iptables的三表五链

最新推荐文章于 2023-12-01 10:14:43 发布
最新推荐文章于 2023-12-01 10:14:43 发布
阅读量1.5w 收藏 1
点赞数
分类专栏: linux 文章标签: iptables linux 防火墙 端口
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuangmu9768/article/details/108463324
版权

iptables命令

Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。
netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。
这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
虽然netfilter/iptables包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

安装:yum install iptables iptables-services

格式:iptables [-t table] command [match] [-j target/jump]
      iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]
      iptables –[A|I 链] [-i|o 网络接口] [-p 协议] [-s 来源ip/网域] [-d 目标ip/网域] –j[ACCEPT|DROP]

###常用命令
    iptables -L INPUT	#列出INPUT规则链中的所有规则。
    iptables -I INPUT -p tcp --dport 8080 -j ACCEPT  # linux iptables开放端口命令
    iptables -t nat -A PREROUTING -p tcp --dport 7777 -j REDIRECT --to-port 6666	#将本机的 7777 端口转发到 6666 端口。
    iptables -t nat -A OUTPUT -p tcp --dport 7777 -j REDIRECT --to-port 6666	#PREROUTING链修改的是从外部连接过来时的转发,如果本机连接到本机的转发,需要修改 OUTPUT链。
    iptables -t nat -nL --line	#查看当前iptables 的 nat 表的所有规则:(不用 -t 指定表名默认的是指 filter 表)
    iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100	#改写封包目的地IP为某特定 IP或IP范围
    iptables -t nat -D PREROUTING -p tcp --dport 8080 -j REDIRECT --to-port 80	#删除当前80端口转发到8080端口的转发规则

###对iptables服务进行保存
    service iptables save  
#如果上述命令执行失败报出:The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.
#解决方法:
    systemctl stop firewalld #关闭防火墙
    yum install iptables-services #安装或更新服务
    systemctl enable iptables #设置开机启动iptables
    systemctl start iptables #打开iptables
    service iptables save
###重启iptables服务:
    service iptables restart

  • iptables说明
规则表的先后顺序:raw→mangle→nat→filter
规则链的先后顺序:
    入站顺序:PREROUTING→INPUT
    出站顺序:OUTPUT→POSTROUTING
    转发顺序:PREROUTING→FORWARD→POSTROUTING 

