防火墙管理——iptables 四表五链

已于 2023-06-01 17:51:18 修改
阅读量147 收藏
点赞数 1
文章标签: 服务器 linux 运维
于 2023-06-01 15:10:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58778457/article/details/130987639
版权

五链

input当收到访问本机地址的数据包时
output

当本机向外发送数据包时

forward当收到需要转发给其他地址的数据包时
prerouting在对数据包做路由选择之前
postrouting在对数据包做路由选择之后

四表

filter对数据包进行过滤,具体规则要求决定怎样处理数据包
nat修改数据包的ip地址、端口号信息
mangle修改数据包的服务类型等(解析包)
raw决定是否对数据包进行状态跟踪

优先级关系: raw -- mangle -- nat -- filter

表与链的关系

表(功能)链(钩子)
rawprerouting,output
mangle prerouting,input,forward,output,postrouting
natprerouting,output,postrouting(centOS 7中还有input)
filterinput,forward,output

iptables用法

规则:根据指定的匹配条件去尝试匹配每条流经此处的报文,若匹配成功则由规则后面的指定的处理动作来进行处理;

匹配条件:

基本匹配条件:(1)源地址 source ip  (2)目标地址 destination ip

扩展匹配条件:(1)源端口 source port   (2)目标端口 destination port

处理动作:

ACCEPTREJECTDROPSNAT
MASQUERADEDNATREDIRECTLOG

语法结构: 

