iptables - RETURN目标

最新推荐文章于 2024-10-18 22:39:55 发布
最新推荐文章于 2024-10-18 22:39:55 发布
阅读量5.2k 收藏 15
点赞数 4
分类专栏: iptables学习和使用 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/to_be_better_wen/article/details/128525256
版权
RETURN目标在iptables中用于终止数据包在特定链中的匹配过程,提高规则处理效率。当数据包匹配到一个RETURN目标的规则时,它会返回到上一级链继续匹配,或按主链的默认策略处理。文章通过示例说明了RETURN目标如何避免重复匹配,以及如何简单设置RETURN目标的规则。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一. RETURN目标是用来做什么的?

        我们都知道,数据包在iptables规则中匹配的方式是,一条链的所有规则会从头到尾,一条一条的与数据包去匹配,直到某条规则匹配到了数据包,或者,链中的所有规则都不与数据包匹配,则将会返回该链的上一级链继续匹配,或者如果该链是主链,则数据包才会被采用默认策略。

        假设一个场景,一个数据包进入INPUT链,然后,遇到了一个匹配的规则,规则的目标是 -j X_CHAIN,然后,数据包进入X_CHAIN,突然,它匹配到了一个规则,规则的目标是 -j RETURN,则数据包将跳回INPUT链。

        假设另一个场景,一个数据包进入INPUT链,然后,遇到了一个匹配的规则,规则的目标是-j RETURN,则数据包将会被INPUT链的默认策略处理。

        所以,RETURN目标的作用是告诉系统,该类型的包不必继续和该链后面的规则继续匹配了,这样可以起到提高效率的作用。

举例

        Linux的系统运行了一个web服务器,监听80端口,另一台电脑访问它的80端口,Linux系统访问80的数据包打上mark标签2和3(只是做实验,没有实际用途)。

不使用RETURN目标的情况

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j MARK --set-mark 2
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j MARK --set-mark 3     
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 34 packets, 2116 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   15   780 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x2
   15   780 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x3

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 26 packets, 2588 bytes)
 pkts bytes target     prot opt in     out     source               destination

        可以看出打mark标签2和3匹配的数据包都是15个。

使用RETURN目标的情况

[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j MARK --set-mark 2
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j RETURN
[root@localhost ~]# iptables -A INPUT -p tcp --dport 80 -j MARK --set-mark 3
[root@localhost ~]# iptables -nvL
Chain INPUT (policy ACCEPT 36 packets, 2140 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   15   780 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x2
   15   780 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
    0     0 MARK       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x3

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 28 packets, 2788 bytes)
 pkts bytes target     prot opt in     out     source               destination

        可以看出打mark标签2和3的中间插入了一条目标是RETURN动作的规则,结果打mark标签2的规则匹配完后,遇到RETURN目标就返回了,所以第一条和第二条规则匹配的包是15个,第三条规则匹配的个数是0,打mark标签3的规则没有匹配到。

二. RETURN目标如何使用?

