[操作系统]Linux 2.4 Packet Filtering HOWTO,iptables,route,包过滤

最新推荐文章于 2023-11-11 15:43:26 发布
最新推荐文章于 2023-11-11 15:43:26 发布
阅读量292 收藏
点赞数
分类专栏: 操作系统基础 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012997470/article/details/111934906
版权

//TODO这篇有点乱,持续整理中

1.引入

举例,从内网访问外网

问题:

服务器收到的包 源ip是192.168.1.66,他不知道怎么把包返回去.

那如果每一台机器都有一个外网地址呢? 也不太现实,没有那么多外网地址.

还好有NAT,也就是network address translate.路由器可以在包发往服务器的时候,把包的源ip,从192.168.1.66-->2.22.22.12.   这样,在服务端收到包后,返回回去的时候,可以发给路由器.

同时,路由器在收到返回的包后,把目的Ip,2.22.22.12--->192.168.1.66. 如此,client收到这个请求了,而且还无感知.

可见,nat机制在苦苦支撑当今的网络

那么,nat是怎么实现的呢?

内核对网络包的处理,是使用的netfilter框架.工作在内核态.而对外暴露了一些使用接口.

iptables

组成:

filter 表:处理过滤功能,主要包含以下三个链。

  • INPUT 链:过滤所有目标地址是本机的数据包

  • FORWARD 链:过滤所有路过本机的数据包
  • OUTPUT 链:过滤所有由本机产生的数据包

nat 表:主要处理网络地址转换,可以进行 SNAT(改变源地址)、DNAT(改变目标地址),包含以下三个链。

  • PREROUTING 链:可以在数据包到达时改变目标地址
  • OUTPUT 链:可以改变本地产生的数据包的目标地址
  • POSTROUTING 链:在数据包离开时改变数据包的源地址
  • 那么一个数据包是怎么过滤的呢?网上大概流传着两个版本,主要在于 包流出的时候,是先OUTPUT-->route 还是 route-->OUTPUT. 无奈,还是看看一些译文吧..

 

router

route表

[root@localhost ~]# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

0.0.0.0 192.168.1.1 0.0.0.0 UG 100 0 0 ens33

172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0

192.168.1.0 0.0.0.0 255.255.255.0 U 100 0 0 ens33

 

 

测试

[root@localhost ~]# curl 192.168.1.12:8086/hello
^C
[root@localhost ~]# curl 192.168.1.15:8086/hello
hello, world!

增加一条规则:

OUTPUT用于修改目标地址ip

iptables -t nat -A OUTPUT -p tcp -d 192.168.1.13 --dport 8086 -j DNAT --to-destination 192.168.1.15:8086

之后测试

[root@localhost ~]# curl 192.168.1.12:8086/hello
hello, world!

 

 

 

istio中,pod在启动时,会添加2个容器,一个是sidecar容器,用于处理网络请求.  一个是pilot-agent容器.用于管理sidecar的声明周期.

还有一个Init Containers.

用于生成iptables.

//流出流量处理

iptables -t nat -N ISTIO_REDIRECT //增加ISTIO_REDIRECT链处理流出流量

iptables -t nat -A ISTIO_REDIRECT -p tcp -j REDIRECT --to-port "${PROXY_PORT}" // 重定向流量到Sidecar的端口上

iptables -t nat -N ISTIO_OUTPUT // 增加ISTIO_OUTPUT链处理流出流量

iptables -t nat -A OUTPUT -p tcp -j ISTIO_OUTPUT// 将OUTPUT链的流量重定向到ISTIO_OUTPUT链上

for uid in ${PROXY_UID}; do

iptables -t nat -A ISTIO_OUTPUT -m owner --uid-owner "${uid}" -j RETURN //Sidecar本身的流量不转发

done

for gid in ${PROXY_GID}; do

iptables -t nat -A ISTIO_OUTPUT -m owner --gid-owner "${gid}" -j RETURN //Sidecar本身的流量不转发

done

iptables -t nat -A ISTIO_OUTPUT -j ISTIO_REDIRECT //将ISTIO_OUTPUT链的流量转发到ISTIO_REDIRECT

 

//流入流量处理

iptables -t nat -N ISTIO_IN_REDIRECT //增加ISTIO_IN_REDIRECT链处理流入流量

iptables -t nat -A ISTIO_IN_REDIRECT -p tcp -j REDIRECT --to-port "${PROXY_PORT}" // 将流入流量重定向到Sidecar端口

iptables -t ${table} -N ISTIO_INBOUND //增加ISTIO_INBOUND链处理流入流量

iptables -t ${table} -A PREROUTING -p tcp -j ISTIO_INBOUND //将PREROUTING的流量重定向到ISTIO_INBOUND链

iptables -t nat -A ISTIO_INBOUND -p tcp --dport "${port}" -j ISTIO_IN_REDIRECT //将ISTIO_INBOUND链上指定目的端口的流量重定向到ISTIO_IN_REDIRECT链

 

 

 

