01-iptables-introduction

最新推荐文章于 2024-07-03 06:00:00 发布
最新推荐文章于 2024-07-03 06:00:00 发布
阅读量379 收藏
点赞数
分类专栏: LinuxAdministration 文章标签: introducti
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010796631/article/details/50588850
版权

01-iptables-introduction

参考资料:https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#TRAVERSINGOFTABLES

introduction

iptables 可以检测、修改、转发、重定向和丢弃 IPv4 数据包。过滤 IPv4 数据包的代码已经内置于内核中,并且 按照不同的目的被组织成 表 的集合 表 由一组预先定义的 链 组成,链 包含遍历顺序规则。每一条规则包含一个谓词的潜在匹配和相应的动作(称为 目标),如果谓词为真,该动作会被执行。也就是说条件匹配。iptables 是用户工具,允许用户使用 链 和 规则。

netfilter:kernel级别
iptables:user级别

structure

理解 iptables 如何工作的关键是这张图。图中在上面的小写字母代表 表,在下面的大写字母代表 链。从任何网络端口 进来的每一个 IP 数据包都要从上到下的穿过这张图。可以定义规则使 iptables 采取不同的方式对待从不同端口进入的数据包。当然一些数据包是用于本地进程的,因此在图中表现为从顶端进入,到 停止,而另一些数据包是由本地进程生成的,因此在图中表现为从 发出.

                                   XXXXXXXXXXXXXXXXXX
                                 XXX     Network    XXX
                                   XXXXXXXXXXXXXXXXXX
                                           +
                                           |
                                           v
     +-------------+              +------------------+
     |table: filter| <---+        | table: nat       |
     |chain: INPUT |     |        | chain: PREROUTING|
     +-----+-------+     |        +--------+---------+
           |             |                 |
           v             |                 v
     [local process]     |           ****************          +--------------+
           |             +---------+ Routing decision +------> |table: filter |
           v                         ****************          |chain: FORWARD|
    ****************                                           +------+-------+
    Routing decision                                                  |
    ****************                                                  |
           |                                                          |
           v                        ****************                  |
    +-------------+       +------>  Routing decision  <---------------+
    |table: nat   |       |         ****************
    |chain: OUTPUT|       |               +
    +-----+-------+       |               |
          |               |               v
          v               |      +-------------------+
    +--------------+      |      | table: nat        |
    |table: filter | +----+      | chain: POSTROUTING|
    |chain: OUTPUT |             +--------+----------+
    +--------------+                      |
                                          v
                                   XXXXXXXXXXXXXXXXXX
                                 XXX    Network     XXX
                                   XXXXXXXXXXXXXXXXXX

网络数据流流向

out-kernel-in
in-kernel-out
out-kernel-out

table

raw 用于配置数据包,raw 中的数据包不会被系统跟踪;关闭NAT表上启用的链接追踪功能。
filter 过滤,是用于存放所有与防火墙相关操作的默认表。
nat 用于 网络地址转换(例如:端口转发)。
mangle 用于对特定数据包的修改(参考 损坏数据包),并重新封装。
security 用于 强制访问控制 网络规则

Chains

表由链组成,链是一些按顺序排列的规则的列表。默认的 filter 表包含 INPUT, OUTPUT 和 FORWARD 3条内建的链,这3条链作用于数据包过滤过程中的不同时间点。nat 表包含PREROUTING, POSTROUTING 和 OUTPUT 链。

默认情况下,任何链中都没有规则。可以向链中添加自己想用的规则。链的默认规则通常设置为 ACCEPT,如果想确保任何包都不能通过规则集,那么可以重置为 DROP。默认的规则总是在一条链的最后生效,所以在默认规则生效前数据包需要通过所有存在的规则。

用户可以加入自己定义的链,从而使规则集更有效并且易于修改。

Rules

数据包的过滤基于 规则。规则由一个目标(数据包包匹配所有条件后的动作)和很多匹配(导致该规则可以应用的数据包所满足的条件)指定。一个规则的典型匹配事项是数据包进入的端口(例如:eth0 或者 eth1)、数据包的类型(ICMP, TCP, 或者 UDP)和数据包的目的端口。

