iptables学习笔记

最新推荐文章于 2023-04-21 09:05:35 发布
最新推荐文章于 2023-04-21 09:05:35 发布
阅读量253 收藏
点赞数
文章标签: 学习 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ujjhh/article/details/127358351
版权
本文详细介绍了iptables的工作流程和主要表的功能,如filter、nat、mangle和raw。通过实例展示了如何设置规则来过滤、转发和限制网络流量,如禁止特定IP访问、端口转发、限制SSH连接数等。同时,提到了时间限制访问和内容过滤等高级应用,对于网络安全管理和运维具有重要指导意义。
摘要由CSDN通过智能技术生成

iptables并不是真正的防火墙,使用iptables在netfilter上面编写的规则才是防火墙。

iptables架构

 

iptables运行流程

 

其中prerouting(路由前),forward(转发),postrouting(路由后),input,output是出于netfilter上的链。

我们在链上编写了各种规则,那么这些规则可能有相同的作用,这些相同作用的规则合并起来的这个集合就叫做表。

表名作用
filter过滤
nat网络地址转换
row拆解报文,修改,重新分装
mangle关闭nat表启动的连接追踪机制

filter表上存在的链:INOPUT,FORWARD,OUTPUT

nat表上存在的链:PREROUTING,INPUT,OUTPUT,POSTROUTING

表执行的优先级:row>mangle>nat>filter

iptables基本用法

匹配条件

处理动作

常用操作参数

 

规则匹配

 

 

常见命令

不允许192.168.129.71使用tcp协议访问本机
iptables -I INPUT -p tcp -s 192.168.129.71 --dport 80 -j REJECT
[root@gzz~199 ~]# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.129.200:8080
[root@gzz~199 ~]# iptables -t nat -A POSTROUTING -p tcp -d 192.168.129.200 --dport 8080 -j SNAT --to 192.168.129.199

1、ens33网卡入站时的icmp包不允许通过(如果你的网卡不是ens33,换成对应的网卡名称)

iptables -A INPUT -p icmp -j REJECT

2、禁止其他主机ping防火墙主机,但是允许从防火墙主机上ping其他主机

iptables -t filter -A INPUT -p icmp --icmp-type Echo-Request -j DROP

3、限制其他主机ssh登录你的主机

iptables -A INPUT -p tcp -s 192.168.129.1 --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j REJECT

4、允许部分主机ssh登录你的主机

iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.129.150-192.168.129.200 -j ACCEPT

5、对ssh登录主机的连接数做个数限制,如超过3个连接(不包括3),则拒绝连接登录

iptables -I INPUT -p tcp --dport 22 -m connlimit --connlimit-above 4 -j REJECT

6、只允许指定(网段)的主机访问本机的22端口,拒绝来自其他所有主机的流量

iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.129.190-192.168.129.200 -j ACCEPT
iptables -I INPUT -p tcp -j REJECT

7、允许外界能访问我的80端口httpd服务,其他拒绝

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT  -j REJECT

8、实现访问一个主机的80端口转发到另一个主机的8080端口

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.129.200:8080
iptables -t nat -I POSTROUTING -p tcp -d 192.168.129.200 --dport 8080 -j SNAT --to 192.168.129.199

9、要求每周的周三和周五做80端口的时间限制访问,不允许0:00-4:00的访问,这个时间我们可能在做系统运维更新,包括禁止非法IP登录(非法IP指的是除过你的主机白名单外的主机,比如你的网段是192.168.42.0/24,除过这个之外不能访问,或者使用ip范围的限制)

iptables -A INPUT -p tcp --dport 80  ! -s 192.168.129.0/24 -m time  --weekdays 3,5 --timestart 00:00:00 --timestop 04:00:00 -j REJECT

10、限制web请求如果为非法路径则禁止访问,同时网页内容包含密码信息的禁止访问(可给自己的index.html添加password:xxxx字段进行过滤这个字符串)

