iptables简介

最新推荐文章于 2024-07-26 10:07:20 发布
最新推荐文章于 2024-07-26 10:07:20 发布
阅读量286 收藏
点赞数
分类专栏: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdirdo/article/details/102704500
版权

iptables简介

  • 从linux防火墙知道iptables是一个防火墙工具,通过系统调用调用hook function实现访问控制。
  • iptables 命令行工具,工作于用户空间。
  • iptables的主要功能:用来编写规则,写好的规则被送往netfilter,告诉内核如何处理数据报文。

iptables的组成

  • iptables由五个表和五个链以及一些规则组成

  • 五个表table:

    • filter:过滤规则表,根据预定义的规则过滤符合条件的数据包
    • nat:network address translation 地址转换规则表
    • mangle:修改数据标记位规则表
    • raw:关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度
    • security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现
    • 优先级由高到低的顺序为:security -->raw–>mangle–>nat–>filter
      优先级次序的意思是:如果在各个表中均定义的规则有冲突时生效的次序。

  • 五个内置链chain

    • INPUT
    • OUTPUT
    • FORWARD
    • PREROUTING
    • POSTROUTING

  • 主要介绍filter和nat表

    • :其中每个表并不是完全对应于五条链
    • 注: filter表可以默认省略不写
      ==>iptables命令默认对filter表进行规则的增删改。
查看表对应的链:


方式一:
[root@centos8-8 ~]# iptables -t filter -A  此处两下tab补全
FORWARD  INPUT    OUTPUT


方式二:查看表的规则
[root@centos8-8 ~]# iptables -vnL  -t nat
  • Netfilter表和链对应关系图示:
    <img src="4.png" width = "80%"/

IPTABLES和路由

  • 路由功能发生的时间点

    • 报文进入本机后
      • 判断目标主机是否为本机
      是:INPUT
      否:FORWARD

    • 报文离开本机之前
      • 判断由哪个接口送往下一跳

    • IPTABLES和路由图示:

    • 数据包过滤匹配流程图示:

内核中数据包的传输过程

  • 当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去

  • 如果数据包就是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTING链输出

  • 如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出

iptables规则

  • 规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规则定义的处理动作作出处理。
  • iptables规则主要包含两部分:匹配条件处理动作

    • 匹配条件:默认为与条件,同时满足
      基本匹配:IP,端口,TCP的Flags(SYN,ACK等)
      扩展匹配:通过复杂高级功能匹配

    • 处理动作:称为target,跳转目标

      • 内建处理动作:ACCEPT,DROP,REJECT,SNAT,DNAT,MASQUERADE,MARK,LOG…
      • 自定义处理动作:自定义chain,利用分类管理复杂情形
DROP:   将数据报文丢弃,通信对方不知道。
REJECT: 明确拒绝接收数据报文,通信对方知道被拒收啦。

  • 规则要添加在链上,才生效;添加在自定义上不会自动生效

  • 链chain:

    • 内置链:每个内置链对应于一个钩子函数。
    • 自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有Hook钩子调用自定义链时,才生效。

==> iptables是OSI模型下四层(物理层、数据链路层、网络层和传输层)的防火墙。

iptables添加要点

  • iptables规则添加时考量点
    • 要实现哪种功能:判断添加在哪张表上  报文流经的路径:判断添加在哪个链上  报文的流向:判断源和目的
    • 匹配规则:业务需要

iptables学习的实验环境

  • 实验环境准备:

    • Centos7/8:
      systemctl stop firewalld.service
      systemctl disable firewalld. service

    • Centos6:
      service iptables stop
      chkconfig iptables off

  • 主机可能存在虚拟网卡的情况:

    • 虚拟网卡的存在导致centos7/8上默认禁用了firewalld时,还是存在一些默认的防火墙规则
    • 卸载libvirt-daemon此包
    • 虚拟网卡与虚拟化技术相关,此处用不着,防止默认的防火墙规则影响接下来的实验换件,暂时卸掉。

  • centos7往后的版本推荐使用firewalld,iptables-server服务默认未安装。

[root@centos8-8 ~]# ip a
    ....
    3: virbr0: <NO-CARRIER,BROADCAST,MULTICAST,UP> ...
    ....
    4: virbr0-nic: <BROA...
    ....