###常用配置
1.开放网口与ip来源 
    iptables -A INPUT -i lo –j ACCEPT	#所有的来自 lo 这个网口的封包,都予以接受
    iptables -A INPUT -i eth0 -s 192.168.1.200 -j ACCEPT 	#目标来自 192.168.1.200 这个 IP 的封包都予以接受 
    #192.168.1.0/24 可接受,但 192.168.1.10 丢弃 
    iptalbes -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
    iptables -A INPUT -i eth0 -s 192.168.1.10 -j DROP 
2.规则记录 
    iptables -A INPUT -s 192.168.1.200 -j LOG #相关信息就会被写入到/var/log/messages当中,然后该封包会继续进行,后续的规则比对。LOG 这个动作仅在进行记录而已,并不会影响到这个封包的其它规则比对的。 
3.开放tcp、udp端口
    #开放samba端口(udp137,138;tcp139,445) 
    iptables -A INPUT -i eth0 -p udp --dport 137:138 -j ACCEPT
    iptables -A INPUT -i eth0 -p tcp --dport 139 -j ACCEPT
    iptables -A INPUT -i eth0 -p tcp --dport 445 -j ACCEPT 
4.iptables匹配ICMP端口和ICMP类型 
    iptables -A INPUT -p icmp -icmp-type 类型 -j ACCEPT #--icmp-type :后面必须要接 ICMP 的封包类型,也可以使用代号,例如 8 代表 echo request 的意思。(可自查询ICMP-type对应表) 
5.SNAT源地址转换(让多个内网用户通过一个外网地址上网,即共享上网)
    iptables -t nat -A POSTROUTING -s 192.168.10.10 -o eth1 -j SNAT --to-source 111.196.221.212 #eth1为外网网卡,111.196.221.212为外网地址
    iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE 	#外网IP地址不稳定的情况即可使用MASQUERADE(动态伪装),能够自动的寻找外网地址并改为当前正确的外网IP地址 
6.DNAT目地地址转换(让外网用户访问局域网内不同的服务器)
    iptables -t nat -A PREROUTING -i eth1 -d 61.240.149.149 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.6:80 #192.168.10.6为内网其他机器,eth1为外网网卡,61.240.149.149为外网ip
  • iptables参数
参数作用
-P(–policy)设置默认策略:iptables -P INPUT (DROP
-F(–flush)清空规则链
-L(–list)查看规则链
-A(–append)在规则链的末尾加入新规则
-I(–insert) num在规则链的头部加入新规则
-D(–delete) num删除某一条规则
-R(–replace)替换规则列表中的某条规则
Z( --zero)将表中数据包计数器和流量计数器归零
-s匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
-d匹配目标地址
-i(–in-interface)网卡名称,匹配从这块网卡流入的数据
-o(–out-interface)网卡名称,匹配从这块网卡流出的数据
-p(—proto)匹配协议,如tcp,udp,icmp
–dport num匹配目标端口号
–sport num匹配来源端口号
shuangmu9768
关注
专栏目录
iptables--三表五链
心有鸿鹄天地,不敢妄坠人间
09-08 915
文章目录 一、 iptables软件防火墙 防火墙的层次结构: 策略/规则: 防火墙实际上从上–下读取配置的策略规则,找到匹配的内容则执行并且结束 结果:放行(通) 阻止(堵) 是实际起作用的内容 规则:由规则组成的,针对不同数据传输的位置,又有区别 数据包进入服务器 出服务器 路过服务器 :由不同形成的,不同的 防火墙默认三表五链: Filter 过滤iptables默认...
知识总结12:iptables三表五链详解及面试题
zxn_0823的博客
08-25 1416
目录 iptables 面试题 iptables是什么? iptables的工作流程,以及过滤循序? iptables 有几个以及每个有几个iptables 的几个以及每个对应的作用,对应企业应用场景? 画图讲解 iptables 包过滤经过不同简易流程图并阐述。 你听说过iptables 或 firewall? 知道如何用? iptales的前端图形化工具或命令行? iptables 和 firewalld基本不同点? 如果你用firewalld代替iptable
iptables有几个及每个的作用是啥?
最新发布
cherry01200208的博客
12-01 818
实现流量整形,主要用于修改数据包的ToS( Type of Service ,服务类型)、TTL(Time toLive,生存周期)以及为数据包设置 Mark 标记,以实现 QoS(Quality of Service,服务质量)调整以及策略路由等应用。:负责网络地址转换,即来源与目的ip地址的port的转换,一般用于局域网共享上网或特殊的端口转换服务相关,nat功能就相当于网络的acl控制。:负责过滤所有目标地址是本机地址的数据包,通俗的讲,就是过滤进入主机的数据包。起转发的作用,和nat关系很大,
iptables三表五链
weixin_42566251的博客
06-06 5599
一、iptables概述 1. iptables的概述 iptables 实际上就是一种包过滤型防火墙。 就是通过书写一些接受哪些包,拒绝哪些包的规则,实现数据包的过滤。这些规则存储在专用的信息包过滤中,而这些集成在Linux 内核中。在信息包过滤中,规则被分组放在我们所谓的(chain)中。 2. iptables的组成 iptables由两部分组成: (1) framework: ...
iptables三表五链
qq_45158665的博客
11-04 943
iptables三表五链 1. iptables的概述 IPtables实际上就是一种包过滤性防火墙。也就是通过书写一些接受哪些包,拒绝哪些包的规则,实现数据包的过滤,这些规则储存在专用的信息报过滤中,而这些集成在Linux内核中,在信息包过滤中,规则被分组放在我们所谓的中。 2. iptables的组成 IPtables由两部分组成: Framework:netfilter hooks function钩子函数,实现网络过滤的基本框架。 Rule utils:IPtables规则管理工具 3.
iptables 配置 的3个 和 5个