目标使用 -j 或者 --jump 选项指定。目标可以是用户定义的链(例如,如果条件匹配,跳转到之后的用户定义的链,继续处理)、一个内置的特定目标或者是一个目标扩展。内置目标是 ACCEPT, DROP, QUEUE 和 RETURN,目标扩展是 REJECT and LOG。如果目标是内置目标,数据包的命运会立刻被决定并且在当前表的数据包的处理过程会停止。如果目标是用户定义的链,并且数据包成功穿过第二条链,目标将移动到原始链中的下一个规则。目标扩展可以被终止(像内置目标一样)或者不终止(像用户定义链一样)。

Modules

有许多模块可以用来扩展 iptables,例如 connlimit, conntrack, limit 和 recent。这些模块增添了功能,可以进行更复杂的过滤。

帮助

man 8 iptables
man 8 iptables-extensions



功能<--链:
    raw:PREROUTING, OUTPUT
    mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
    nat:PREROUTING,[INPUT,]OUTPUT,POSTROUTING
    filter:INPUT,FORWARD,OUTPUT

报文流向:
    流入本机:PREROUTING --> INPUT
    由本机流出:OUTPUT --> POSTROUTING
    转发:PREROUTING --> FORWARD --> POSTROUTING

以上来自:https://wiki.archlinux.org/index.php/Iptables_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)

