的话当然用firewalld更方便!
防火墙
践踏记忆的博客
10-07 784
title: firewall设置 tags: RHCE categories: RHCE abbrlink: 55eac912 date: 2019-05-18 10:40:14 updated: 防火墙一些策略 管理firewalld 要求:server1上使用默认work区域,并且只放行来自server2的https流量 查看默认工作区域 [root@server_1 ~]# firew...
iptables 与 firewalld 防火墙
weixin_55731208的博客
03-31 1252
四种防火墙策略: ACCEPT(允许流量通过) 流量发送方会看到响应超时的提醒,但是流量发送方无法判断流量是被拒绝,还是接收方主机当前不在线 REJECT(拒绝流量通过) 流量发送方会看到端口不可达的响应 LOG(记录日志信息) DROP(拒绝流量通过)
从五方面简单解析Linux系统防火墙框架
10-23
Linux系统的Netfilter提供了一个抽象、通用化的框架,该框架定义的一个子功能的实现就是包过滤子系统,框架包含以下五部分。
Linux 防火墙 ufw 简介
09-14
ufw(简单防火墙Uncomplicated FireWall)真正地简化了 iptables,它从出现的这几年,已经成为 Ubuntu 和 Debian 等系统上的默认防火墙。这篇文章主要介绍了Linux 防火墙 ufw 简介,需要的朋友可以参考下
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则来允许/阻止网络流量。当一条网络连接试图在你的系统建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
Linux代理服务器和防火墙配置详细解析
08-22
Linux代理服务器和防火墙配置详细解析
iptables与firewalld的区别
qq_37387363的博客
12-01 1138
在RHEL7里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。 firewalld跟iptables比起来至少有两大好处: 1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效; 2、firewalld在使用上要比iptables人性化很多,即使不明白“五张表五条”而且对TCP/IP协议也不理解也可以实现大部分
Linux防火墙之firewalld和iptables
day day up
07-15 2548
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
iptables与firewalld防火墙
qq_45870087的博客
01-17 2707
iptables 在早期的Linux系统默认使用的是iptables防火墙管理服务来配置防火墙,虽然新型的firewalld防火墙管理服务已经被投入使用多年,但iptables仍有企业在使用,而且各个防火墙管理工具的配置思路是一致的,所以我们了解一下iptables也有一定的意义。 1、策略与规则 防火墙会按从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。 ...
centos7 iptables和firewalld学习记录
anyangyu0343的博客
07-14 377
centos7系统使用firewalld服务替代了iptables服务,但是依然可以使用iptables来管理内核的netfilter 但其实iptables服务和firewalld服务都不是真正的防火墙,只是用来定义防火墙规则功能的管理工具,将定义好的规则交由内核的netfilter(网络过滤器来读取)从而实现真正的防火墙功能 在iptables命令设置数据过滤或处理数据包的策...
Linuxiptables和firewalld基础j解析
qq_38334677的博客
10-30 420
如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量。而如果流量与ssh、ipp-client与dhcpv6-client服务相关,则允许流量。firewall-cmd --zone=public --list-port //查看当前的端口。--set-default-zone=|设置默认的区域,使其永久生效。--remove-service=|设置默认区域不再允许该服务的流量。
centos7的防火墙区别与选择(不断更新)
暗黑世界
08-06 1281
centos7常用的软防火墙,主要是firewalld和iptables。这二者的底层实现都是使用了netfilter。 下面说说我对这二者的区别的理解。 第一:方式不同。 firewalld是通过zone的方式来过滤数据。而iptables是通过表和的方式过滤数据 1.1:对于firewalld的zone,我理解就是把同一类的网络数据来源放到一个zone,然后对不同的zone做不同的放行或阻止操作。 ......
firewalld与iptables
记事本
12-07 940
firewalld与iptables
死磕Linux防火墙(iptables和firewalld)
程序员的世界
01-02 437
对于Linux防火墙无论是使用方式上还是实现机制上理解的都不是很深刻。例如,在windows做端口映射很方便,但是到了linux下面却很头疼,今天打算彻底搞懂它。 一、Linux防火墙概述 1.1、背景 1) iptables和firewalld并不是真正的防火墙,他们两个只是管理工具。通过他们两个自身的服务(配置),去配置内核Netfilter和TCPwrappers。对于日常工作,这两...
java代码解析linux防火墙
05-11
Java代码解析Linux防火墙需要使用Java的ProcessBuilder类来执行Linux系统命令,例如iptables。 以下是一个简单的Java代码示例,可以列出当前系统的iptables规则: ```java import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; public class IptablesList { public static void main(String[] args) throws IOException { ProcessBuilder processBuilder = new ProcessBuilder("iptables", "-L", "-n"); Process process = processBuilder.start(); BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream())); String line; while ((line = reader.readLine()) != null) { System.out.println(line); } } } ``` 这个Java程序创建了一个名为`processBuilder`的ProcessBuilder对象,并使用`iptables -L -n`命令来列出当前系统的iptables规则。然后,它创建了一个Process对象并开始执行命令。在执行过程,程序从Process对象获取输出流,并使用BufferedReader读取输出流的数据。 当命令执行完成时,程序将输出iptables规则到控制台。通过类似的方式,可以编写Java代码来添加、删除和修改iptables规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值