iptables   -t 指定表   - I | A  匹配条件  -j  处理动作

超月平凡
关注
iptables的概述——四表五链、使用方法、规则
ItookapillinNJ的博客
04-01 1789
概述 Linux 系统的防火墙——netfilter/iptables :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 与netfilter的关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又
iptables笔记汇总
Python Golang
08-28 1001
一旦数据包满足了指定的匹配条件,数据包就会被ACCEPT,并且不会再去匹配当前链中的其他的规则或同一个表内的其他规则,但数据仍然需要通过其他表中的链。使用ping命令来检查对方主机是否在线,而向防火墙的INPUT规则链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。我把这种默认允许的叫做“黑名单模式”,有黑名单自然就有白名单模式,白名单模式,默认把INPUT链更改为DROP拒绝通过。向INPUT链中添加允许指定ip或者网段的22端口流量进入的策略规则。
Linux iptables和五链四表相关规则说明
李姓门徒
02-24 1107
在k8s环境中经常使用iptables规则进行负载均衡、路由转发和NAT等操作,本文针对iptables的实现原理和相关常用方法进行整理和讨论。
Linux防火墙——iptables(四表五链)
qq_44870887的博客
08-05 3140
一.iptables概述 • Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 1、netfilter/iptables关系 netfilter: • 属于“内核态”(KernelSpace,又称为内核空间) 的防火墙功能体系 • 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: • 属于“用户
Linux防火墙——iptables防火墙四表五链与SNAT和DNAT
不够优秀才会那么依赖其他人,不够成熟才会信任所有耀眼的外衣,不够强大才会浪费时光去迎合他们的玩闹!
03-21 516
这里写目录标题iptables概述四表五链规则链匹配顺序iptables的安装iptables 命令行配置方法常用的控制类型常用的管理选项添加新的规则查看规则列表删除规则列表设置默认策略清空规则规则的匹配iptables语法总结图SNAT原理与应用DNAT原理与应用防火墙规则的备份和还原 iptables概述 Linux系统的防火墙 IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成 主要工作在网络层,针对ip数据包。体现在对包内的ip地址、端口等信息的处理上 net
37.防火墙管理——iptables
Pink_Home的博客
10-14 1360
(1)防火墙是按照规则运行的,而规则即是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”,规则储存在内核空间的信息包过滤表中,这些规则分别指定了源地址,目的地址,传输协议(如TCP,UDP,ICMP)和服务类型(如HTTP,FTP和SMTP)等。防火墙的作用就在于对经过的报文“匹配规则”,然后执行对应的“动作”,所以,当报文经过这些关卡的时候,则必须匹配上这个关卡上的规则。由本机的某进程发出的报文(通常为响应报文):OUTPUT→POSTROUTING。
linux防火墙iptables四表五链以及实操应用
liu_xueyin的博客
11-29 731
iptables的组成概述linux防火墙体系主要是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或者说是网络层防火墙,4层原理的防火墙)。linux系统的防火墙体系是基于内核编码实现的,是非常稳定和高效的,所以应用广泛;netfilter/iptables:ip信息包过滤系统,实际上是由两个组件组成:netfilter和iptables;主要工作在网络层,针对ip数据包,体现在对包内的ip地址、端口信息处理。
Linux防火墙篇——iptables
aran2002的博客
05-21 1570
Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
防火墙————iptables
鸡汤的博客
05-01 403
防火墙概述 防火墙分为硬件防火墙和软件防火墙,硬件防火墙的效果要大于软件防火墙, 而iptables和firewalld两个则都是软件防火墙iptables是Contos5/6的默认防火墙 firewalld是Contos7/8的默认防火墙 概述 ...
网络安全课程设计之D防火墙——Iptables.docx
09-17
3)在 iptables 中添加、管理和删除自定义链。 实验环境:虚拟机 VMware 或 VirtualBox(https://www.virtualbox.org),linux。 任务: (1)查看 Filter、NAT 和 Mangle 表的现有规则。 (2)清除现有规则。 (3...
Linux互联网技术》项目10 Linux防火墙实现——iptables1.pptx
09-23
Linux互联网技术》项目10 Linux防火墙实现——iptables1.pptx
Linux网络之iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 961
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则链中。
Linux系统性能调优实战指南
进击的码农
10-06 773
总之,Linux系统性能调优是一个持续且复杂的过程,需要运维人员具备扎实的理论知识和丰富的实战经验。通过综合运用硬件升级、系统和软件包更新、Swap分区合理配置、内核参数精细调整、性能分析工具应用、文件系统优化、网络服务优化以及定期清理和维护等方法,可以显著提高Linux系统的性能和稳定性。首先,CPU作为系统的“大脑”,其性能直接影响到系统的响应速度和处理能力。例如,新版本的Linux内核可能包含了对CPU调度算法、内存管理机制或I/O子系统的改进,这些改进可以直接反映在系统的响应速度和处理能力上。
12.1 Linux_进程间通信_管道
Fresh_man111的博客
10-05 926
无名管道就是在内核中开辟了一块内存,进程1和进程2都可以访问这一块空间,从而实现通信。当无名管道被创建时,父进程fd[0]指向管道的读端,fd[1]指向管道的写端。fork创建子进程后,子进程也有一对fd[0]指向管道的读端,fd[1]指向管道的写端。具体结构如下:之后可以使一个进程关闭读端,另一个进程关闭写端。关闭后的具体结构如下:
线程池的实现和讲解:解决多线程并发服务器创建销毁线程消耗过大的问题
caiji0169的博客
10-04 1536
多线程并发服务器有一个问题:有多少个client就有多少个线程,CPU需要在多个线程之间来回切换处理客户端的请求,系统开销比较大(特别是销毁线程的时候),那么就可以采用线程池的方法,一次性创建一堆线程,放进线程池进行统一管理
内网Debian\Ubuntu服务器安装dep包,基于apt-rdepends下载相关依赖
最新发布
Java全栈开发者
10-07 705
的方式下载后,拷贝进内网直接安装,可能会安装不上,因为有些包存在依赖关系,例如A依赖B,我们只下了A,在内网安装的时候就会因为没有安装B而报错,而且有些软件包的依赖比较多,一个一个的报错再解决也不太现实。的输出会包含包名和依赖关系的层级结构。你需要过滤掉重复的包名和无关信息,只保留唯一的包名列表。所以,需要现在联网的环境中将所需的软件包下载完之后,拷贝到内网环境。安装脚本时,在安装A的时候,必须有B,但是B对应的deb我们也已经下载完了。的方式,初步试了一下,也是可以下载到对应的依赖包。
国外电商系统开发-运维系统单个添加被管理服务器
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
10-04 320
国外电商系统开发-运维系统单个添加被管理服务器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值