Linux下iptables学习

最新推荐文章于 2021-05-10 07:58:25 发布
最新推荐文章于 2021-05-10 07:58:25 发布
阅读量488 收藏 1
点赞数
分类专栏: Linux学习 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/phantom_111/article/details/75101184
版权

一、概念解释

iptables,一个运行在用户空间的应用软件,通过控制Linux内核netfilter模块,来管理网络数据包的流动与转送。在大部分的Linux系统上面,iptables是使用/usr/sbin/iptables来操作,文件则放置在手册页(Man page[2])底下,可以通过 man iptables 指令获取。通常iptables都需要内核层级的模块来配合运作,Xtables是主要在内核层级里面iptables API运作功能的模块。因相关动作上的需要,iptables的操作需要用到超级用户的权限。

维基百科对iptables的描述如上,详细的描述信息https://zh.wikipedia.org/wiki/Iptables

iptables包含Filter、Nat、Mangle、Raw四种内建表。

Filter表

Filter表是iptables的默认表(无定义时默认使用)包过滤,用于防火墙规则,包含以下三种内建链:

  • INPUT链——处理来自外部的数据。
  • OUTPUT链——处理向外发送的数据。
  • FORWARD链——将数据数据转发到本机的其他网卡设备上。

Net表

地址转换,用于网关路由器。包含以下三种内建链:

  • RREROUTING链——处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。
  • POSTROUTING链——处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ip address),通常用于SNAT(source NAT)。
  • OUTPUT链——处理本机产生的数据包。

Mangle表

Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。包含以下五种内建链:

  • PREROUTING、OUTPUT、FORWARD、INPUT、POSTROUTING

Raw表

Raw表用于处理异常,它具有2个内建链:

  • PREROUTING、OUTPUT

动作包括:

  • ACCEPT:接收数据包。
  • DROP:丢弃数据包。
  • REDIRECT:重定向、映射、透明代理。
  • QUEUE:防火墙将数据包移交到用户空间。
  • RETURN:防火墙停止执行当前链中后续Rules,并返回到调用链(the calling chain)中。
  • SNAT:源地址转换。
  • DNAT:目标地址转换。
  • MASQUERADE:IP伪装(NAT),用于ADSL。
  • LOG:日志记录。

二、命令介绍

语法iptables (选项)(参数)

选项

-t<表>: 指定要操作的表的;
-A:向规则链中添加条目;
-D:从规则链中删除条目;
-i:向规则链中插入条目;
-R:替换规则链中的条目;
-L:显示规则链中已有的条目;
-F:清除规则链中已有的条目;
-Z:清空规则链中的数据包计算器和字节计数器;
-N:创建新的用户自定义规则链;
-P:定义规则链中的默认目标;
-h:显示帮助信息;
-p:指定要匹配的数据包协议类型;
-s:指定要匹配的数据包源ip地址;
-d:指定要匹配的目标数据包ip地址;
-j <目标>:指定要跳转的目标;
-i <网络接口>:指定数据包进入本机的网络接口;
-o <网络接口>:指定数据包要离开本机所使用的网络接口;

示例说明

iptables -t 表名 <-A/I/D/R> 规则链名[规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 
<-d 目标IP/目标子网> --dport 目标端口 -j 动作

1.清除已有iptables规则

iptables -F           #删除某规则链中所有规则
iptables -X           #删除某个规则链
iptables -Z           #将封包计数器归零。封包计数器是用来计算统一封包出现次数,是过滤阻断式攻击的工具

2.开放指定端口

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT    #允许本地回环接口
iptables -A OUTPUT -j ACCEPT                             #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT            #允许访问22端口
iptables -A INPUT -j REJECT                              #禁止其他未允许的规则访问
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT #允许已建立或相关连的通行
  • -m state:启用状态匹配模块。
  • –state:状态匹配模块的参数。当数据包到达服务器时,状态字段为NEW;建立连接后数据包的状态字段都是ESTABLISHED。

3.屏蔽IP 

iptables -I INPUT -s 192.168.189.234 -j DROP              #屏蔽单个IP命令
iptables -I INPUT -s 123.0.0.0/8  -j DROP                 #屏蔽某个子网的命令

4.查看已添加的iptables规则

iptables -nvL
n:只显示IP地址和端口号,不将ip解析为域名。
v:显示详细信息,包括每条规则的匹配包数量和匹配字节数。
L:列出某条规则链中的所有规则。

