iptables配置的相关知识点

最新推荐文章于 2024-06-01 07:38:55 发布
最新推荐文章于 2024-06-01 07:38:55 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: linux 文章标签: linux debian 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiuweifan/article/details/122318440
版权

近日将iptables防火墙捣弄了下,按以下链接每一条规则输一遍:

25个iptables常用示例 | 《Linux就该这么学》

其中知识点在这里分享下:

1、iptables是linux的内核,没有开启和关闭,一经保存就生效。

2、-A 和 -I 的区别

结论:-A 会将后执行的策略添加到已有策略后,而-I 则会插入到已有策略的前(既成为第一条策略)

-A参数

iptables是由上往下进行匹配

iptables -A INPUT -s 192.168.228.0/24 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -s 10.153.97.0/24 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j DROP

执行以上三条命令后,防火墙由上往下匹配,既从num 1开始匹配到num 3,则允许192.168.228.0/24和10.153.97.0/24这两个网段访问,其他不允许访问

[root@GDY-TEST07 etc]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  192.168.228.0/24     0.0.0.0/0           tcp dpt:22
2    ACCEPT     tcp  --  10.153.97.0/24       0.0.0.0/0           tcp dpt:22
3    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination    

对比    -I 参数

iptables -I INPUT -s 192.168.228.0/24 -p tcp --dport 22 -j ACCEPT

iptables -I INPUT -s 10.153.97.0/24 -p tcp --dport 22 -j ACCEPT

iptables -I INPUT -p tcp --dport 22 -j DROP

执行以上三条命令后,防火墙由上往下匹配,既从num 1开始匹配,此时num 1的防火墙策略已将访问拒绝,num 2和num 3即使accept也不会生效

[root@GDY-TEST07 etc]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22        
2    ACCEPT     tcp  --  192.168.228.0/24     0.0.0.0/0           tcp dpt:22
3    ACCEPT     tcp  --  10.153.97.0/24       0.0.0.0/0           tcp dpt:22

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

3、dport和sport的区别:

先来翻译一下dport和sport的意思:

dport:目的端口 
sport:来源端口 

dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。

但是在使用的时候要分具体情况来对待,这个具体情况就是你的数据包的流动行为方式。(INPUT还是OUTPUT)

比如你的例子:iptables -A INPUT -p tcp –dport 80 -j ACCEPT 
注意里面的INPUT参数,这个代表你的这条数据包的进行的 “进入” 操作! 
那么你的这条数据包可以这么描述: 
1.这是一条从外部进入内部本地服务器的数据。 
2.数据包的目的(dport)地址是80,就是要访问我本地的80端口。 
3.允许以上的数据行为通过。 
总结:允许外部数据访问我的本地服务器80端口。

再看第2条列子:iptables -A INPUT -p tcp –sport 80 -j ACCEPT 
1.这是一条从外部进入内部本地服务器的数据。 
2.数据包的来源端口是(sport)80,就是对方的数据包是80端口发送过来的。 
3.允许以上数据行为。 
总结:允许外部的来自80端口的数据访问我的本地服务器。

input方式总结: dport指本地,sport指外部。

如果你的数据包是(OUTPUT)行为,那么就是另外一种理解方式: 
比如: iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT 
1.这是一条从内部出去的数据。 
2.出去的目的(dport)端口是80。 
3.允许以上数据行为。

output行为总结:dport只外部,sport指本地。

4、端口转发:

以端口转发3389为例,远程桌面连接linux 192.168.0.1,通过端口转发,连接到另一个win主机192.168.0.5:

1)#目标地址端口为3389的,转换为 192.168.0.1:3389

iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.0.1 :3389

2)#凡目标地址为192.168.0.1:3389的,把源地址转换为192.168.0.5

iptables -t nat -I POSTROUTING -p tcp -d 192.168.0.5  --dport 3389 -j SNAT --to 192.168.0.1

3)若发现新增出错,可删除FORWARD 规则:

1

2

iptables -nL FORWARD --line-number

iptables -D FORWARD 1

删除一条nat 规则  删除SNAT规则

1

3

iptables -t nat  -D POSTROUTING  1

iptables -t nat -D POSTROUTING 7

3)设置sysctl命令用于运行时配置内核参数,否则端口转发失效

nano /etc/sysctl.conf

删除 #net.ipv4.ip_forward=1 前的#号,开启ipv4 forward

sysctl -p 从指定的文件加载系统参数,如不指定即从/etc/sysctl.conf中加载。

一个高效工作的家伙
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux知识点小结
01-10
1 我的Linux需求 这里讨论的是我对线上的...CentOS有一个minimal版本,相对于标准版去掉了很多Service,比如Network Manger,安装最小版本以后的网络配置是需要admin进行全手工配置文件配置的。我个人认为这样是比较
iptables
xiaogaoxiaoyuan的博客
01-14 1088
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptables里面的dport和sport
suirosu的专栏
10-09 2690
iptables里面的dport和sport   首先先来翻译一下dport和sport的意思:    dport:目的端口  sport:来源端口  初学iptables比较容易迷糊,但是我尽量用通俗的语言给你讲解。    dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。    但是在使用
Linux安全防火墙(iptables配置策略
最新发布
qq_53058639的博客
06-01 992
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux 防火墙之 iptables 的基本使用
程序员大佬超的博客
05-18 3923
防火墙作为公网与内网之间的保护屏障,在保障数据的安全性方面起着至关重要的作用。 在比较新的系统中,firewalld 防火墙取代了 iptables 防火墙,其实 firewalld 和 iptables 都不是真正的防火墙,它们都只是用来定义防火墙策略的防火墙工具而已,或者说,它们只是一种服务。 iptables 服务会把配置好的防火墙策略交由内核层面的 netfilter 网络过滤器来处理,而 firewa.
计算机网络day16 防火墙 - iptables - netfilter - iptables的四表五链 - iptables命令 - iptables的匹配条件 - iptables端口实验
lpfstudy的博客
08-03 949
iptables的条件:1.协议:tcp udp icmp-p protocol 小写的p-p icmp --icmp-type 8 ping请求报文-p icmp --icmp-type 0 ping响应报文2.端口号:3.ip地址-s source4.mac地址5.状态6.其他ens33接口上不接收tcp三次握手的第一个包--》不允许新的连接产生了常见的数据包处理方式ACCEPT:放行数据包DROP:丢弃数据包REJECT:拒绝数据包,给一个回复。
搞它!!! 深入介绍iptables防火墙管理工具
weixin_47219935的博客
08-03 649
文章目录一、概述二、iptables的四表五链结构三、包过滤的匹配流程四、iptables配置1、基本语法2、管理选项3、控制选项4、配置实例五、规则的匹配条件1、通用匹配(1)协议匹配(2)地址匹配(3)网络接口匹配2、隐含匹配(1)端口匹配(2)icmp类型匹配3、显示匹配(1)多端口匹配(2)ip范围匹配六 、iptables的应用(SNAT和DNAT)1、实验环境2、实验要求3、实验准备4、实验步骤 一、概述 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制。属于典型的
RHCE知识点汇总
11-08
### RHCE知识点汇总 #### 一、系统配置与管理 1. **路由IP流量和创建静态路由** - **知识点**: - 路由表的理解与操作。 - 静态路由的配置方法。 - 如何在Linux系统中添加、删除和查看路由表条目。 - **实践...
iptables自定义设置
05-22
