iptables之四表五链

最新推荐文章于 2024-09-27 21:36:17 发布
最新推荐文章于 2024-09-27 21:36:17 发布
阅读量797 收藏 8
点赞数 1
分类专栏: linux 网络通信 文章标签: iptables 四表五链

 

iptables可谓是SA的看家本领,需要着重掌握。随着云计算的发展和普及,很多云厂商都提供类似安全组产品来修改机器防火墙。

 

iptables概念

iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。

 

iptables具体是如何去过滤各种规则的呢?请看下面的四表五链

四表五链概念

  • filter表——过滤数据包
  • Nat表——用于网络地址转换(IP、端口)
  • Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
  • Raw表——决定数据包是否被状态跟踪机制处理
  • INPUT链——进来的数据包应用此规则链中的策略
  • OUTPUT链——外出的数据包应用此规则链中的策略
  • FORWARD链——转发数据包时应用此规则链中的策略
  • PREROUTING链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
  • POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

 

 

再来一张十分形象的netfilter图:

 

 

上图十分清晰的表明数据包的流向。由于四表中我们常用的就只有filter和nat,所以再来一张鸟哥版精简图:

默认4种规则表
raw表:是自1.2.9以后版本的iptables新增的表,debug测试,确认是否对该数据包进行状态跟踪,对应的内核模块为iptable_raw,包含两个链:PREROUTING - OUTPUT

mangle表:主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time ToLive,生存周期)值以及为数据包设置Mark标记,以实现Qos (Quality of Service,服务质量)调整以及策略路由等应用,由于需要相应的路由设备支持,因此应用并不广泛。对应的内核模块为iptable_mangle,包含五个链:

nat表:(Network Address Translation,网络地址转换)主要用于修改数据包的IP地址、端口号等信息。修改数据包中源地址和目标ip地址或端口,这是我们要学的重点,内核模块为iptable_nat,在nat表中定义的有PREROUTING - POSTROUTING - OUTPUT三个规则链.

filer表:对数据包进行过滤,准许什么数据包通过,不许什么数据包通过.并且这个规则表也是默认的.这也是重点,对应的内核模块为iptable_ filter,在filter中 有INPUT - FORWARD - OUTPUT三个规则链.

linranguo
关注
专栏目录
iptables 四表五链
weixin_34417814的博客
09-26 606
一、什么是iptables   iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作   Netfilter模块:   它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个...
iptables四表五链讲解
weixin_46315488的博客
03-06 734
防火墙是按照规则办事的,我们就来说说规则(rules),规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如:TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则
Iptables之四表五链
Jack_chao_的博客
07-20 1687
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的四表五链正常的访问流程
Linux防火墙-4表5链
最新发布
09-27 564
NAT (Network Address Translation) 表在 iptables 中用于实现网络地址转换的功能。nat表主要是snat用于内网共享上网,dnat主要用于映射内网地址到外网。
iptables四表五链
weixin_33700350的博客
11-24 176
iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。 iptables包含4个表,5个链。其中表是按照对数据包的操作区分的,链是按照不同的Hook点来区分的,表和链实际上是netfilter的两个维度。 4个表:filter,nat,ma...
iptables4表5链
精诚所至
02-25 378
iptables四个表五条链 其实关于iptables的使用网上的资料和教程也比较多,主要是要理解其中的路由前和路由后每个表和链所处的位置和作用,明白了也就简单了,以下是我转载的觉得写的比较详细的一篇博客,有时间我将写一篇关于这些表和链的实质性的配置例子。 一、netfilter和iptables说明: 1、 netfilter/iptables IP 信息包...
iptables四表五链与NAT工作原理
tinychen
02-25 2505
本文主要介绍了iptables的基本工作原理和四表五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
防火墙iptables五链四表
weixin_46528626的博客
04-23 6660
什么是防火墙? 在计算机中,防火墙是基于安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点; **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当然硬件防火墙也
Linux防火墙——iptables(四表五链)
qq_44870887的博客
08-05 3174
一.iptables概述 • Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 1、netfilter/iptables关系 netfilter: • 属于“内核态”(KernelSpace,又称为内核空间) 的防火墙功能体系 • 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: • 属于“用户
iptables的概述——四表五链、使用方法、规则
ItookapillinNJ的博客
04-01 1826
概述 Linux 系统的防火墙——netfilter/iptables :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 与netfilter的关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又
iptables防火墙(四表五链
m0_74848517的博客
02-05 1366
mangle表 =>PREROUTING链 POSTROUTING链 INPUT链 OUTPUT链 FORWARD链。转发:PREROUTING===>FORWARD===>POSTROUTING。IP范围匹配:-m iprange --src-range IP范围。多端口匹配:-m multiport --sports 源端口列表。MAC地址匹配:-m mac --mac-source MAC地址。状态匹配:-m state --state 连接状态。
iptables四表五链
m0_57730097的博客
12-06 756
五个链:INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING filter是默认表,过滤规则表,根据预定义的规则过滤符合条件的数据,真正负责主机防火墙功能,这个表定义了三个链。 INPUT:负责过滤所有目标是本机地址的数据包,通俗来说就是过滤进入主机的数据包 OUTPUT:处理所有源地址是本机地址的数据包 FORWARD:负责转发流经主机的数据包。起到转发的作用,和NAT关系很大。 NAT表负责网络地址转换,即来源与目的的IP地址和port的转换。和主机本身无关,一般.
iptables——四表五链
guanghui92luo的专栏
12-21 1239
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
iptable四表五链
01-15 209
链(内置):   PREROUTING:对数据包作路由选择前应用此链中的规则;   INPUT:进来的数据包应用此规则链中的策略;   FORWARD:转发数据包时应用此规则链中的策略;   OUTPUT:外出的数据包应用此规则链中的策略;   POSTROUTING:对数据包作路由选择后应用此链中的规则; 流入:PREROUTING --> INPUT; 流出:OU...
防火墙四表五链
abc13245821907的博客
10-06 320
防火墙:安全技术:1、入侵检测机制:特点是阻断,量化,定位来自内外的网络的威胁情况。提供报警和事后监督。类似于监控。2、入侵防御:以透明模式工作,分析数据包的内容,对一切进入本机的内容进行防护,对木马,蠕虫,系统漏洞进行分析判断,然后进行阻断。主动的防护机制。部署在整个架构,或者是集群的入口处。(必经之路。3、防火墙:隔离功能,工作在网络或者主机的边缘。对网络或者主机进出的数据包按照一定规则进行检查。(网络层转发的数据包)在工作当中,一般对防火墙的设置都是白名单,拒绝所有,允许个别。
iptables四个表五条链
热门推荐
那时风起
11-06 3万+
iptables四个表五条链     其实关于iptables的使用网上的资料和教程也比较多,主要是要理解其中的路由前和路由后每个表和链所处的位置和作用,明白了也就简单了,以下是我转载的觉得写的比较详细的一篇博客,有时间我将写一篇关于这些表和链的实质性的配置例子。 一、netfilter和iptables说明:     1、   netfilter/iptables IP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值