5.删除已添加的iptables规则

iptables -L -n --line-numbers   #将所有iptables以序号标记显示
iptables -D INPUT 3             #删除INPUT链中的第三条规则

6.保存iptables规则并使之生效

/etc/init.d/iptables save        #保存规则
service iptables restart         #重启服务

参考资料

phantom_111
关注
专栏目录
LinuxIPtables的配置全攻略
07-23
教程名称:LinuxIPtables的配置全攻略课程目录:【】Iptables学习笔记【】Iptables服务全攻略之实战配置【】Iptables配置指南【】iptables配置案例【】Linux Iptables配置文件【】LINUXIPtables的详细配置【】...
Linux进阶篇:iptables详细教程:概念&作用与使用方法
qq_39241682的博客
04-09 4631
Linux系统中,iptables是一种非常重要的防火墙工具,它可以帮助我们管理网络流量,保护系统安全。本教程将详细介绍iptables的概念、作用以及使用方法,帮助您更好地理解和掌握这一强大的工具。iptablesLinux系统中的一个用户空间工具,用于配置内核提供的IPv4和IPv6包过滤功能。它允许系统管理员根据预定义的规则对网络流量进行控制,从而实现对系统的保护。本教程详细介绍了iptables的概念、作用以及使用方法,希望能帮助您更好地理解和掌握这一强大的Linux防火墙工具。
Linux防火墙
向往天空的鱼
12-12 1877
基础 概念:防火墙指的是一个由软件和硬件设备组合而成、在和外部网之间、专用网与公共网之间的边界上构造的保护屏障。 功能:防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。 原理 计算机网络体系结构如下: 按照OSI体系结构对防火墙分两大类:1.网络层防火墙(3、4层)、2.应用层防火墙(7层,WAF:...
linux下设置iptables实现NAT功能
weixin_33829657的博客
11-22 695
如果你有两台笔记本,却只有一个可以上网的IP地址,想在不购买路由器的情况下实现两台电脑同时上网,怎么办? 我的建议是如果你使用的是linux操作系统,那么我们就一起开始iptables之旅吧,网络功能丰富到只有想不到,没有做不到。真幸福阿! 好了,不扯皮了,开始聊正经的。 要做到两台或多台电脑共用一个ip上网,那么我们会想到NAT(网络地址翻译)技术,...
iptables 实现NAT
zxl97121的专栏
04-24 1604
网络环境 A机:提供www服务 B机:提供转发功能 C机:客户机 要求实现在C机上输入B机:80 实现访问A机的www服务 1.在B机上允许IP转发 查看IP转发功能是否打开 cat /proc/sys/net/ipv4/ip_forward 0为禁止,1为允许 修改状态 echo 1 > /proc/sys/net/ipv4/ip_forward  改为允许状态 此值重启后会
21、linuxiptables学习
LiuWei
08-14 467
文章目录1.什么是防火墙2.防火墙的工作原理2.1.规则表2.2.规则链2.3.数据包过滤工作流程3.Iptables语法规则3.1.常见的动作类型3.2.查看规则列表3.3.添加新的规则3.4.删除以及清空规则3.5.设置默认策略3.6.备份和还原3.7.总结4.Iptables复杂的语法规则4.1.通用匹配4.2.隐含匹配4.3.显示匹配5.NAT表SNAT策略6.NAT表的DNAT策略7.工作中遇到过的匹配规则 1.什么是防火墙 应用态:iptables 内核态:netfilter 使用iptable
Linux防火墙iptables学习笔记.pdf
11-26
Linux防火墙iptables学习笔记.pdf
linuxiptables防火墙学习
12-31
Linux中的防火墙是由netfilter/iptables网络构架实现的包过滤防火墙,可以实现大部分硬件防火墙的功能,所以可以在企业的应用方案中可以作为硬件防火墙的替代品。 如果Linux的内核是在2.4以上的版本,都可以使用...
Linux iptables Pocket Reference
最新发布
08-03
学习iptables经典书籍,全网最低积分
Linux学习总结(48)——Linux防火墙iptables与firewalld学习总结
科技D人生
06-26 5472
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。语法iptables(选项)(参数)选项-t&lt;表&gt;:指定要操纵的表;-A:向规则链中添加条目;-D:从规则链中删除条目;-i:向规则链中插入条目;-R:替换规则链中的条目;-L:显示规则链中已有的条目;-F:清楚规则链中已有的条目;-Z:清空规则链中的数...
iptables学习
weixin_30887919的博客
08-07 99