[root@localhost ~]# dnf/yum remove libvirt-daemon
Hskds
关注
专栏目录
Iptables 简介
xftony的博客
06-05 583
Github-blog CSDN-blog docker,K8s的内部网络很多是基于Iptables实现的。这篇文章就Iptables进行简单的介绍。 简介 基本的Iptables由4张表和5条链组成。4张表分别是raw表、mangle表、nat表,以及filter表。5条链分别是PREROUTING、INPUT、FORWARDING、OUTPUT,以及POSTROUTIONG...
iptables概述
weixin_62452835的博客
01-04 587
1、iptables概述 1、linux防火墙 Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 2、netfilter和iptables (1) netfilter netfilter属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 (2)
iptables入门教程--设置静态防火墙(z)来自www.linuxsir.org 作者liweioop
bon_jovi的专栏
08-19 2008
iptables入门教程--设置静态防火墙发布时间:2005年5月30日 10时36分介绍:这篇文章是本人原创,向读者展示了如何一步一步建立静态防火墙来保护您的计算机,同时在每一步中,我力图向读者讲述清楚原理。在这篇教程之后,你将能理解到防火墙内在过滤机制,同时也能自己动手创建符合自己要求的防火墙。版权所有,转载请注明来自www.linuxsir.org 并写明作者liweioop1、iptabl
一文详解iptables基础知识
最新发布
u011029104的专栏
07-26 611
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。首先介绍iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成。如下图所示。
iptables
weixin_34019144的博客
08-29 75
iptables与Netfilter的关系 iptables很多人都熟知,相比于iptables,Netfilter知道的人就会少很多。 有些人可能也没有明白两者的区别 我们可以先看如下这样的幅图 我们可以看得到的是。iptables是位于用户空间,而Netfilter却是位于内核空间 两者的区别可以归纳于下 Netfilter是官方内核中提供对报文数据包过滤和修改的一个功能,它位于内核中的tc...
iptables的介绍
qq_50247813的博客
03-02 1190
iptables是linux防火墙工作在用户空间的管理工具,是 netfilter/iptablesIP信息包过滤系统的一部分,用来设置、维护和检查Linux内核的IP数据包过滤规则filter负责过滤数据包,包括的规则链有:input,output和forwardnat用于网络地址转换(IP、端口),包括的规则链有:prerouting,postrouting和outputmangle。
iptables介绍
生而为人我很抱歉
06-10 216
iptables 可以简单理解为 Linux 系统内核级防火墙 netfilter 的用户态客户端。 Linux 管理员通过调用 iptables 命令,配置 Linux 内核 netfilter 模块规则,对网络数据包的流动进行管理。iptables 有表 (tables) 的概念,每张表又包含不同链 (chains),大部分情况下我们仅需要使用 filter 和 nat 两张表的链就可以完成功能。 filter 表中有 3 条链: INPUT, FORWARD, OUTPUT。如果3 条链都没有任何规则
Iptables简介与示例
野先生的专栏
06-10 445
Iptables,iptables,netfilter介绍,包过滤型防火墙: Firewall,软件防火墙,主机防火墙
IPTABLES简介
06-25
iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制,iptables防火墙基于内核编码实现,具有非常稳定的性能和高效率。
Iptables简介
01-22
详细介绍Iptables,使你对Iptables更加了解。
iptables简介文档
08-20
iptables
超级详细的iptables介绍
04-27
iptables很好的详细解释,其实玩RouteOS的防火墙配置也可以参考,本文档资源来自网上,因本人阅读方便做了格式整理,现将整理后的文件共享出来,我为人人人人为我嘛
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
Linux_Netfilter_Iptables简介.pdf
10-27
Linux_Netfilter_Iptables简介.pdf
Iptables介绍
weixin_34067049的博客
10-05 131
一、防火墙分类二、Linux防火墙(Iptables)netfilter:又称“内核空间”iptables:又称“用户空间”1、Iptables默认的四张表1)filter: 用于防火墙,默认有INPUT/OUTPUT/FORWARD三条链2)nat: 网络地址转换,默认有PREROUTING/POSTROUTING/OUTPUT三条链3)...
iptables 介绍
kv110的专栏
08-20 696
iptables 介绍iptable过滤流程 命令格式 iptables [-t table] command [chain] [match][target] table filter: 默认表,处理包的过滤的表。没有-t就指filter表 nat: 处理网络地址转换的表(network address translation) mangle:可以修改包的信息,如ttl,tos raw:高
iptables简单介绍
chunlin
05-16 337
1. iptables介绍 防火墙分类: 从逻辑上分类: 主机防火墙:仅针对单个主机进行防护。 网络防火墙:处于网络入口或边缘,针对网络入口进行防护,服务于防火墙背后的本地局域网 从物理上分类: 硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软...
Linux/unix课件:iptables防火墙详解与NAT服务配置
**iptables简介** iptables是Linux系统中内置的防火墙工具,它属于netfilter框架的一部分,用于实现包过滤功能。它允许管理员定义一系列规则,对进出网络的数据包进行细致的筛选,支持状态检测和策略配置,包括允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值