weixin_42191545的博客
10-31 1309
iptables 配置 的3个 和 5个 linuxiptables 可以理解为包过滤防火墙,也可以理解为客户端代理。 3个为Filter、Nat、Mangle;5个为PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING,下图是它们之间关联和分布: iptables 一般命令语法: iptables ...
iptables 三表五链
04-01
下面是iptables的三个和五个的简要介绍: 1. filter:这个iptables的默认,它用来过滤网络流量。它包含三个:INPUT、OUTPUT和FORWARD。其中,INPUT用于处理进入本地主机的数据包,OUTPUT用于处理...
Linuxiptables三表五链
daisy_songyr的博客
08-20 687
1.防火墙 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性...
防火墙iptables
weixin_46528626的博客
04-23 6625
什么是防火墙? 在计算机中,防火墙是基于安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点; **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬件防火墙
iptables
菜鸟第一步
11-08 936
2.iptables的工作机制 从上面的发展我们知道了作者选择了5个位置,来作为控制的地方,但是你有没有发现,其实前三个位置已经基本上能将路径彻底封锁了,但是为什么已经在进出的口设置了关卡之后还要在内部卡呢? 由于数据包尚未进行路由决策,还不知道数据要走向哪里,所以在进出口是没办法实现数据过滤的。所以要在内核空间里设置转发的关卡,进入用户空间的关卡,从用户空间出去的关卡。那么,既然他们没
防火墙三表五链
Rapig1的博客
08-16 469
1.什么是防火墙 防火墙就是位于内外网之间的一组软硬件部件的组合,主要的目的就是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 在Linux中,存在Iptables和firewalld两种防火墙 2.防火墙三表五链 防火墙三张分别为,filter,nat,mangle、五条分别是PREROUTING,INPUT,FORWARD,P...
Linux防火墙三表五链
运维密码
04-25 287
Linux中存在iptables和firewalld两种防火墙 iptables:更接近数据的原始操作,精度更高 firewalld:更易操作 一、防火墙的相关概念 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的就是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机...
高级运维学习(十三)三表五链
2301_79227925的博客
09-24 215
私有地址,如果需要访问互联网中的公有地址,进行上网,可以通过NAT技术,将私有地址转成公有地址,再访问外界。为192.168.88.10和192.168.99.100配置网关。要求:在node1上配置防火墙,保护server1。NAT一般用于将私有地址转成全球唯一的公有地址。NAT技术产生,主要是解决IPV4地址不够用。NAT:网络地址翻译、网络地址转换。
Linux防火墙iptables三表五链的关系
weixin_33798152的博客
08-22 121
要熟练操作Linux防火墙iptables,需要理解其三表五链及数据流的过滤流程,具体如下图: 转载于:https://blog.51cto.com/towangwang/970220
关于防火墙那些你不得不知道的知识!防火墙基础知识!linux下的防火墙!什么是三表五链!一文全都告诉你!
Tuki来了
06-03 639
防火墙什么是防火墙?为什么需要防火墙防火墙的分类linux下的防火墙1. Netfilter (数据包过滤机制)Netfilter可以做的与不可以做的2. TCP Wrappers (程序管理)3.Proxy(代理服务器)三表五链:什么是三表五链?三:五之间的工作机制,数据包的流向控制 什么是防火墙防火墙是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间,目的是实施访问控制策略。 防火墙就是通过定义一些有顺序的规则,并管理进入到网络内的主机数据数据包的一种机制。 更广义的来说,只要能够
防火墙的基本概念以及系统三表五链的详细讲解
CapejasmineY的博客
08-20 1341
一、什么是防火墙 其实防火墙就是位于外网和内网之间的一组软硬件部件的组合 主要是想保护内网的安全和内外网之间数据的流通性 当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则 在linux下面我们把它分为iptables和firewalld两种防火墙 centos从7.0开始将原先的防火墙iptables换成了firewalld。firewalld支持IPV4,IPV6防火墙设置以...
iptables里的三个分别为_[笔记]iptables 学习记录
weixin_39614262的博客
11-25 212
iptables 是基于内核态的 netfilter 框架,用来过滤 ip 数据包和网络地址转换 NAT 的一个工具,一般用作防火墙功能,或负载均衡功能。简单点说:iptables 是用户态的命令行工具,可以操作内核态的 iptables 的几个模块(基于更底层的 netfilter 模块),然后达到过滤或网络地址转换数据包。K8S 里的 kube-proxy 模块会调用 iptables go ...
32. linux防火墙三表五链
qq_43687755的博客
08-18 326
Lesson32 linux防火墙三表五链 文章目录1. 防火墙的相关概念2. 防火墙的分类3. 防火墙的功能4. 防火墙三表五链4.1 三表五链的介绍4.2 功能及内核模块 1. 防火墙的相关概念 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的就是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 防火墙技术是通过有机结合各类用...
iptables命令_理解 Linux 下的 Netfilter/iptables
weixin_39746229的博客
11-26 2104
Netfilter/iptables 项目由 Rusty Russe 创建于1998年,并于 1999 年建立了 Netfilter Core team,并在此后负责维护此项目,同时也于2000年3月合并进了 linux 2.3.x 版本的 linux 内核。Netfilter/iptables 有三部分组成,分别是Netfilter 框架/Iptables(内核空间)/Iptables 命令行工...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值