iptables--知识总结1

最新推荐文章于 2024-05-04 17:36:57 发布
最新推荐文章于 2024-05-04 17:36:57 发布
阅读量293 收藏
点赞数
分类专栏: Linux运维之道 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011456940/article/details/73796587
版权

iptables:包过滤型防火墙

iptables/netfilter

  • framework: netfilter hooks function 网络过滤器的框架
  • rule utils:iptables 规则管理工具

四表五链

四表
  • filter:过滤,防火墙
  • nat:地址转换
  • mangle:拆解报文,作出修改,封装报文
  • raw:关闭nat表上启用的链接追踪标志
五链
  • PREROUTING
  • INPUT
  • FORWARD
  • OUTPUT
  • POSTROUTING

各功能的分别实现

  • filter:INPUT,FORWARD,OUTPUT
  • nat: PREROUTING(DNAT),OUTPUT,POSTROUTING(SNAT)
  • mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING
  • raw:PREROUTING,OUTPUT

添加规则时的考量点:

  • (1) 要实现哪种功能:判断添加在哪张表上;
  • (2) 报文流经的路径:判断添加在哪个链上;
链:链上规则的次序,即为检查的次序;因此隐含一定的法则
        (1) 同类规则(访问同一应用),匹配范围小的放上面;
        (2) 不同类规则(访问不同应用),匹配到报文频率较大的放上面;
        (3) 将那些可由一条规则描述的多个规则合并为一个;
        (4) 设置默认策略;

    功能的优先级次序:raw --> mangle --> nat --> filter
规则:
    组成部分:报文的匹配条件,匹配到之后处理动作
        匹配条件:根据协议报文特征指定
            基本匹配条件
            扩展匹配条件
        处理动作:
            内建处理机制
            自定义处理机制

        注意:报文不会经过自定义链,只能在内置链上通过规则进行引用后生效;

iptables命令:

   iptables [-t table] {-A|-D} chain rule-specification

   iptables [-t table] -I chain [rulenum] rule-specification

   iptables [-t table] -R chain rulenum rule-specification

   iptables [-t table] -D chain rulenum

   iptables [-t table] -S [chain [rulenum]]

   iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

   iptables [-t table] -N chain

   iptables [-t table] -X [chain]

   iptables [-t table] -P chain target

   iptables [-t table] -E old-chain-name new-chain-name


   -t table:
        filter, nat, mangle, raw

链管理:

        -F:flush,清空规则链;省略链,表示清空指定表上的所有的链;
        -N:new, 创建新的自定义规则链;
        -X:drop, 删除用户自定义的空的规则链;
        -Z:zero,清零,置零规则计数器;
        -P:Policy,为指定链设置默认策略;对filter表中的链而言,默认策略通常有ACCEPT, DROP, REJECT; 
        -E: rEname,重命令自定义链;引用计数不为0的自定义链,无法改名,也无法删除;

规则管理:

        -A:append,将新规则追加于指定链的尾部;
        -I:insert,将新规则插入至指定链的指定位置;
        -D:delete,删除指定链上的指定规则;
            有两种指定方式:
                (1) 指定匹配条件;
                (2) 指定规则编号;
        -R:replace,替换指定链上的指定规则;

查看:

        -L:list,列出指定链上的所有规则;
            -n: numberic,以数字格式显示地址和端口号;
            -v: verbose,显示详细信息;
                -vv, -vvv
            --line-numbers:显示规则编号;
            -x: exactly, 显示计数器计数结果的精确值;

匹配条件:

基本匹配:
   [!] -s, --src, --source IP|Netaddr:检查报文中源IP地址是否符合此处指定的地址范围;
   [!] -d, --dst, --destination IP|Netaddr:检查报文中源IP地址是否符合此处指定的地址范围;
   -p, --protocol {tcp|udp|icmp}:检查报文中的协议,即ip首部中的protocols所标识的协议;
   -i, --in-interface IFACE:数据报文的流入接口;仅能用于PREROUTING, INPUT及FORWARD链上;
   -o, --out-interface IFACE:数据报文的流出接口;仅能用于FORWARD, OUTPUT及POSTROUTING链上;
扩展匹配:-m macth_name –spec_options
  例如:-m tcp --dport 22