第一步how怎么使用iptables 第二步why iptables -nvxL 这个命令可以用来查看有多少包(包这个网络概念至今对我来说还是抽象的2016.8.19)被iptables截住了 方法:iptables -h ;man page iptabes下的几个概念 1.tables filter,nat,mangle,raw,security ...
(十五)洞悉linux下的Netfilter&iptables:开发自己的hook函数【实战】(上)
wjlkoorey的专栏
07-24 898
向Netfilter中注册自己的hook函数         数据包在协议栈中传递时会经过不同的HOOK点,而每个HOOK点上又被Netfilter预先注册了一系列hook回调函数,当每个清纯的数据包到达这些点后会被这些可恶hook函数轮番调戏一番。有时候我们就在想,只让系统自带的这些恶棍来快活,我自己能不能也make一个hook出来和它们同流合污呢?答案是肯定的。        我们
linux-iptables学习
Something of an idiot
01-25 303
Iptables: Netfilter:可以实现读取规则的地方就叫做 netfilter.(网络过滤器)   一.iptables 简介 内核空间中定义5个位置:       1.内核空间中:从一个网络接口进来,到另一个网络接口去的     2.数据包从内核流入用户空间的     3.数据包从用户空间流出的     4.进入/离开本机的外网接口     5.进入/离开本机的内
如何用iptables实现NAT
weixin_34050389的博客
06-28 324
本文主要介绍如何使用iptbales实现linux2.4下的强大的NAT功能。关于iptables的详细语法请参考“用iptales实现包过虑型防火墙”一文。需要申明的是,本文绝对不是 NAT-HOWTO的简单重复或是中文版,在整个的叙述过程中,作者都在试图用自己的语言来表达自己的理解,自己的思想。 一、概述 1. 什么是NAT 在传统的标准的TCP/IP通信过程中,所...
iptables用户层实现解析
kingbrant的博客
12-14 285
https://blog.csdn.net/yandaqijian/article/details/44415519 https://blog.csdn.net/yandaqijian/article/details/44415839
使用iptables配置nat服务器
quakedinosaur的博客
10-05 1380
使用iptables配置nat服务器 概念: SNAT:nat服务器修改报文中的源IP地址后,将报文转发到目的地址。 DNAT:nat服务器修改报文中的目的IP地址,然后将报文转发到目的服务器 组网: Nat服务器:提供两个网卡,一个接外部网络,一个接内部网络。 内网服务器:一个网卡,接内部网络。 要求: 内网服务器可以通过nat服务器的中转可以访问外部网络,外部网络通过n...
linux下iptable防火墙的配置
热门推荐
ZGGHUAN
06-14 2万+
一、策略与规则链 防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻止)。如果在读取完所有的策略规则之后没有匹配项,就去执行默认的策略。一般而言,防火墙策略规则的设置有两种:一种是“通”(即放行),一种是“堵”(即阻止)。当防火墙的默认策略为拒绝时(堵),就要设置允许规则(通),否则谁都进不来;如果防火墙的默认策略为允许时,就要设置...
Linux学习--iptables
丢爸
05-10 312
防火墙 工作在主机或网络的边缘,对于进出的数据报文进行检查,监控,根据事先建立好的规则,进行检查,一旦符合标准,就按照制定的规则进行处理的一套机制。 规则(匹配标准和处理办法) iptables [-t TABLE] COMMAND CHAIN [num] 匹配标准 -j 处理方法 匹配标准: IP:源IP,目标IP TCP:源Port,目标Port UDP:源Port,目标Port ICMP:icmp类型 通用匹配: -s|--src:指定源地址 -d|--dst:指定目标地址 -p
是否允许分配伪终端解决
phantom_111的博客
02-21 5110
问题当使用jenkins构建触发器执行ssh命令的时候出现如下错误: Pseudo-terminal will not be allocated because stdin is not a terminal 意思是无法分配一个伪终端,在伪终端执行脚本,可以进行交互;而没有伪终端,则不能进行交互。解决方案1.禁止分配伪终端-使用ssh -T 2.强制分配伪终端-使用ssh -t 或 ssh -
Linux IPTABLES基础配置与常用端口开放指南
Linux下的IPTABLES配置是一种强大的网络访问控制工具,用于管理Linux系统中的包过滤策略。本文将深入讲解如何在安装Linux后配置filter表的防火墙,确保网络安全并允许特定端口的流量。 首先,对于那些不熟悉...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值