iptables 详解

最新推荐文章于 2023-07-12 17:07:06 发布
最新推荐文章于 2023-07-12 17:07:06 发布
阅读量192 收藏
点赞数
文章标签: iptables linux

参考:https://www.cnblogs.com/kevingrace/p/6265113.html

规则表:
1)filter表——三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包 内核模块:iptables_filter.
2)Nat表——三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
3)Mangle表——五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS内核模块:iptable_mangle(别看这个表这么麻烦,咱们设置策略时几乎都不会用到它)
4)Raw表——两个链:OUTPUT、PREROUTING
作用:决定数据包是否被状态跟踪机制处理 内核模块:iptable_raw

规则链:
1)INPUT——进来的数据包应用此规则链中的策略
2)OUTPUT——外出的数据包应用此规则链中的策略
3)FORWARD——转发数据包时应用此规则链中的策略
4)PREROUTING——对数据包作路由选择前应用此链中的规则
(记住!所有的数据包进来的时侯都先由这个链处理)
5)POSTROUTING——对数据包作路由选择后应用此链中的规则
(所有的数据包出来的时侯都先由这个链处理)

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
1)当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。
2)如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。
3)如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
注意:我们用tcpdump抓包时,对于一个被防火墙拒绝的包,还是可以抓到的

iptables防火墙规则的保存与恢复
iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载
使用命令iptables-save来保存规则。
一般用:
iptables-save > /etc/sysconfig/iptables
生成保存规则的文件/etc/sysconfig/iptables,
也可以用:
service iptables save
它能把规则自动保存在/etc/sysconfig/iptables中。
当计算机启动时,rc.d下的脚本将用命令iptables-restore调用这个文件,从而就自动恢复了规则

iptables防火墙常用的策略梳理
设置默认链策略
ptables的filter表中有三种链:INPUT, FORWARD和OUTPUT。
默认的链策略是ACCEPT,可以将它们设置成DROP,如下命令就将所有包都拒绝了:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

比如开通本机的22端口,允许192.168.1.0网段的服务器访问(-t filter表配置可以省略,默认就是这种表的配置)
[root@linux-node1 ~]# iptables -A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
或者
[root@linux-node1 ~]# iptables -t filter -A INPUT -s 192.168.1.0/24 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT

开通本机的80端口,只允许192.168.1.150机器访问(32位掩码表示单机,单机指定时可以不加掩码)
[root@linux-node1 ~]# iptables -t filter -A INPUT -s 192.168.1.150/32 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT

然后保存规则,重启iptables
[root@linux-node1 ~]# service iptables save
[root@linux-node1 ~]# service iptables restart

iptables -A INPUT -s 202.13.0.0/16 -p tcp -m tcp -m state --state NEW --dport 22 -j ACCEPT
说明:这个用法比较适合对设备进行远程管理时使用,比如位于分公司中的SQL服务器需要被总公司的管理员管理时

运行本机的3306端口(mysql服务)被访问
iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 3306 -j ACCEPT
或者只运行本机的3306端口被192.168.1.0/24网段机器访问
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp -m state --state NEW --dport 3306 -j ACCEPT

允许本机开放从TCP端口20-1024提供的应用服务
iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 20:1024 -j ACCEPT

允许防火墙本机对外开放TCP端口20、21、25、110以及被动模式FTP端口1250-1280
iptables -A INPUT -p tcp -m multiport --dport 20,21,25,110,1250:1280 -j ACCEPT

拒绝访问防火墙的新数据包,但允许响应连接或与已有连接相关的数据包
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
说明:“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包,“RELATED”表示与已建立的连接有相关性的,比如FTP数据连接等

