iptables 实现主机防火墙(四表五链)

最新推荐文章于 2024-09-17 20:42:33 发布
最新推荐文章于 2024-09-17 20:42:33 发布
阅读量1w 收藏 24
点赞数 4
分类专栏: Linux运维之道 文章标签: iptables 四表五链
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011456940/article/details/52634184
版权

一. 综述iptables

iptables 实际上就是一种包过滤型防火墙。就是通过书写一些接受哪些包,拒绝哪些包的规则,实现数据包的过滤。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。

iptables由两部分组成:
1.framework:netfilter hooks function钩子函数,实现网络过滤器的基本框架。
2.rule utils:iptables 规则管理工具

总体说来,iptables就是由“四表五链”组成。
四表:

  • filter:过滤,防火墙
  • nat :network address translation 网络地址转换
  • mangle:拆解报文,作出修改,封装报文
  • raw: 关闭nat表上启用的链接追踪机制

五链:

  • PREROUTING 数据包进入路由之前
  • INPUT 目的地址为本机
  • FORWARD 实现转发
  • OUTPUT 原地址为本机,向外发送

  • POSTROUTING 发送到网卡之前

    这里写图片描述

iptables中表与链的对应关系,其实就是一个表中包含哪几个链

这里写图片描述

二. iptables命令常用方法

iptables [-p table] 链管理 chain
-t table : filter,nat,mangle,raw (默认为 filter)

链管理:

  • -F : 清空规则链
  • -N:创建新的自定义规则链
  • -X : drop 删除用户自定义的规则链
  • -P : Policy 为指定链设置默认策略;iptables -t filter -P FORWARD DROP
  • -E:重命令自定义链

规则管理:

  • -A:蒋新规则添加到指定的链上
  • -I:将新规则插入到指定的位置
  • -D:删除链上的指定规则
  • -R:替代指定链上的规则

查看:

  • -L:列表,列出指定链上的指定的规则
    -n -v –line-numbers -x 等参数

匹配条件:
基本匹配:
-s 原地址IP
-d 目的IP
-p 协议{tcp|udp|icmp}
-i 数据报文的流入接口
-o 数据报文的流出接口
扩展匹配:-m match_name
–dport PORT:目标端口,可以是单个端口
–sport PORT:源端口
-p udp|tcp|icmp
–icmp-type
0 : echo-reply
8 : echo-request