### iptables自定义设置知识点详解 #### 一、iptables简介 `iptables`是Linux系统下常用的网络管理工具之一,主要用于实现包过滤、网络地址转换(NAT)等功能。通过配置iptables规则,我们可以对进出系统的数据包...
iptables学习笔记.pdf
10-08
### iptables学习笔记知识点概述 #### 数据包流向顺序 数据包在通过iptables的不同链和表时,遵循特定的顺序。...这些知识点是理解并有效配置iptables的基础,能够帮助用户更好地控制网络流量、实现网络安全策略。
零散知识点总结.rar
12-13
【零散知识点总结】 在IT领域,Linux是一个广泛使用的开源操作系统,它基于Unix,并由全球各地的开发者共同维护和更新。Linux系统不仅被应用于个人电脑,还在服务器、嵌入式设备以及超级计算机中占据主导地位。这个...
iptables详解
JL-LOVE
10-23 1980
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件...
linuxiptables (4) 命令行操练(二)
shunzi2016的博客
04-02 625
A --> B 全不通,icmp 弄no ok,B-->A icmp访问ok, A --> B icmp 访问ok。当清理掉关于lo的阻断之后,仍然不通,继续看一下策略,发现仍然存在一个针对lo为入口的阻断策略,继续删除或者添加更前排的通过策略。创建子链,进行更精细化的管理。
iptables总结存档
u011635437的博客
06-28 908
目前我的工作已经比较少去使用linux防火墙了,机房分多区域,生产都在内网使用,庞大的系统也已经无法使用linux的防火墙来隔离机器之间的网络访问关系。iptables的结构由表Tables,链Chains,规则Rules三部分组成。 首先是iptables的表(tables)与链(chains) iptables有Filter, NAT, Mangle, Raw四种内建表: (1). Filter表 Filter是iptables的默认表,它有如下三种内建的链(chains): OUTPUT链 : 就是处
iptables:超详细Iptables防火墙基础规则(四个规则表,5个种规则链)与编写Iptables防火墙规则,
热门推荐
著名艺术家
08-05 1万+
Iptables防火墙基础规则与编写Iptables防火墙规则Linux包过滤防火墙概述■iptables的表、链结构■默认包括5种规则链■规则表的作用■默认包括4个规则表■表链的结构示意图数据包过滤的匹配流程■规则表之间的顺序■规则链之间的顺序■规则链内的匹配顺序iptables安装iptables的基本语法■注意事项■数据包的常见控制类型iptables的管理选项■添加新的规则■查看规则列表;■删除、清空规则■设置默认策略■常用管理选项汇总规则的匹配条件■通用匹配■隐含匹配■显式匹配■常见的通用匹配条件
iptables的基础学习笔记
迷逝
04-28 1830
iptables的基础学习 前言 在早期的 Linux 系统中,默认使用的是 iptables 配置防火墙。尽管新型 的 firewalld 防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptablesiptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理,而firewalld服务则是把配置好的防火墙策略交由内核层面的nftables包过滤框架来处理。 iptables 简介 什么是iptablesiptables 是 Linu
Linux 防火墙(一)(防火墙基础与编写防火墙规则)
Xucf1
12-28 3487
文章目录前言一、Linux 防火墙基础1.概述2.netfilter 与 iptables2.1 netfilter2.2 iptables2.3 小结3.iptables 的表、链结构3.1 简介3.2 规则表(四表)3.3 规则链(五链)4.数据包过滤的匹配流程4.1 规则表之间的匹配顺序4.2 规则链之间的顺序4.3 规则链内部各条防火墙规则之间的顺序二、编写防火墙规则1.安装iptables2.基本语法3.常用的控制类型4.常用的管理选项4.1 添加新的规则4.2 查看规则表4.3 设置默认策略4.
iptables中 -A 和 -I 参数的区别
ss810540895的博客
10-20 5414
在使用iptables添加规则的过程中,看到-A和-I参数都是添加规则,刚开始容易混淆,然后就专门试了一下,原来差异在这里。删除上述4、5、6、7号规则,然后是-I。
iptables状态匹配
LIGANG0704的博客
05-15 386
