Linux之Iptables防火墙相关概念和基本操作

最新推荐文章于 2024-07-11 10:31:11 发布
最新推荐文章于 2024-07-11 10:31:11 发布
阅读量1.8k 收藏 4
点赞数 2
分类专栏: Liunx 文章标签: Linux Iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22067469/article/details/83745843
版权

iptables概念

一、 iptables的前身叫ipfirewall(内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的)。当内核发展到2.x系列的时候,软件更名为ipchains,它可以定义多条规则,将他们串起来,共同发挥作用,而现在,它叫做iptables,可以将规则组成一个列表,实现绝对详细的访问控制功能。

二、他们都是工作在用户空间中,定义规则的工具,本身并不算是防火墙。它们定义的规则,可以让在内核空间当中的netfilter来读取,并且实现让防火墙工作。而放入内核的地方必须要是特定的位置,必须是tcp/ip的协议栈经过的地方。而这个tcp/ip协议栈必须经过的地方,可以实现读取规则的地方就叫做 netfilter.(网络过滤器)

三、内核空间的5个位置

  1. 内核空间中:从一个网络接口进来,到另一个网络接口去的
  2. 数据包从内核流入用户空间的
  3. 数据包从用户空间流出的
  4. 进入/离开本机的外网接口
  5. 进入/离开本机的内网接口

linux的防火墙iptables

netfilter(iptables)

  • netfilter --工作在内核软件,实现数据包的过滤。
  • iptables --工作应用层一个软件,用来控制netfilter。
    1.netfilter/iptables包过滤防火墙(tcp/ip四层)
    1)应用层 --通过软件为用户提供接口
    2)传输层 --提供可靠或不可靠的数据传输(TCP/UDP)使用端口来标示服务类型 sport dport
    3)网络层 --提供路由和选址(icmp) sip dip
    4)数据链路层 --传输数据帧(MAC) s _mac arp写 在局域网内泛洪 来找到我们对应的MAC
    5)物理层 --传输透明比特流 eth0 eth1
    过滤的依据: s_mac/sip/dip/sport/dport/状态(三次握手/四次断开)SYN DDOS攻击怎么防御我们DDOS 小流量
    netfilter的逻辑架构: nat 10
    image

netfilter防火墙的元素及关系:
netfilter==>表==>链==>规则

三张表:

filter 防火墙表,允许和拒绝都在这里实现
nat 地址转换
mangle 数据包整形

五条链:

INPUT 本机进站的数据流 (路由前)
OUTPUT 本机出站的数据流 (数据包流入口)
FORWARD 路由的数据流 (转发管卡)
POSTROUTING 路由后的数据流(数据包出口)
PREROUTING 路由前的数据流 (路由后)
注意:这是NetFilter规定的五个规则链,任何一个数据包,只要经过本机,必将经过这五个链中的其中一个链。

表跟链的对应关系:
  • filter: INPUT——OUTPUT——FORWARD
  • nat: OUTPUT——PREROUTING——POSTROUTING
  • mangle: INPUT——OUTPUT——FORWARD——PREROUTING——POSTROUTING
四种数据流:

本机进站的数据流:packet–>ethX–>PREROUTING–>INPUT–>本机
本机出站的数据流:packet–>OUTPUT–>POSTROUTING–>ethX–>destination
路由的数据流:
出去: packet–>eth0–>PREROUTING–>FORWARD–>POSTROUTING–>eth1–destination
回来: packet–>eth1–>PREROUTING–>FORWARD–>POSTROUTING–>eth0–destination
本机访问本机: 本机–>packet–>lo–>PREROUTING–>INPUT–>本机

  • 表的匹配顺序:mangle–>nat–>filter
  • 防火墙规则匹配顺序:
  1. 按顺序匹配,如果第一条匹配到了就直接执行这条规则的动作,不往下匹配其它规则。
  2. 如果第一条匹配不到,第二条也匹配不到,继续往下匹配直到找到匹配的规则,如果找不到匹配默认规则。

传输层:协议(tcp/udp)
端口(sport/dport)
网络层:IP地址(sip/dip/icmp) ping
数据链路层: mac地址(–mac-source)
物理层: 从哪个网卡进来 -i eth0 eth1 服务器2个地址 外网地址 一个内网地址

