软件防火墙之iptables基础

最新推荐文章于 2024-07-23 13:03:02 发布
最新推荐文章于 2024-07-23 13:03:02 发布
阅读量261 收藏
点赞数
分类专栏: 软件防火墙之iptables 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38419276/article/details/116567273
版权

netfilter 中五个勾子函数和报文流向

Netfilter在内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、
PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具
(iptables)向其写入规则
由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上

三种报文流向

1)流入本机:PREROUTING--> INPUT --> 用户空间进程
2)流出本机:用户空间进程--> OUTPUT --> POSTROUTING
3)转发:PREROUTING -->FORWARD -->POSTROUTING

iptables组成

五表五链以及一些规则组成

链chain:
1)内置链:每个内置链对应于一个钩子函数
2)自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有HOOK钩子调用自定义链时,才生效

五个内置链chain
INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

五个表 table:filter,nat,mangle,raw,security
1)filter:过滤规则表,根据预定义的规则过滤符号条件的数据包,默认表
2)nat:network address translation地址转换规则表
3)mangle:修改数据标记位规则表
4)raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度
5)security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELINUX)实现

它们的优先级由高到低的顺序为:

security---> raw---> mangle---> nat---> filter

内核中数据包的传输过程

1)当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去
2)如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTING链输出
3)如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出

范例,查看默认的表

[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
[root@localhost ~]# iptables -vnL -t filter
Chain INPUT (policy ACCEPT 24 packets, 1600 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 14 packets, 1784 bytes)
 pkts bytes target     prot opt in     out     source               destination

