iptables规则`nat` 表和 `raw` 表中的规则,网络地址转换(NAT)和连接跟踪(CT)等网络操作,以实现特定的网络功能或安全策略。

最新推荐文章于 2024-07-26 10:07:20 发布
最新推荐文章于 2024-07-26 10:07:20 发布
阅读量564 收藏 4
点赞数 4
文章标签: 网络 iptables nat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunrj_niu/article/details/136928538
版权
本文介绍了iptables中nat表和raw表的规则操作,包括创建SNAT规则、使用--notrack参数禁用连接跟踪,以及如何查看、验证和清理规则。
摘要由CSDN通过智能技术生成

查看 iptables规则nat 表和 raw 表中的规则

创建规则

查看这几条规则是否创建成功:

# -t nat: 指定操作的表为nat表,该表用于网络地址转换。
# -D POSTROUTING: 从POSTROUTING链中删除规则,该链用于对数据包进行路由后处理,通常用于修改数据包的源地址。
# -o $eth: 指定数据包出口接口为$eth,$eth为变量,代表网卡接口名称。
# -p udp: 指定数据包协议为UDP。
# --sport $vpns_port: 指定源端口为$vpns_port,$vpns_port为变量,代表源端口号。
# -j SNAT --to $vip:$vpns_port: 指定对匹配的数据包执行SNAT操作,将源地址修改为$vip,并保持源端口不变。

 iptables -t nat -D POSTROUTING -o $eth -p udp --sport $vpns_port -j SNAT --to $vip:$vpns_port 

# -t raw: 指定操作的表为raw表,该表用于对数据包进行原始处理。
# -D PREROUTING: 从PREROUTING链中删除规则,该链用于对数据包进行路由前处理,通常用于修改数据包的目标地址。
# -i $eth: 指定数据包入口接口为$eth,$eth为变量,代表网卡接口名称。
# -d $vip: 指定数据包目标地址为$vip,$vip为变量,代表目标IP地址。
# -p udp: 指定数据包协议为UDP。
# --dport $vpns_port: 指定目标端口为$vpns_port,$vpns_port为变量,代表目标端口号。
# -j CT --notrack: 指定对匹配的数据包执行CT(Connection Tracking)操作,并设置为不跟踪连接状态。
 iptables -t raw -D PREROUTING -i $eth -d $vip -p udp --dport $vpns_port -j CT --notrack     

 iptables -t nat -D POSTROUTING -o $eth -p udp --sport $vpns_port_nat_t -j SNAT --to $vip:$vpns_port_nat_t    
 
 iptables -t raw -D PREROUTING -i $eth -d $vip -p udp --dport $vpns_port_nat_t -j CT --notrack

–notrack 不跟踪连接状态

–notrack 是 iptables 中的一个参数,用于在原始数据包处理过程中禁用连接跟踪。连接跟踪是 Linux 内核中的一个功能,用于跟踪网络连接的状态,并在数据包转发过程中对其进行处理。通常情况下,连接跟踪会自动处理数据包的状态,例如建立新的连接、跟踪连接状态、更新连接状态等。

在某些特殊情况下,用户可能需要禁用连接跟踪,这时就可以使用 --notrack 参数。禁用连接跟踪意味着数据包在通过防火墙时不会被跟踪其连接状态,而是直接根据防火墙规则进行处理,这样可以提高数据包的处理效率,并且在一些特殊的网络场景中可能会更适用。

实际场景中,–notrack 可能会用于以下情况:

  • 特定类型的数据包处理:某些类型的数据包可能不需要进行连接跟踪,例如 VPN 流量、多播流量等,此时可以使用 --notrack 参数来禁用连接跟踪,以提高性能或避免不必要的连接跟踪。
  • 防火墙规则优化:在某些防火墙规则下,禁用连接跟踪可能有助于简化规则配置,提高防火墙的性能和效率。
  • 安全审计:某些安全审计场景下,禁用连接跟踪可以避免记录大量的连接状态信息,从而简化审计过程。
    总之,–notrack 参数通常用于特定的网络场景下,通过禁用连接跟踪来提高性能或简化配置。在使用时需要根据实际情况谨慎考虑,并确保不会影响网络的安全性和稳定性。
查看规则

要验证这些规则是否成功创建,使用 iptables -t nat -L -n -viptables -t raw -L -n -v 命令来查看 nat 表和 raw 表中的规则。这些命令将列出当前所有的规则,包括计数器信息,以帮助你确定规则是否匹配。

下面是具体的命令:

iptables -t nat -L -n -v
iptables -t raw -L -n -v

这些命令将列出 nat 表和 raw 表中的规则。你可以检查输出,查看是否存在你期望的规则。如果规则存在,它们应该包含计数器信息,显示它们被使用的次数。

请注意,你需要有足够的权限运行这些命令,通常需要使用 sudo。例如:

sudo iptables -t nat -L -n -v
sudo iptables -t raw -L -n -v

如果你看到输出中包含你期望的规则,并且计数器信息在增加,那么这些规则就被成功创建和使用了。

清除规则
iptables -t nat -F 清空nat表的所有链

iptables -t nat -F PREROUTING 清空nat表PREROUTING链

iptables -t raw -F
YOLO—yeah
关注
10.6: iptables防火墙 、 filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
nat iptables 防火墙中的一个重要组件,用于实现网络地址转换nat 典型应用包括 SNAT(源网络地址转换)、DNAT(目的网络地址转换)、MASQUERADE(地址伪装)等。nat 典型应用可以实现网络流量的控制和...
iptables的四五链与NAT工作原理
tinychen
02-25 2487
本文主要介绍了iptables的基本工作原理和四五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
notrack跳过连接跟踪
redwingz的博客
02-27 2912
使用如下的iptables命令配置notrack, iptables -t raw -A PREROUTING -i ens33 -p tcp --dport 80 --syn -j NOTRACK 或者 iptables -t raw -A PREROUTING -i ens33 -p tcp --dport 80 --syn -j CT --notrack 使用iptables查看配置的...
一文详解iptables基础知识
最新发布
u011029104的专栏
07-26 1404
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。首先介绍iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成。如下图所示。
iptables raw
leo_wanta的专栏
12-12 2496
转载地址:http://hi.baidu.com/farmerluo/blog/item/21e8dab45688c87e8ad4b261.html 1)  什么是raw?做什么用的? iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个:filter,nat,mangle,raw. 4个的优先级由高到低的顺
iptables配置conntrack的NOTRACK和TRACK
热门推荐
Netfilter
01-17 1万+
iptables本身没有TRACK target,以至于你不能指定需要被conntrack模块处理的数据包白名单,比如我想实现:除了来源IP是192.168.10.0/16网段的需要被track之外,其它的都不要track。       当然,你可以通过下面的配置实现我的需求:iptables -t raw -A PREROUTING ! -s 192.168.10.0/16 -j NOTRACK
计算机网络 - NAT技术
qq_48391148的博客
08-09 2657
Network Address Translation 网络地址转换 当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。 这种方法需要在专用网(私网IP)连接到因特网(公网IP)的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址(公网IP地址)。这样,所有使用本地地址(私网IP地址)的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP..
【博客590】iptables raw的特殊作用
qq_43684922的博客
01-16 1370
从netfilter的hook点优先级我们也可以看到rawhook点优先级非常高:数值越低,优先级越高 3、raw的特殊作用 raw :示例场景:配合-j notrack实现允许规则指定80端口的包不进入链接跟踪/NAT子系统用例:
26-云中的网络安全:虽然不是土豪,也需要基本安全和保障1
08-03
例如,可以使用iptables命令行工具来管理内核的规则,通过不同raw、mangle、nat、filter)和链(如INPUT、FORWARD、OUTPUT等)来执行过滤、修改或地址转换操作。 filter主要用于数据包过滤,包含INPUT链...
alpine-router:使用iptables和dnsmasq的基于linux的高山路由器
02-06
iptables 可以在四个(filter、nat、mangle、raw)和五个链(PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING)中设置规则,以实现复杂的网络策略。 **dnsmasq 知识点:** dnsmasq 是一个轻量级的 DNS 和 DHCP...
linux网络工具源码
12-02
iptables支持多种(如filter、nat、mangle和raw)和链(如INPUT、OUTPUT、FORWARD),每个都有其特定的用途,例如filter用于基本的包过滤,nat用于地址转换。 2. **bridge**:在Linux中,bridge工具主要...
操作系统安全:iptables工具.pptx
06-01
iptables;iptables工具;iptables工具;iptables工具;iptables工具;FilterTable的操作;FilterTable的操作;FilterTable的操作;...NATTable的操作;MangleTable的操作;RAWTable的操作;Netfilter的结构图
Linux之iptablesNAT)讲解篇
qq_62311779的博客
06-18 4739
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNAT与MASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT: ——查看iptables配置 SNAT(源地址转换):...
6、iptablesRAW和MANGLE
LiuWei
05-07 4248
文章目录1.说明2.raw3.Mangle 1.说明 RAW 和 MANGLE 实事求是的说 在⼯工作中 ⼀一般⽤用到的确实⽐比较少,⽬前更更多的 还是处在⼀一个 探索和实验的阶段 后期 随着IPTABLES的发展更更新 可能这两个 也会加⼊入到 主流⽤用法当中 2.raw RAWIPTABLES中 第⼀一优先级的 (四个 实际上在处理理时 会有优先级 这个后 ⾯面 我们紧接着就会学到) 它的作⽤用是 针对⼀一个数据包 让它可以跳过 链接跟踪NAT 一个数据包 在进⼊入
一般人都知道的iptables操作
m0_55877125的博客
05-24 220
【代码】一般人都知道的iptables操作
Linux学习--iptables
丢爸
05-10 318
防火墙 工作在主机或网络的边缘,对于进出的数据报文进行检查,监控,根据事先建立好的规则,进行检查,一旦符合标准,就按照制定的规则进行处理的一套机制。 规则(匹配标准和处理办法) iptables [-t TABLE] COMMAND CHAIN [num] 匹配标准 -j 处理方法 匹配标准: IP:源IP,目标IP TCP:源Port,目标Port UDP:源Port,目标Port ICMP:icmp类型 通用匹配: -s|--src:指定源地址 -d|--dst:指定目标地址 -p
Linux 查看NAT
q1009020096的博客
01-11 1306
查看NAT
Linux iptables 详解
lizhengyu891231的博客
03-12 288
Linux iptables 详解
iptables踩坑记
weixin_34319640的博客
02-17 346
1:第一坑:众所周知nf_conntrack,下面会有介绍补坑方法。2:连环坑:要解决第一个坑,需要修改内核参数,如:net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_max = 1048576net.nf_conntrack_max = 1048576...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值