软件防火墙之iptables基础

最新推荐文章于 2024-07-30 17:14:08 发布
最新推荐文章于 2024-07-30 17:14:08 发布
阅读量288 收藏
点赞数
分类专栏: 软件防火墙之iptables 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38419276/article/details/116567273
版权
本文介绍了Linux软件防火墙iptables的基础知识,包括netfilter的五个勾子函数和报文流向,iptables的五表五链及其优先级。详细阐述了iptables的规则管理,如查看、添加、删除和优化规则,并提供了多个实际操作示例。最后,讨论了iptables规则的持久保存方法。
摘要由CSDN通过智能技术生成

netfilter 中五个勾子函数和报文流向

Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、
PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具
(iptables)向其写入规则
由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上

三种报文流向

1)流入本机:PREROUTING--> INPUT --> 用户空间进程
2)流出本机:用户空间进程--> OUTPUT --> POSTROUTING
3)转发:PREROUTING -->FORWARD -->POSTROUTING

iptables组成

五表五链以及一些规则组成

链chain:
1)内置链:每个内置链对应于一个钩子函数
2)自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有HOOK钩子调用自定义链时,才生效

五个内置链chain
INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

五个表 table:filter,nat,mangle,raw,security
1)filter:过滤规则表,根据预定义的规则过滤符号条件的数据包,默认表
2)nat:network address translation地址转换规则表
3)mangle:修改数据标记位规则表
4)raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度
5)security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELINUX)实现

它们的优先级由高到低的顺序为:

security---> raw---> mangle---> nat---> filter

内核中数据包的传输过程

1)当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去
2)如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTING链输出
3)如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出

范例,查看默认的表

[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@localhost ~]# iptables -vnL -t filter
Chain INPUT (policy ACCEPT 24 packets, 1600 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 14 packets, 1784 bytes)
 pkts bytes target     prot opt in     out     source               destination

iptables规则添加时考量点

1)要实现哪种功能
最低0.47元/天 解锁文章
LK丶旋律
关注
专栏目录
防火墙iptables应用
无痕有静
05-14 286
iptables的应用 防火墙的名词解释 表 tbale 用来存放链的容器 链 chain 用来存放规则的容器 规则 policy 里面是具体的每一条规则 iptables工作流程 1. 防火墙规则匹配到第一行之后不会继续向下匹配; 2. 如果所有的规则都没有匹配到,那么会匹配到默认规则; 3. 防火墙的默认规则是所有的规则执行完才执行的; 4. 防火墙是层层过滤...
使用iptables实现软件防火墙
weixin_34238642的博客
09-19 245
iptables简介: iptables 是与 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则...
Linuxiptables防火墙
最新发布
A6985HG的博客
07-30 723
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
安全运维中几条实用的 iptables 规则总结
weixin_34318272的博客
09-25 119
安全运维中几条实用的 iptables 规则总结案例一假设运行 iptablesLinux 主机作为企业的网关防火墙,其上有2个以太网卡:eth0 连接 Internet,使用公网 IP ;eth1 连接企业内网,使用局域网 IP,要限制内网用户访问 www.evil.com iptables-AOUTPUT-oeth0-ptcp-dwww.evi...
iptables
kej_linux的博客
06-03 504
iptables中内置五个表: filter:过滤表,也是默认表 nat:地址转换表 mangle raw security 内核中内置五链: PREROUTING INPUT FARWORD OUTPUT POSTROUTING 用户可以自定义链 查看本机iptables的filter表的规则 #本机默认关掉了firewalld,并且没有添加任何规则 [root@localhost ~]#...
一文带你学懂iptables命令(含扩展命令)
临江仙我亦是行人
05-11 2512
1 iptables 用法说明 格式 iptables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification iptables [-t table] -D chain rulenum iptables [-t table] -S [chain
架构-防火墙iptables
Struggle_Hard_Z的博客
12-25 1902
架构图详解 架构: 把一个整体(完成人类生存的所有工作)切分成不同的部分(分工),由不同角色来完成这些分工,并通过建立不同部分相互沟通的机制,使得这些部分能够有机的结合为一个整体,并完成这个整体所需要的所有活动,这就是架构 1.用户需求 用户带着域名提交访问请求 2.DNS 通过DNS解析域名找到该域名对应IP返回 3.防火墙(iptables) 也叫:包过滤防火墙 iptables内置4个表,即filter表、nat表、mangle表和raw表 每个表都会有相应的链 filter表
『运维备忘录』之 iptables 防火墙使用指南
2401_83620690的博客
04-28 959
--sport num | 匹配来源端口号 |
iptables基础
08-02
iptablesLinux上常用的防火墙软件iptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等
Iptables防火墙详细介绍
qq_42158153的博客
10-28 812
一:Linux防火墙基础Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络层防火墙); Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。 1.Netfilter和iptables的区别: Netfilter: 指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(KernelSpace,又称内核空间)的防火墙功能体系; Iptables:指的是用来管理Linux.
Linux网络服务之iptables防火墙工具
这是博客的简介的简介
08-20 871
I P T A B L E S
iptables-nvL查看linux系统的所有ip和端口情况教程。
高性价比服务器就选:蓝易云
07-25 800
请注意,使用iptables需要具有管理员权限。如果你没有权限或遇到问题,请以管理员身份运行命令或联系系统管理员寻求帮助。执行命令后,将显示当前系统的防火墙规则和过滤表。输出结果将包含各种规则和策略,以及与IP和端口相关的信息。要查看Linux系统的所有IP和端口情况,可以使用iptables工具和相应的命令。通过阅读输出,你可以了解系统中配置的IP和端口规则。
netfilter五个hook
07-02 1343
netfilter五个hook点分别是: NF_INIT_PRE_ROUTING NF_INIT_LOCAL_IN NF_INIT_FORWARD NF_INIT_LOCAL_OUT NF_INIT_POST_ROUTING   大致流程:
Linux安全防火墙iptables)配置策略
qq_51545656的博客
11-11 6526
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables使用
花落花开,春去秋来!
12-14 584
iptables的使用格式; iptables -L -n -v --line-numbers 显示规则序列号,如果需要删除规则的话,只需删除编号即可 iptables -t filter -L -n 显示当前默认规则链 [root@www ~]# iptables -t filter -L -n Chain INPUT (policy ACCEPT) target prot
iptables命令
m0_57730097的博客
12-06 1429
#### 选项 iptables -h 获取帮助 iptables -V 显示版本信息 iptables -L 列出链详细信息,可指定链 iptables -vL 显示更详细链信息 iptables -vnL 显示更详细链信息,并以数字化显示 iptables -vnL --line-number 列出信息时,显示规则序号 iptables -F 清除所有规则,不包括默认规则,可指定链 iptables -D 链名 规则序号 删除指定规则 iptables -I...
iptables基础知识
chengxuyuanyonghu的专栏
07-13 4212
iptables由3个表filter,nat,mangle组成,主要实验了filter表,这个表是用来过滤数据包的, 有三个链INPUT,OUTPUT,FORWARD。 配置防火墙策略有固定的格式 Iptables  表名   链名    匹配条件  动作 -t 表名 (默认为filter) ​ -A 链名(在该链末尾append追加
Linux IPtables基础:数据流走向与防火墙设置详解
Linux系统中,IPtables是一种强大的网络包过滤工具,用于实现防火墙功能。它主要涉及两个主要的表:nat表和filter表,它们分别处理不同的数据流方向。 nat表,也称为网络地址转换表,包括三个链:PREROUTING、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值