  隐式扩展: 对-p protocol指明的协议进行的扩展,可省略-m选项;
    -p tcp
        --dport PORT[-PORT]:目标端口,可以是单个端口或连续多个端口;
        --sport PORT[-PORT]
        --tcp-flags LIST1 LIST2:检查LIST1所指明的所有标志位,且这其中,LIST2所表示出的所有标记位必须为1,而余下的必须为0;没有LIST1中指明的,不作检查;
        SYN, ACK, FIN, RST, PSH, URG

        --tcp-flags SYN,ACK,FIN,RST SYN
        --syn: 
   -p udp
        --dport
        --sport
   -p icmp
        --icmp-type
        可用数字表示其类型:
            0:echo-reply
            8: echo-request

  例子iptables -t filter -A OUTPUT -s 172.16.100.21 -p tcp -j ACCEPT
     iptables -t filter -A INPUT -d 172.16.100.21 -o eth0 -j ACCEPT
     iptables -t filter -A OUTPUT -s 172.16.100.21 -o eth0 -j ACCEPT
     iptables-I INPUT -d 172.16.100.21 -p tcp --dport 22 -j ACCEPT
     iptables -I OUTPUT -s 172.16.100.9 -p tcp -sport 22 -j ACCEPT
显式扩展: 必须使用-m选项指定使用的扩展;

目标:

   -j TARGET:jump至指定的TARGET
            ACCEPT: 接受
            DROP: 丢弃
            REJECT: 拒绝
            RETURN: 返回调用链
            REDIRECT:端口重定向
            LOG: 记录日志
            MARK:做防火墙标记
            DNAT:目标地址转换
            SNAT:源地址转换
            MASQUERADE:地址伪装
            ...
            自定义链:由自定义链上的规则进行匹配检查