        RETURN目标使用比较简单,规则的目标设置为-j RETURN即可。

举例

        iptables -A INPUT -m mark --mark 0 -p tcp --dport 80 -j RETURN

三. 总结

        RETRUN目标有不让指定的数据包在当前链继续往下匹配的能力,可以提高防火墙规则的匹配效率。

一文带你学懂iptables命令(含扩展命令)
临江仙我亦是行人
05-11 2717
1 iptables 用法说明 格式 iptables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification iptables [-t table] -D chain rulenum iptables [-t table] -S [chain
iptables教程
06-13 2759
如果一个数据包没有匹配到一个链中的任何一个规则,那么将对该数据包执行这个链的默认策略(default policy),默认策略可以是 ACCEPT 或 DROP。链中默认策略的存在使得我们在设计防火墙时可以有两种选择:设置默认策略 DROP 所有的数据包,然后添加规则接受(ACCEPT)来自可信 IP 地址的数据包,或访问我们的服务监听的端口的数据包,比如 bittorrent、FTP 服务器、Web 服务器、Samba 文件服务器等等。
iptables中的return
wsclinux的专栏
11-21 1万+
1. 从一个CHAIN里可以jump到另一个CHAIN, jump到的那个CHAIN是子CHAIN. 2. 从子CHAIN return后,回到触发jump的那条规则,从那条规则的下一条继续匹配. 3. 如果return不是在子CHAIN里,而是在main CHAIN,那么就以默认规则进行.
iptables中的return【转】
Uaena的博客
02-17 4105
(转自:https://blog.csdn.net/wsclinux/article/details/53256494) 1.从一个CHAIN里可以jump到另一个CHAIN,jump到的那个CHAIN是子CHAIN. 2.从子CHAINreturn后,回到触发jump的那条规则,从那条规则的下一条继续匹配. 3.如果return不是在子CHAIN里,而是在mainCHAIN,那么就...
iptables详解
weixin_34362790的博客
02-04 202
iptables详解基本概念:1.防火墙工作在主机边缘:对于进出本网络或者本主机的数据报文,根据事先设定好的检查规则对其检查,对形迹可疑的报文一律按照事先定义好的处理机制做出相应处理对linux而言tcp/ip协议栈是在内核当中,意味着报文的处理是在内核中处理的,也就是说防火墙必须在工作在内核中,防火墙必须在内核中完成tcp/ip报文所流进的位置,用规则去检查,才真正能工作起来。iptables用...
iptables操作
dap769815768的博客
03-28 530
系统:Ubuntu 20.04 iptables生效的顺序:排在前面的会覆盖掉后面的。比如先增加一条REJECT规则,又增加了一个ACCEPT规则,如果这两个规则是对同一个条件设置的,那么后者会覆盖前者。 1.给filter表增加一条drop规则: # -t表示table,默认是filter表,因此这里可以省略掉-t这个参数 # -A表示Add,-j表示操作类型,-p表示协议,--dport表示目的端口 # 如果本地收到一个tcp数据包,数据包的访问端口是8081的话,那么直接丢弃掉 iptable
iptables--表/命令/选项/匹配/目标
香蕉一号
07-04 2712
iptables--规则1.基本语法2.表3.命令4.选项5.匹配5.1 通用匹配5.2 隐含匹配5.2.1 TCP匹配5.2.2 UDP匹配5.2.3 ICMP匹配5.3 显式匹配5.3.1 Limit匹配 1.基本语法 基本语法如下: iptables [-t table ] command [match] [target/jump] 对于这个句法没什么可说的,但注意 target 指令必须在最后。为了易读,我们一般用这种语法。总之,你将见到的大部分规则都是按这种语法写的。在[table]处指定表名。
LinuxIptables简易应用(1)
2401_83946044的博客
04-28 1105
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT #允许单个IP的最大连接数为 30。iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT (特定 IP 来源不受限制)iptables端口代理,做到像nginx,haproxy一样转发TCP请求,但是它不能关心应用层的东西,比机主机头,没有超时时间限制,除非网络不稳定。
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables防火墙
wrtwen的博客
04-16 455
目录介绍防火墙包过滤防火墙四表五链表链iptabels语法格式iptables 命令匹配规则防火墙规则实例filter过滤和转发控制开启内核的IP转发主机型防火墙案例 介绍 防火墙 防火墙指(firewall)的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Int...
防火墙Iptable与Ebtable中的RETURN
qisefengzheng的专栏 总有一天你将破蛹而出
11-26 1457
google出来的第一个结果就讲的很清楚了, return退出的是当前CHIAN,如果当前CHIAN是别的CHAIN调用的子CHIAN,那么返回到调用点下一条规则处开始执行,如果当前CHIAN不是子CHAIN,那么就以默认策略执行.
iptables研究
度窝-笔记
11-28 195
#iptables研究 iptables是基于内核模块netfilter的hook函数实现的一个用户态接口程序。 iptables有5个表,其中最常用的有3个分别是 (就像netty,表就好比有5个channel,链就好比每个channel都有读写handler方法够成的Pipeline, 规则就好handler. 也是一样可以交织成一个路由过滤网络) filter过滤, nat地址转换, mangle修改 每个表都表示一个namespace,它所关注的链都不一样,就好比他们侧重的领域不一样 filter只
IPTables简介四——目标(动作)
weixin_34067049的博客
03-17 393
四、目标(targets and jumps) 就是告诉IPTables某条规则匹配以后进行什么动作。可以进行的动作有两类,第一类是进行IPTables定义的动作(target),还有一种就是调用另外一条用户自定义的链。例如: IPTables -N July_filter //创建一条自定义的链 IPTab...
iptables命令、规则、参数详解
diaoxihang5066的博客
12-28 981
表 (table)包含4个表:4个表的优先级由高到低:raw-->mangle-->nat-->filterraw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链...
Iptables中文手册
软体疯子专栏
09-27 806
NAMEiptables - IP包过滤器管理总览iptables -ADC 指定链的规则 [-A 添加 -D 删除 -C 修改]iptables - RIiptables -D chain rule num[option]iptables -LFZ 链名 [选项]iptables -[NX] 指定链iptables -P chain target[o
iptables基础(一)
weixin_33946020的博客
04-05 416
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
iptables 命令详解
最新发布
qq_41917355的博客
10-18 5498
iptablesLinux 中用于设置、维护和检查 IP 数据包过滤规则的命令。它是一个强大的工具,广泛用于网络防火墙、安全性和网络地址转换 (NAT) 等。以下是iptables命令的主要选项及其详细说明。
【开发运维手牵手】「Linux篇」iptables用法详解和典型配置举例
逗老师的博客
07-05 471
留坑占位
iptablesRETURN
04-20
iptables中,RETURN是一个目标选项,用于指定数据包的处理结果。当一个数据包匹配到规则后,如果规则的目标选项设置为RETURN,那么数据包将会立即返回到调用链的上一级,继续进行后续的处理。 RETURN目标选项通常用于以下情况: 1. 在某个规则中进行一些特定的处理后,将数据包返回到原来的调用链中。 2. 在某个规则中进行一些特定的处理后,结束当前调用链的处理。 使用RETURN目标选项可以实现一些高级的防火墙策略,例如: 1. 实现透明代理:将匹配到的数据包重定向到代理服务器进行处理后再返回。 2. 实现流量控制:根据特定的条件对数据包进行处理后,将其返回到原来的调用链中。 总结一下,RETURN目标选项在iptables中用于将数据包返回到原来的调用链中或结束当前调用链的处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值