步骤一:清理现有的防火墙规则,排除干扰 清空filter表: [root@gw1 ~]# iptables -F 确认结果: [root@gw1 ~]# iptables -nL Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCE...
k8s网络相关知识点
09-21
### 回答1: Kubernetes 的网络系统是由多个组件组成的, 它们协作为应用程序提供网络连接和通信. 其中一些主要的组件包括: - kube-proxy: 运行在每个节点上, 负责为 Pod 和 Service 提供代理服务. - kube-dns: 为应用程序提供 DNS 服务. - 网络插件: 用于为 Pod 提供网络连接, 支持不同的网络模型, 如 Calico, Flannel, Cilium 等. - Service: 为应用程序提供负载均衡和服务发现. Kubernetes 的网络模型是基于 Pod 的, 每个 Pod 都有一个独立的 IP 地址, 使得容器间直接通信成为可能. Service 则提供了一种发现和负载均衡的机制, 让外部客户端可以访问 Pod. ### 回答2: Kubernetes(K8s)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。下面是一些与K8s网络相关知识点。 1. 服务发现:K8s通过DNS(域名系统)服务提供内部服务发现机制。每个服务都会被分配一个唯一的域名,其他服务可以通过该域名访问该服务。 2. Pod网络:Pod是K8s中的最小调度单元,它可以包含一个或多个容器。每个Pod都有一个唯一的IP地址,容器可以通过本地回环地址访问其他Pod中的容器。 3. 容器网络接口(CNI):CNI是一个规范,用于定义容器网络的实现方式。K8s使用CNI插件来设置和管理Pod的网络。不同的CNI插件可以支持不同的网络方案,如VLAN、VXLAN、Calico等。 4. 服务代理:K8s使用服务代理来实现服务之间的通信。服务代理可以在集群各个节点上运行,并通过负载均衡来分发到后端Pod。 5. 网络策略:K8s允许用户通过网络策略来定义集群中的网络访问规则。网络策略可以限制哪些Pod可以与另一个Pod通信,以及允许的协议和端口。 6. Ingress控制器:Ingress控制器是K8s中用于管理入站网络流量的组件。它可以将外部流量路由到集群内部的服务,并提供负载均衡和SSL终止等功能。 7. 可插拔网络解决方案:K8s提供了一些可插拔的网络解决方案,如Flannel、Calico等。这些解决方案可以根据具体需求选择,以提供不同的网络拓扑结构和性能。 总而言之,K8s网络相关知识点包括服务发现、Pod网络、CNI、服务代理、网络策略、Ingress控制器和可插拔网络解决方案。这些知识点帮助我们理解和管理K8s集群中的网络配置和通信。 ### 回答3: Kubernetes(简称k8s)是一种用于容器编排和管理的开源平台,它涉及到一些重要的网络概念和组件。 首先,k8s网络模型是基于虚拟网络的概念。每个k8s集群中的容器都会被分配一个独立的IP地址,并且可以通过这个IP地址跨节点进行通信。这是通过一个称为kube-proxy的组件实现的,它会在每个节点上监听API服务器上的变化,并使用iptables或者IPVS等工具在宿主机上进行流量转发。 其次,k8s通过Service和Endpoint来暴露和访问容器。Service是一个逻辑概念,用于封装一组具有相同功能的容器,在集群内部提供服务的访问入口。一个Service可以通过ClusterIP、NodePort或者LoadBalancer等不同的类型暴露。而Endpoint是实际运行容器的IP和端口的集合,用于告诉Service流量应该转发到哪里。 此外,k8s还支持Ingress资源,用于在集群外部暴露服务,实现外部访问。Ingress通过定义一个或多个规则,将外部流量转发到不同的Service上,从而实现域名或路径的复杂路由。 最后,网络插件是k8s网络中的重要组件。k8s提供了一些默认的网络插件,如Flannel、Calico等,用于管理Pod之间的网络通信。网络插件负责创建网络的子网和路由表,并将Pod的IP地址与宿主机的虚拟网卡进行关联。 总结来说,k8s网络涉及到虚拟网络、kube-proxy、Service、Endpoint、Ingress等概念和组件,这些都是为了实现容器间的通信和外部访问的需求。不同的网络插件可以根据具体需求选择,以满足集群的网络需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个高效工作的家伙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值