目标:
-j TARGET:jump至指定的TARGET
- ACCEPT 接受
- DROP 丢弃
- REJECT 拒绝访问
- RETURN 返回调用链

love_in_code
关注
专栏目录
Iptables防火墙实验
谢公子的博客
09-14 3484
先说明一下环境,这里有四台主机,中间的Centos充当防火墙。右上角的win XP和右下角的Rhel7充当服务器,最左边的win7充当主机。四者之间的网卡都已经配置好。而且我们已经在Centos6.5上开启了端口转发功能。 echo1 > /proc/sys/net/ipv4/ip_forward(临时开启) sysctl-wnet.ipv4.ip_forward=1...
防火墙iptables五链四表
weixin_46528626的博客
04-23 6666
什么是防火墙? 在计算机中,防火墙是基于安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为防火墙和硬件防火墙,他们的优缺点; **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬件防火墙
iptables 四表五链
weixin_34417814的博客
09-26 618
一、什么是iptables   iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作   Netfilter模块:   它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个...
Iptables四表五链
Jack_chao_的博客
07-20 1756
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的四表五链正常的访问流程图。
Openwrt中的三表五链
最新发布
远方雪的专栏
09-17 679
OpenWrt 是一个基于 Linux 的开源固件项目,广泛用于嵌入式设备如路由器。在 OpenWrt 中,网络流量管理和过滤主要通过 Netfilter 和 iptables 实现,这些工具使用表(tables)和链(chains)来组织和处理网络流量规则。在 OpenWrt 中,"三表五链"是一个常见的术语,用于描述 iptables 中最基本的表和链结构。在 iptables 中,表是用来集合特定类型的规则的。每个表包含一组链,用于处理不同类型的数据包。三表 (Tables)三表(Tables)
iptables四表五链
weixin_30361641的博客
03-13 73
iptables可谓是SA的看家本领,需要着重掌握。随着云计算的发展和普及,很多云厂商都提供类似安全组产品来修改机器防火墙iptables概念 iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。 iptables具体是如何去过滤各种规则的呢?请看下面的四表五链 四表五链概念 f...
iptables四个表与五个链间的处理关系
wdt3385的专栏
02-28 1031
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个
Linux网络之iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 995
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则链中。
使用iptables实现主机防火墙隔离
weixin_33022765的博客
03-14 705
#打开主机防火墙 iptables -P -INPUT DROP #集群内部 iptables -A INPUT -s $ip -j ACCEPT #外部系统访问限制 iptables -A INPUT -s $ip -p tcp -m multiport –dport 25,111,2049,2181,3181,3306,3306,4181,4242,7191,7337,8020,8022,8030,8031,8032,8033,8040,8042,8044,8088,8090,8480,8481,848
iptables防火墙(四表五链)
骑猪兜风的博客
06-20 499
Linux防火墙基础Linux包过滤防火墙概述netfilteriptables包过滤的工作层次iptables四表五链数据包过滤的匹配流程iptables的基本语法注意事项数据包的常见控制选项(需大写)iptables命令的常用管理选项 Linux防火墙基础 Linux包过滤防火墙概述 下述2种称呼都可以表示Linux防火墙 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的"内核态" iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称.
Linux防火墙——iptables(四表五链)
qq_44870887的博客
08-05 3205
一.iptables概述 • Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 1、netfilter/iptables关系 netfilter: • 属于“内核态”(KernelSpace,又称为内核空间) 的防火墙功能体系 • 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: • 属于“用户
深入分析iptables工作原理及自定义扩展
09-01
本文非iptables用户手册,深入分析iptables的工作机制,需要读者有一定的内核数据转发只是。全文从用户命令解析到内核规则生效,步步跟踪,助你更加深刻理解iptables
iptables 防火墙简介 四表五列概念
Q274948451的博客
10-24 1006
防火墙分为硬件防火墙防火墙 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于实现,性能高,成本高。 防火墙:应用件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。 iptables 四表五链概念 四表: filter表:负责过滤功能,防火墙;内核模块:iptables_filter nat表:network address translation,网络地址转换功能;内核模块:iptable_nat mangle表:拆解报文,做出修改,并重新封装 的
iptables四表五链
xfun的博客
09-10 742
1)iptables的4个表(区分大小写): iptables默认有4个表,nat表(地址转换表)、filter表(数据过滤表)、raw表(状态跟踪表)、mangle表(包标记表)。 2)iptables的5个链(区分大小写): INPUT链(入站规则) OUTPUT链(出站规则) FORWARD链(转发规则) PREROUTING链(路有前规则) POSTROUTING链(路由后规...
iptables 四表五链详解
beyongliao的专栏
11-27 2495
iptables 四表五链 iptables(nat,filter,mangle,raw)(INPUT,FORWARD,OUTPUT,PREROUTING,POSTROUTING) filter: INPUT, OUTPUT, FORWARD nat: PREROUTING, POSTROUTING, OUTPUT mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 规则管理类: -A
Linux iptables和五链四表相关规则说明
李姓门徒
02-24 1132
在k8s环境中经常使用iptables规则进行负载均衡、路由转发和NAT等操作,本文针对iptables实现原理和相关常用方法进行整理和讨论。
iptables四表五链
weixin_62799021的博客
09-03 1481
netfilter是Linux内核中的一个框架,工作在网络层,用于处理ip数据包,iptables则是一个,通过与netfilter框架交互,实现对数据包的过滤和转发等操作常见的UFW防火墙、firewalld防火墙都是基于iptables的,它们提供了更简单的管理iptables的rules的命令。
iptables 4表5链 个人心得
weixin_43472459的博客
07-04 903
iptables是Linux防火墙中最常用的包过滤工具。要想理解它的运行机制就必须了解iptables的4表5链。4表名称及功能介绍filter:过滤数据包nat:用于网络地址转换(包含DNAT、SNAT、MASQUERADE、REDIRECT)mangle:用于对特定数据包的修改(几乎不用)raw:决定数据包是否被状态跟踪机制处理,降低开销,从而提高性能(几乎不用)5链名称及数据包匹配位置介绍PREROUTING:对数据包作路由选择前应用此链中的规则。
iptables在异构Intranet中的防火墙设计与实现
Intranet设计的核心目标是实现在异构网络环境中,即网络内部主机操作系统多样(如Win98、Windows XP、Linux、Unix等),硬件配置差异大(高低档设备共存),且仅有一个公有IP地址的情况下,如何共享Internet连接并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值