iptables -A OUTPUT -m string --algo kmp --string "passwd" -j REJECT
iptables -A INPUT -m string --algo kmp --string "/text.html" -j REJECT
Linux小白。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables配置——NAT地址转换
知秋一叶
11-29 6万+
iptables nat 原理 同filter一样,nat也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
iptables 学习笔记
11-22
iptables 学习笔记iptables 思维导图,有需要的拿去
iptables.md
weixin_30907935的博客
05-11 100
iptables基本概念 工作流程 1.一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转发出去。 2.如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经 过OUTPUT链,然后到达POSTROUTING链输出。 3.如果数据...
Linux网络管理—iptables命令
gaoZhuanMing的博客
09-09 414
作用:用于 IP 包的过滤和实现 NAT. 1. 和链 常用的有2个:filter 和 nat. 每张又包含多条链,每条链就是规则序列. filter 包含 INPUT,FORWARD,OUTPUT 链. nat 包含 PREROUTING,OUTPUT,POSTROUTING 链. 2. 处理流程 接收到数据包的处理过程 本机收到数据包,由 nat.PREROUTING 先进行处理; 如果数据包的目的地址是本机,则交由 filter.INPUT 进一步处理;然后将数据包交给本机上层协议栈.
iptables(一)
m0_60655253的博客
11-09 247
iptables(一) 1、本地安全防火墙 主要作用:对本地系统进行安全防护,服务器在提供服务的同时,防止其他未授权操作。 2、iptables netfilter:内核态,有linux内核提供的对数据包转发,丢弃,记录的功能。 iptables:用户态,在应用层,提供防火墙规则管理,用户可以添加,修改,删除检查规则。 iptables的结构分为45链 :处理数据包的时间或区域 链:规则链,用于保存用户设定的检测规则。 4: raw:确定是否对该数据包进行跟踪。 mang.
iptables防火墙(二)
weixin_69509991的博客
07-12 360
DANT/SNAT
iptables学习笔记.pdf
10-08
### iptables学习笔记知识点概述 #### 数据包流向顺序 数据包在通过iptables的不同链和时,遵循特定的顺序。了解这一流程对于正确配置iptables至关重要,因为它有助于理解数据包是如何被处理、过滤或修改的。 -...
Linux防火墙iptables学习笔记.pdf
11-26
Linux防火墙iptables学习笔记.pdf
iptables总结存档
u011635437的博客
06-28 914
目前我的工作已经比较少去使用linux防火墙了,机房分多区域,生产都在内网使用,庞大的系统也已经无法使用linux的防火墙来隔离机器之间的网络访问关系。iptables的结构由Tables,链Chains,规则Rules三部分组成。 首先是iptables(tables)与链(chains) iptables有Filter, NAT, Mangle, Raw四种内建: (1). Filter Filter是iptables的默认,它有如下三种内建的链(chains): OUTPUT链 : 就是处
iptables
04-26 526
主题大纲 1. 概述 2. 框架图 3. 语法 4. 实例分析 5. 网管策略 6. 使用总则、FAQ 7. 实战 1. 概述 2.4.x、2.6.x 内核 netfilter/iptables 2.1 框架图 -->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> mangle | mangle ^ mangle
iptables结构及规则
零下二度的博客
01-08 1010
目录一、iptables概述:netfilter:iptables:二、四五链四五链四:五链:三、iptables的安装与使用1、iptables防火墙的配置方法(1) 使用iptables 命令行(2)注意事项(3)常用的控制类型(4)常用的管理选项2、使用iptables添加新的规则:查看规则列:设置默认策略:删除规则:清空规则:四、规则的匹配1、通用匹配2.隐含匹配TCP标记匹配ICMP类型匹配3.显式匹配MAC地址匹配IP范围匹配状态匹配4、主机型防火墙必配 一、iptables概述: Li
Linux之iptablesNAT)讲解篇
qq_62311779的博客
06-18 4489
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNAT与MASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT: ——查看iptables配置 SNAT(源地址转换):...
centos7 iptables 端口转发 保存_iptables 概念及相关规则学习
weixin_39907939的博客
11-24 689
iptables 不是防火墙,而是一个客户端,通过执行命令将防火墙的配置放置在真正的防火墙框架中,位于用户空间,netfilter 才是真正的防火墙安全框架,位于内核空间。我们可以通过 iptables 对进入主机和从主机的 ip 以及端口进行限制,还可以进行网络转发。下面图片来源于博客 iptables详解:iptables 概念链如上图所示,”链“ 示的是数据流经过的一个一个的关卡,一共有五...
iptables防火墙
weixin_50344807的博客
11-19 319
文章目录iptables,链结构数据包过滤的匹配流程 netfilter 1.位于Linux内核中的包过滤能体系 2.称为Linux防火墙的 “内核态” iptables 1.位于/sbin/iptables,用于管理防火墙规则的工具 2.称为Linux防火墙的 “用户态” 包过滤的工作层次 主要是网络层,针对IP数据包。 体现在对包内的IP地址,端口等信息的信息的处理上。 iptables,链结构 规则 的作用:容纳各种规则链。 的划分依据:防火墙规则的作用相似。 默认包括4个规则 raw
熟练应用snat和dnat,掌握公网私网之间的连通(补充防火墙规则备份以及如何Linux抓包)
qq_45773660的博客
05-25 496
snat与dnat一、SNAT1.1 原理与应用1.2 SNAT转换前提条件1.3 开启snat1.4 转换固定的公网 IP 地址非固定的公网 IP 地址(动态)1.5 补充二、DNAT2.1 原理与应用2.2 DNAT转换前提条件2.3 开启dnat2.4 转换发布内网的Web服务发布时修改目标端口2.5 补充三、防火墙规则备份和还原3.1导出备份的规则3.2 导入规则3.3 设置自动还原规则四、抓包 一、SNAT 1.1 原理与应用 SNAT应用环境 局域网主机共享单个公网IP地址接入Intern
Linux常用命令——iptables命令
最新发布
AI的博客
04-21 1403
当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。为了让这些功能交替工作,我们制定出了“”这个定义,来定义、区分各种不同的工作功能和处理方式。策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,是Linux上常用的防火墙软件,是netfilter项目的一部分。比如,我们要过滤所有TCP连接中的字符串。
IPtables详解:
姚某人的博客
06-04 1183
IPtables:简介: iptablesIPtables:命令参数: IPtables:实例:
iptables命令详解和举例(完整版)
热门推荐
09-07 4万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables数据包处理流程与目标动作详解
"该资源是一份关于iptables学习笔记,涵盖了数据包流向、iptables的基本组成以及各种目标和跳转,旨在帮助读者理解iptables的工作原理和配置方法。" iptables是Linux操作系统中用于网络安全和流量控制的工具,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值