iptables规则添加时考量点

1)要实现哪种功能
最低0.47元/天 解锁文章
LK丶旋律
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux环境下iptables防火墙基本用法演示
weixin_33901641的博客
10-31 600
一、简单添加两台设备,防火墙关闭,防火墙规则很干净,网络通畅。当启用防火墙后,iptables -vnL显示出所有规则,但我们不使用默认规则,清空规则,自己定义1、iptable -t filter -A INPUT -s 192.168.239.70 -j DROP(末尾添加),设置源地址是192.168.239.70发出的请求,全丢弃,即不回应之前是通的,但设置完防火墙规...
Linuxiptables防火墙
Personal_Liberty的博客
08-27 985
①自定义链添加:iptables -N web(链名) 创建链②自定义链改名:iptabels -E web(原来名称) (新名称) 自定义链改名③创建自定义链规则:iptables -t filter -I web -p icmp -j REJECT 创建自定义规则,iptables的链中添加一条对应到自定义链中才能生效④iptabales创建对应链规则然后跳转自定义链web:iptables -t filter -I INPUT -p icmp -j web。
iptables
kej_linux的博客
06-03 480
iptables中内置五个表: filter:过滤表,也是默认表 nat:地址转换表 mangle raw security 内核中内置五链: PREROUTING INPUT FARWORD OUTPUT POSTROUTING 用户可以自定义链 查看本机iptables的filter表的规则 #本机默认关掉了firewalld,并且没有添加任何规则 [root@localhost ~]#...
iptables实现网络防火墙(一)
Eumenides_s的博客
10-23 1101
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    关于防火墙的相关概念,我们在之前的文章中已经进行了相关的介绍,这里就不再重复。感兴趣的朋友可以移步    初识Linux防火墙    今天重点记录一下,如何使用iptables来搭建网络防火墙,实现控制访问。 实验环境准备    如果要实现网络防火墙,至少需要三台主机A,B,C,B用来搭建网络防
iptables命令
leechm的博客
07-21 823
iptables命令的管理控制选项 -A 在指定链的末尾添加(append)一条新的规则 -D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除 -I 在指定链中插入(insert)一条新的规则,默认在第一行添加 -R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换 -L 列出(list)指定链中所有的规则进行查看 -E 重命名用户定义的链,不改变链本身 -F 清空(flush) -N 新建(new-chain)一条用户自己定义的规...
防火墙iptables基础
weixin_48705916的博客
09-03 183
iptables防火墙 一、防火墙概述: 什么是防火墙: > 一道保护性的安全屏障 --做网络之间的隔离、保护 二、Linux包过滤防火墙 >RHEL7默认使用的使firewalld作为防火墙 >但firewalld底层还是调用包过滤防火墙iptables 三、iptables的表、链结构 >raw(状态跟踪):prerouting、output >mangle(包标记):prerouting、postrouting、input、output、forward &gt
iptables基础
08-02
iptablesLinux上常用的防火墙软件iptables的安装、清除iptables规则、iptables只开放指定端口、iptables屏蔽指定ip、ip段及解封、删除已添加的iptables规则等
第十八章:iptables防火墙应用1
08-08
第十八章:iptables防火墙应用一、iptables防火墙基础;二、iptables规则编写;三、实战演练;一、iptables防火墙基础;1.概述:保护内
基于iptables的Android手机防火墙.zip
05-11
该系统最初由安迪·鲁宾开发,后被Google公司收购并注资,随后与多家硬件制造商、软件开发商及电信营运商共同研发改良。 Android操作系统的特点包括: 开放源代码:Android系统采用开放源代码模式,允许开发者自由...
Fran FireWall fwiptables Generator:f-iptables:Fran FireWall iptables 生成器-开源
08-08
Fran iptables 是一个简单的 FireWall iptables 脚本,用于在 linux 中配置防火墙,简单且免费,在命令行环境、CLI 环境和 GUI 环境中。 [程序名称] Fran FireWall fwiptables Generator [程序说明] 一个脚本在bash ...
uppersafe-osfw:UPPERSAFE开源防火墙
05-03
它依赖于诸如iptables(netfilter)和未绑定之类的基础依赖项。 它实时阻止被视为恶意的传入和传出流量(匹配针对每种威胁自动设置的过滤规则)。 它还提供了安全的DNS服务,可阻止各种恶意服务器(网络钓鱼网站...
iptables加强系统安全性
Dean Chen的专栏
10-31 7309
我的目的是关闭所有对外服务的端口,只允许ssh服务的22端口接受外面的请求。首先在我的测试服务器上进入root权限,然后用下面的命令查看iptablesroot@host2:~# iptables -vnL --line-numbers Chain INPUT (policy ACCEPT 105 packets, 10480 bytes) num pkts bytes target
iptables -nvL查看linux系统的所有ip和端口情况
qq_15821487的博客
06-30 1775
L 表示查看当前表的所有规则,默认查看的是 filter 表,如果要查看 nat 表,可以加上 -t nat 参数。-v 表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。-n 表示不对 IP 地址进行反查,加上这个参数显示速度将会加快。
iptables原理与设置
weixin_42145464的博客
09-12 1028
使用iptables命令可以设置、维护和检查在Linux内核中的IPv4数据包过滤规则表。几个不同的表可以被定义。每个表含有一些内置的链,也可以含有用户自定义链。每条链是规则可匹配一组的包的列表。每个规则指定如何处理数据包匹配。可以在同一表中跳转到一个用户定义的链。
linux防火墙iptables
liukai6的博客
11-09 168
查看防火墙规则 iptables -vnL Chain INPUT (policy ACCEPT 1696 packets, 252K bytes) pkts bytes target prot opt in out source destination 309 22920 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp
一文带你学懂iptables命令(含扩展命令)
临江仙我亦是行人
05-11 2413
1 iptables 用法说明 格式 iptables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification iptables [-t table] -D chain rulenum iptables [-t table] -S [chain
Linux小程序——进度条
最新发布
m0_66182473的博客
07-23 687
进度条
CentOS Linux学习:基础配置与防火墙设置
"这篇Linux(CentOS)学习笔记主要涵盖了基本配置、软件管理、VirtualBox Guest Additions的安装以及防火墙配置等方面的内容,适合初学者和运维人员参考学习。" 在Linux(CentOS)系统中,基本配置是操作系统管理的重要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值