scott_zhu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables 详解iptables 详解
12-02
iptables 详解
iptables之NAT
独孤柯灵的博客
11-24 7419
iptables之NAT
如何使用iptables和NAT
weixin_43402206的博客
08-25 1958
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着,所有的防火墙策略规则都被分别写入这些表与链中。
iptables的背后
ytfy339784578的专栏
03-13 1375
每次修改iptables为子设备做转发上网都要瞎搜索很久,iptables太踏马的复杂了,这次搜索完我一定要写点东西记住哪条规则让子设备上了网。 背景: 一台独设备A,只连接B设备; 一台能上网设备B,有网卡与A连接; B设备B1网卡与A设备连接; B设备B2网卡上外网; 完毕。 目标: A设备上外网; 完毕。 实施: 1. iptables的PREROUTING确保通常(一...
iptables防火墙
weixin_67582338的博客
05-12 1256
前言 在 Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢? Linux 系统中的防火墙 netfilter 和 iptables 为了实现该目标而生。Linux 的防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具有非常稳定的性能和高效率,
iptables配置NAT实现端口转发与ss命令的讲解
热门推荐
weixin_47680367的博客
08-08 1万+
nat的使用与ss命令
iptables详解
fanzhang1990的专栏
06-23 888
(2)SNAT 改变包的源地址,这在极大程度上可以隐藏你的本地网络或者DMZ等。内网到外网的映射。 (3)MASQUERADE 的作用和SNAT完全一样,只是计算机的负荷稍微多一点。因为对每个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。当然,这也有好处,就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址,这些地址可是由ISP的D
iptables修改目的IP和端口
最新发布
zhangnero
07-12 2205
iptables NAT表的OUTPUT链用于对由本机发起的数据包进行目标IP地址和端口号的修改。DNAT指令可以用于将数据包的目标IP地址和端口号替换为指定的IP地址和端口号。在OUTPUT链中使用DNAT指令可以实现对本机发送的数据包进行目标地址的转换,将数据包发送至指定的目标地址。其中,<目标IP地址>为需要修改的目标IP地址,<协议>为需要修改的协议类型,<目标端口>为需要修改的目标端口号,<新目标IP地址>为修改后的目标IP地址,<新目标端口>为修改后的目标端口号。
使用iptables OUTPUT规则实现负载均衡
为君歌一曲
01-14 8011
目的:希望本机服务在发出调用请求的时候,可以负载均衡到不同的目的地址。 这个目的看似有些诡异,一般的负载均衡场景都是服务端在收到请求时,在服务端前段的网关上做负载均衡。但是确实存在这样的场景:在微服务治理场景中,没有了全局的负载均衡器,依赖本地代理实现负载均衡算法,如果某个客户端未连接到注册中心,或者其他场景下和注册中心失联,需要手工配置到目的路由,如改下/etc/hosts文件中,加入目的服务...
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
iptables系列教程(一)| iptables入门篇
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-13 726
一个执着于技术的公众号前言在早期的 Linux 系统中,默认使用的是 iptables 配置防火墙。尽管新型 的 firewalld 防火墙已经被投入使用多年,但是大量的企业在生产环境中...
PREROUTING AND POSTROUTING
stronger125的专栏
01-27 1438
<br />Prerouting的作用是数据包刚刚到达防火墙时,改变其目的地址<br />Postrouting的作用是数据包就要离开防火前之前改变其源地址<br />PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT<br /> POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则<br />网络接口:<br /> 可以使用--in
iptables实现NAT
xiaochenwj1995的博客
09-08 2833
NAT: network address translation PREROUTING,INPUT,OUTPUTPOSTROUTING 请求报文:修改源/目标IP,由定义如何修改 响应报文:修改源/目标IP,根据跟踪机制自动实现 SNAT:source NAT POSTROUTING, INPUT 让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装 请求报文:修改源IP DNAT:...
iptables nat表含义_十(4)iptables语法、iptables filter表小案例、iptables nat表应用
weixin_39783426的博客
12-21 185
iptables语法filter表:INPUT链:作用于进入本机的包OUTPUT链:作用于送出本机的包FORWARD链:作用于和本机无关的包nat表:PREROUTING链:作用是包在刚刚到达防火墙时改变包的目标地址OUTPUT链:改变本地产生的包的目标地址POSTROUTING链:作用是在包将离开防火墙时改变包源地址1.查看iptables规则iptables -nvL (此时默认查看filt...
iptables nat例子
fs交流的博客
02-19 152
iptables nat一例
iptables 详解(NAT)
changexhao的专栏
10-24 5989
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
Linux系统配置(防火墙)
1风天云月的博客
02-08 3286
目录 前言 一、iptables 1、策略表 (1)filter表 (2)nat表 (3)mangle表 (4)raw表 2、规则链 (1)INPUT链 (2)FORWARD链 (3)PREROUTING链 (4)POSTROUTING链 3、数据流向 (1)入站数据流向 (2)转发数据流向 (3)出站数据流向 二、配置 1、安装 2、命令参数 3、控制类型 4、常用配置 5、nat转换 结语 前言 linux系统服务器如果作为网关服务器或网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值