iptables操作命令

#iptables --help
Usage: iptables -[AD] chain rule-specification [options]
       iptables -[RI] chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LFZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (pri
最低0.47元/天 解锁文章
Linux 防火墙与NAT服务
daiyuntao841226的专栏
10-26 2000
防火墙与NAT服务器 Linux防火墙主要透过Netfilter与TCPWrappers两个机制来管理的,其中Netfilter防火墙机制,可以让我们的私有IP的主机上网(IP分享器功能) 并且也能够让Internet连接到我们内部的私有IP所架设的Linux服务器(DNAT功能),网络安全除了随时注意软件的漏洞以及网络上的安全通报之外,最好能够 依据自己的环境来制定防火墙机制,透过一些有
Linux系统iptables防火墙实战指南
qq_24442273的博客
10-21 752
3、如果所有的规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,则继续向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。1、新增规则,使得本机不能ping通其它主机,其它主机可以ping通本机,本机也可以自己ping通自己,命令如下所示:​​​​​​​。2、如果匹配上了相应的规则,即明确表明是阻止还是通过,此时数据包就不再向下匹配新的规则了。1、防火墙是一层层过滤的,就是按照配置规则的顺序从上到下,从前到后进行过滤的。4、防火墙的默认规则是对应链表的所有规则执行完成后,才会执行的规则。
Linuxiptables(一、防火墙概念)
Phyllostachys
10-25 258
Linuxiptables(一、防火墙概念) 防火墙概念 一、安全技术 入侵检测与管理系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报告事后监督为主,提供有针对性的指导措施安全决策依据。一般采用旁路部署方式。 入侵防御系统(Intrusion...
iptables详解,Linux防火墙概念
liuyuan2x
12-14 208
iptables详解:概念
linux防火墙
weixin_72625764的博客
11-29 567
此时当前主机拒绝所有访问回到虚拟机终端,查看iptables表此时,在白名单中添加一些允许的规则,允许这些规则中的主机可以访问当台虚拟机再去到xshell,看是否能恢复使用再添加另一条ip地址允许访问规则去到10主机看是否能成功访问20主机回到虚拟机终端,恢复默认规则为黑名单。
iptables防火墙----filter表的学习-INPUT
weixin_69899223的博客
06-13 2583
iptables防火墙----filter表的学习-INPUT
Linux系统管理】Iptables防火墙规则详解:四表五链配置与实战案例分析
最新发布
04-13
内容概要:本文档深入介绍了Linux系统中iptables防火墙的基础知识与应用技巧。...阅读建议:由于iptables涉及较多的概念技术细节,建议读者在学习过程中结合实际操作练习,同时参考官方文档其他相关资料加深理解。
Linux防火墙之firewalldiptables
day day up
07-15 2802
IP信息包过滤系统,它实际上由两个组件netfilteriptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter/iptables关系netfilter属于"内核态"又称内核空间(kernelspace)的防火墙功能体系。linux好多东西都是内核态用户态,那我们运维人员关注的是用户态,内核我们关注不是很多,内核基本是我们开发人员关心的事情,...
Linux防火墙-Netfilteriptables
flytalei的博客
07-11 766
防火墙(FireWall ) :隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中.
iptables 知识-filter表
浪漫的偷笑
11-02 513
iptables 免费的 基于包过滤的类似交换机acliptables链 个分类4个表filter   主机有关 负责防火墙功能 过滤本机流入流出的数据包 是iptables默认的表INPUT FORWORD OUTPUT INPUT 过滤所有目标是本机的数据包过滤进入主机的数据包FORWORD 转发流经主机但不进入主机的数据包转发OUTPUT处理源地址是本机的数据包处理从主机发出去的数据...
linux下mysql开启远程访问权限 防火墙开放3306端口
09-09
主要为大家详细介绍了linux下mysql开启远程访问权限,防火墙开放3306端口,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
对windows防火墙的一些基本操作
01-18
对windows防火墙的一些基本操作
iptables 基础部分】【iptables高级部分】【iptables操作方法案例】
mingqing的博客
10-04 1069
文章目录iptables 基础部分表及应用顺序![在这里插入图片描述](https://img-blog.csdnimg.cn/df19c6af3b2f42538fe0826afc429d55.png)## 常见的操作命令要操作的链基本匹配基本动作Target所有协议加端口iptables高级部分开启路由转发方法模块使用路由转发iptables操作方法案例 iptables 基础部分 一、iptables基础 iptables语法 iptables [-t 要操作的表] <操作命令> [要操作的
无法远程连接redis
Py.ziMing的博客
11-23 964
无法远程连接Redis数据库 问题如下: [....] Starting redis-server (via systemctl): redis-server.serviceJob for redis-server.service failed because a timeout was exceeded. See "systemctl status redis-server.service" a...
2-7-配置iptables防火墙增加服务器安全
weixin_30346033的博客
05-16 274
本节所讲内容: • iptables常见概念iptables服务器安装及相关配置文件 • 实战:iptables使用方法 • 例1:使用iptables防火墙保护公司web服务器 • 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 • 例3:限制某些IP地址访问服务器...
aliyun服务器Apache安装后无法访问
c0529的博客
05-01 382
因为打算在服务器上面做网站,所以安装了apache,一开始无法访问,所以查了查,就成功啦。
用 ipset iptables 保护 sip 端口
fs交流的博客
04-02 662
用ipsetiptables保护sip端口
防火墙(firewall)的基本操作
是日已过,命亦随减的博客
09-07 2175
防火墙基本操作: 0、查看系统防火墙状态(如果返回 running 代表防火墙启动正常):firewall-cmd --state 1、启动服务:systemctl start firewalld.service 2、关闭服务:systemctl stop firewalld.service 3、重启服务:systemctl restart firewalld.service 4、显示服务的状态:...
Linux系统防火墙概述
m0_49265034的博客
03-16 2940
文章目录一、概述二、三表五链 一、概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址目标地址进行检测。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值