使用iptables的一些技巧

  • 不加表的话默认为filter
  • -A,-I,-D,-R后面是更改那条链的规则INPUT,FORWARD,OUTPUT
  • *
love_in_code
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
alpine-router:使用iptables和dnsmasq的基于linux的高山路由器
02-06
**iptables 知识点:** iptables 是 Linux 内核中的一种用户空间实用程序,用于控制网络包过滤、NAT(网络地址转换)和报文 mangling。它是 Linux 防火墙系统的核心,允许管理员定义规则集来决定哪些数据包可以通过...
iptables自定义设置
05-22
### iptables自定义设置知识点详解 #### 一、iptables简介 `iptables`是Linux系统下常用的网络管理工具之一,主要用于实现包过滤、网络地址转换(NAT)等功能。通过配置iptables规则,我们可以对进出系统的数据包...
Linux防火墙iptables(二)
tianchaoshangguo的博客
08-10 525
Linux防火墙iptables(二) 上一篇文章我们说了一些iptables/netfilter的基础知识,本文我们来介绍一下iptables的规则编写。Iptables的规则可以概括的分为两个方面:1、报文的匹配条件;2、匹配到后的处理动作。其中匹配条件分为基本匹配条件和扩展匹配条件,处理动作分为内建处理机制和自定义处理机制。这里需要注意的一点是,自定义处理机制(自定义链)不在内核中所以报文...
第十五章 iptables
weixin_33859504的博客
06-08 92
15.1 iptables简介 iptables是与最新的3.5版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内...
iptables 学习总结
weixin_34122604的博客
06-24 130
iptables学习总结(一)1、显示当前iptables状态(-n表示以数字形式显示IP地址和端口,默认会自动对ip地址进行解析为机器名或网络名,这需要花费不少时间,若不使用-n选项,则iptables -L常会出现停顿现象) #iptables -L -n 当然,也可以直接使用 #iptables-save 命令,也将显示目前正在使用...
iptables--知识总结2
修行之路
06-27 363
iptables的显示扩展1.multiport扩展以离散方式定义多端口匹配;最多指定15个端口; [!] --source-ports,--sports port[,port|,port:port]...:指明多个源端口; [!] --destination-ports,--dports port[,port|,port:port]...:指明多个离散的目标端口; [!] -
iptables-1 基础知识详解
qq_35904467的博客
08-27 177
一 什么是iptables? iptables其实是一个命令行工具,位于用户空间,我们可以把它理解成一个客户端代理,用户通过iptables这个代理,将用户的安全设定执行到对应的”安全框架”中,这个”安全框架”才是真正的防火墙,这个框架的名字叫netfilter。 netfilter是Linux操作系统核心层的一个数据包处理模块,位于内核空间。工作在OSI七层网络参考模型的第三层,网络层。 二 iptables能做什么? 网络地址转换(Network Address Translate)。 修改数据包
iptables--知识总结3(NAT)
修行之路
06-27 575
nat: SNAT:只修改请求报文的源地址 DNAT:只修改请求报文的目的地址 源地址转换:iptables -t nat -A POSTROUTING -s 172.16.100.21 ! -d 172.16.100.0 -j SNAT –to-source 192.168.200.1目的地址转换:iptables -t nat -A PREROUTING -s 172.16.100.21 ! -
iptables知识总结
清风徐来,水波不兴
05-23 536
:INPUT ACCEPT [0:0] # 该规则表示INPUT表默认策略是ACCEPT :FORWARD ACCEPT [0:0] # 该规则表示FORWARD表默认策略是ACCEPT :OUTPUT ACCEPT [0:0] # 该规则表示OUTPUT表默认策略是ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -
网络安全最新iptables深度总结--基础篇_iptables input output forward(1)
最新发布
2401_84297899的博客
05-04 576
看看iptables来自于那个包。
iptables配置的相关知识
qiuweifan的博客
01-05 1630
iptables配置的相关知识点,包括-A和-I的区别,sport和dport的区别,端口转发的正确配置
openssh-server-9.4
10-08
sudo yum install openssh-server-9.4p1-1.el7.x86_64.rpm ``` 安装完成后,需要启动并设置开机启动ssh服务: ```bash sudo systemctl start sshd sudo systemctl enable sshd ``` 接着,配置`/etc/ssh/sshd_...
Linux基础课件-iptables安装与启动.pptx
11-02
本文主要讲解了Linux操作系统中的iptables安装、启动、停止以及配置保存的相关知识iptables是一款在Linux系统中用于实现包过滤和网络地址转换的工具,它允许用户定义一系列规则来控制网络流量。 首先,我们需要...
iptables学习笔记.pdf
10-08
### iptables学习笔记知识点概述 ...以上是对iptables学习笔记中提到的关键概念和流程的详细总结。这些知识点是理解并有效配置iptables的基础,能够帮助用户更好地控制网络流量、实现网络安全策略。
openssl详解
热门推荐
修行之路
02-26 1万+
OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用.  SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端
IP数据包传输的完整过程
修行之路
11-10 1万+
主机A与主机B通信,A Ping B,图1:A-交换机-B,AB同一子网 (1)ping数据包用的是ICMP协议,IP协议的一个子协议,位于三层,包含A的IP,B的IP,三层进行IP封装成包,进入二层(2)A,B处于相同子网,查看缓存中对与目的对应得B第2层mac地址,如果存在,直接进行第2层封装成帧,经物理层信号编码,以0101010010这样的bits流传输在网络介质上。(3)如果不存
iptables 实现主机防火墙(四表五链)
修行之路
09-23 1万+
一. 综述iptablesiptables 实际上就是一种包过滤型防火墙。就是通过书写一些接受哪些包,拒绝哪些包的规则,实现数据包的过滤。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。 iptables由两部分组成: 1.framework:netfilter hooks function钩子
路由的几个基本概念-直连路由/网关路由/主机路由/网络路由/动态路由/静态路由/默认路由
修行之路
05-08 9613
1.动态路由/静态路由 动态路由 路由选择器自动共享路由信息 自动构造路由表,需要一个路由协议,如RIP或OSPF 静态路由 路由选择器不共享路由信息(单方向路由) 手工构造路由表 2.直连路由/网关路由(间接路由) 其区别在于,发往直连路由的设备中不但具有指明目的端的I P地址,还具有其mac地址。 当报文被发往一个间接路由时,I P地址指明的是最终的目的地,但是mac地址
iptables入门指南:快速掌握iptables命令与用法
同时,理解iptables与ipchains的区别,了解如何观察和调整当前的规则配置,以及如何处理ICMP消息类型,都是成为一名iptables用户必备的知识。通过实践操作和案例分析,你可以更快地上手并熟练掌握iptables的使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值