搬砖使我快乐!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 下的 过滤器 BPF
xiahzp的专栏
11-05 5625
一, 导论     BPF(Berkeley Packet Filter)伯克利过滤器。 是在linux 平台下的一个过滤器。使用此过滤器可以在socket编程时非常方便的实现各种过滤规则。     要确保从socket中读取的是packet,也就是说是 MAC头+IP头+TCP/UDP头。     关于BPF的相关介绍可以查看英文文档:http://www.gsp.com/cgi-bi
Inside the Linux Packet Filter
perddy的专栏
12-06 1454
转自: http://www.linuxjournal.com/article/4852February 1st, 2002 by Gianluca Insolvibile in Security In Part I of this two-part series on the Linux Packet Filter, Gianluca describ
Linux 2.4 Packet Filtering HOWTO 简体中文版(1)
wayne1981的专栏
04-21 1037
Linux 2.4 Packet Filtering HOWTO 简体中文版Rusty Russell, mailing list netfilter@lists.samba.org$Revision: 1.3 $ $Date: 2002/06/05 13:21:56 $简体中文:洋鬼鬼·NetSnake感谢 网中人netmanforever@yahoo.com 提供的繁体参照此文档描述在Linu
Inside the Linux Packet Filter(REPOST)
阿强的一亩三分地,一分耕耘一分收获
01-10 1408
Feb 01, 2002  By Gianluca Insolvibile  in Security In Part I of this two-part series on the Linux Packet Filter, Gianluca describes a packet's journey through the kernel. Network g
Ping命令出现 Packet filtered
热门推荐
路过的小阳仔
01-09 1万+
在服务器上执行ping命令,想看看能不能连接外网,然后就ping了一下www.baidu.com,遇到了以下两个问题: 1. unkonw hostname… 这个问题很简单,DNS解析不正常,也就是没有设置DNS服务器地址或DNS服务器连不上。 有些童鞋可以直接ping 百度的ip地址, 1.1 如果能够ping通 则百分之百是DNS服务器的问题,则相应的解决方法就是: 注意:本解决方法中的命令...
linux packet filtering-开源
07-19
Linux Packet Filtering技术是一种核心网络功能,它允许系统管理员控制通过网络接口进出的数据。这个机制在Linux内核中实现,提供了强大的网络安全和管理能力。在本文中,我们将深入探讨开源项目"Linux Packet ...
packet-filtering-firewall-master.zip_firewall_liunx——防火墙_过滤 防火墙
09-25
应用层过滤防火墙 一个简单的应用层过滤防火墙实现 Qt/SQLite/NetFilter 编译过程可使用QtCreator编译,也可使用命令行 sudo qmake && make 来编译。 运行则执行 sudo ./firewall 即可。
浅谈嵌入式Linux操作系统 (2).pdf
09-07
【嵌入式Linux操作系统概述】 嵌入式操作系统是专为特定设备或应用设计的操作系统,它通常被集成到硬件中,以控制和管理各种嵌入式设备,如智能家居设备、工业自动化系统、医疗设备等。嵌入式系统的发展受到微处理...
基于Linux系统的网络检测与过滤的实现.pdf
09-06
标题中的“基于Linux系统的网络检测与过滤的实现”是指在Linux操作系统环境下,通过特定的技术手段设计和构建网络检测与过滤系统。这个系统旨在保护内部网络的安全,防止非法主机与内部网络进行通信,从而减少信息...
基于Linux系统的高速网络捕技术研究.pdf
09-06
【基于Linux系统的高速网络捕技术研究】 在深入探讨基于Linux系统的高速网络捕技术之前,首先要理解网络分析工具的基本组成。一个典型的网络分析工具括网络捕、协议解析、规则匹配和响应处理等模块。其中,...
linux下使用iptables和iproute2做高级路由
11-15
使用iptables配合iproute2做策略路由
eBPF(extended Berkeley Packet Filter):Linux系统最具颠覆性的“白盒测试”
少年强,六月试锋芒。小弟踉跄学朝步,百战成钢,初登场。
03-20 1968
eBPF——Linux系统地图上的“沙盒游戏”简单介绍eBPF 简单介绍eBPF eBPF is a revolutionary technology with origins in the Linux kernel that can run sandboxed programs in an operating system kernel. It is used to safely and efficiently extend the capabilities of the kernel without
绕过nftables/PacketFilter防火墙过滤规则传输ICMP/ICMPv6数据的漏洞详解(上)
systemino的博客
05-10 3825
背景知识介绍 目前的防火墙总共分四类: 过滤防火墙:过滤防火墙不检查数据区,过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。 应用网关防火墙:不检查IP、TCP标头,不建立连接状态表,网络层保护比较弱。 状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。 复合型防火墙:可以检查整个数据内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会...
iptables & route
hzpfly66的专栏
03-13 1666
iptables route
二层过滤测试
jiaoyangzheng的博客
11-28 298
条件: 1、被测网卡与对端直连并协商成功 2、网卡关闭混杂模式 用例: 1、报文过滤-通过/丢弃: 使用scapy从对端发送测试报文。 测试端: ethtool -S ethx 如果目的mac地址为测试端mac地址,rx_packets增加相应值。 如果目的mac地址非测试端mac地址,rx_packets无变化。 2、报文过滤-广播 同用例1,目的地址改为广播地址。 ethtool -S e...
详解iptables防火墙
boyuser的博客
11-16 471
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息过滤和防火墙配置。
iptables NAT PREROUTING过滤分析
jiayu的博客
02-18 1055
NAT PREROUTING测试 参考链接:https://serverfault.com/questions/1065983/iptables-prerouting-not-in-effect?rq=1 # 本机IP:192.168.0.10 # 测试一: ping -i 0.01 192.168.0.10 #通过快速ping,然后查看iptablespacket 数量就知道经过哪些过滤了 # 结果: raw表:PREROUTING OUTPUT均有数据 mangle表:PREROUTIN
Linux安全防火墙(iptables)配置策略
最新发布
qq_51545656的博客
11-11 6315
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables详解
wdt3385的专栏
12-25 4900
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
Linux系统基础:RPM管理与内核定制
Linux操作系统中,RPM(Redhat Packet Manager)是一种广泛使用的管理工具,用于安装、卸载、更新和查询软件。以下是关于RPM操作的关键知识点: 1. **安装**:使用`rpm -i`命令来安装RPM,如果希望看到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值