华小熊
关注
专栏目录
K8S kube-proxy iptables 原理分析
shufanhao.top Blog
01-29 5051
文章目录Precondition什么是 Kube ProxyKube Proxy 原理搭建一个GuestBook 例子分析iptables1. 创建iptables实现外方通过nodePort访问2. 分析k8s的 iptables2.1 集群内部通过cluster ip 访问到Pod2.2 集群外部通过node ip 访问到PodRefer Precondition 要理解这篇文章之前,需要先对...
firewall和iptables对比介绍
热门推荐
爱情码头的博客
03-13 1万+
firewall1、Introduction 在具体介绍zone之前介绍几个相关的名词,因为如果不理解这几个名词zone就无从入手。target:默认行为,有四个可选值:default、ACCEPT、%%REJECT%%、DROP,如果不设置默认为defaultservice:这个在前面学生已经给大家解释过了,他表示一个服务port:端口,使用port可以不通过service而直接对端口进行设置i...
iptables知识整理
zhghost的专栏
09-30 2411
Envoy的流量劫持使用的是iptables,便对这方面知识作了一个整理,方便后续查看,算是一个读书笔记吧。一、iptables四张表表(tables)提供特定的功能,iptab...
ebtables/iptables interaction on a Linux-based bridge
cxhmcu的专栏
10-22 420
ebtables/iptables interaction on a Linux-based bridge Table of Contents Introduction How frames traverse theebtableschains A machine used as a bridge and a router (not a brouter) DNAT'ing bridged packets Chain traversal for bridged IP packets ...
OpenStack Network --- introduction部分 阅读笔记
weixin_30567225的博客
02-14 138
Basic Networking 1、混杂模式(promiscuous mode):当网卡被配置为混杂模式时,它们会将所有的frame传递给操作系统,即使MAC地址不匹配。 2、交换机(switch)是一种拥有多个端口的网络硬件,能将frame从连接的一个主机转发到另一个主机。它会维护一张叫做forwarding table或者交forwarding information base(FIB)...
Iptables Tutorial 1.2.1(2)
子曰小玖的博客
05-20 1505
Chapter 7. The state machine This chapter will deal with the state machine and explain it in detail. After reading through it, you should have a complete understanding of how the State machine works. We will also go through a large set of examples on how
Hadoop(Day03) -- Introduction, Installation
LikeInsane的博客
01-08 227
一.Preface 1.What is mass data processing: There is a large amount of data, different data complexity, different size of individual data files, different sources of data, and mainly storage intensive
MySql-Proxy Introduction
lmm2003的专栏
11-03 1354
MySQL Proxy Overview The Proxy ships(运输)with an embedded Lua interpreter. Using Lua, you can definewhat to do with a query or a result set before the Proxy passes them along. Figure 1. MySQL
Linux防火墙配置(iptables, firewalld)
u012654882的专栏
03-16 638
转载自:https://www.cnblogs.com/pixy/p/5156739.htmlLinux中的防火墙RHEL中有几种防火墙共存:iptablesfirewalldip6tablesebtables这些软件本身其实并不具备防火墙功能,他们的作用都是在用户空间中管理和维护规则,只不过规则结构和使用方法不一样罢了,真正利用规则进行过滤是由内核的netfilter完成的。扩展:整个linux...
iptables详解英文版.pdf
09-27
Introduction 1 An Example Command 1 Concepts 2 Applications 9 Configuring iptables 11 Connection Tracking 14 Accounting 16 Network Address Translation (NAT) 17 Source NAT and Masquerading 18 ...
Linux的防火墙设置及Tomcat安装与配置
qq_42654356的博客
03-13 2665
1.如果是云服务器(列如:阿里云,需要保证阿里云的策略安全组的开放!) 1.1查看防火墙服务状态 [root@suzhongde suzhongde]# systemctl status firewalld ● firewalld.service - firewalld - dynamic firewall daemon Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabl
Keepalived安装-单节点
最新发布
z19861216的博客
07-03 1116
Keepalived安装-单节点
智能运维—Prometheus监控组件配置(pushgateway、node-exporter、mysql-exporter、k8s)
qq_27412807的博客
03-20 1530
1、安装prometheus服务 1)下载软件包 #wget https://github.com/prometheus/prometheus/releases/download/v2.15.2/prometheus-2.15.2.linux-amd64.tar.gz 注: wget 没安装 使用 #yum install wget -y ​ 2)解压软件包 #tar -zxvf prom...
219-6-3Google浏览器书签备份
qq_43046057的博客
06-03 3602
WAF 创建时间 2019-03-11 12:45:27 最后修改 2019-04-03 14:02:50>> 书签名称 链接 添加时间 WEB漏洞测试(二)——HTML注入 & XSS攻击 - CSDN博客 http://www.secsky.cn/216.html 2018-05-15 10:45:24 ModSecurity介绍 - CSDN博客...
Linux_Package_Management
husa的博客
12-27 2190
Linux_Package_Management Linux_Package_Management Before Package Management API ABI 可执行程序的格式 虚拟环境 项目构建管理工具 包管理器 前端工具 version - source code - 拆包 程序包管理器 功能 程序包数据库公共的 程序包获取途径 合法性检查 rpm命令详解 挂载系统镜像CentOS 7为
01-topdown
husa的博客
01-25 1473
01-topdownprotocol定义了两个或多个通信实体之间交换的报文格式和次序,以及在报文传输或接收等事务采取的动作 面向连接的服务TCPtransmission control protocol 确认、重传、流量控制flow control、拥塞控制congestion control 无连接服务UDP user datagram protocol circuit switching建立单独
02-SSH
husa的博客
01-21 1473
02-SSHprocedure1、版本号协商阶段1.1 server开启sshd服务,打开端口(默认22),等待client建立连接 1.2 client向server发起TCP连接,server发送message,内含版本号信息 1.3 client与message中的version比较,决定version 1.4 client发送version 1.5 server比较version 1.6 协
01-密码学扫盲
husa的博客
01-21 1389
密码学扫盲Term鉴定Identification识别特定个人的过程,密码学中将一些独一无二的信息与一个人或其他的实体联系起来用以判断身份 认证Authentication证明和核实特定信息的过程 授权Authorization确定允许行为的过程 完整性Integrity数据来源正确+数据内容正确 机密性Confidentiality信息不会被窃取并破解 不可否认性Non-repudiation对行
008-httpd_http over ssl(https)
husa的博客
01-16 1188
008-httpd_http over ssl(https) 008-httpd_http over sslhttps https http over ssl 图解 配置httpd支持https 测试 https, http over ssl图解 出处见脚注SSL会话的简化过程 (1) 客户端发送可供选择的加密方式,并向服务器请求证书; (2) 服务器端发送证书以及选定的加
[ERROR FileContent--proc-sys-net-bridge-bridge-nf-call-iptables]: /proc/sys/net/bridge/bridge-nf-call-iptables contents are not set to 1
05-26
这个错误提示是在使用docker时出现的,它表示你的Linux内核没有开启bridge-nf-call-iptables功能,这会导致docker网络无法正常工作。要解决这个问题,你可以按照以下步骤操作: 1. 检查你的系统是否支持bridge-nf-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值