Iptables 表和链之间的关系【未完成】

最新推荐文章于 2023-11-19 09:00:00 发布
最新推荐文章于 2023-11-19 09:00:00 发布
阅读量214 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/lionel45/blog/417369
版权
本文详细介绍了IPtables的工作原理及其包含的四个表和五个链的功能。特别关注NAT表在网络地址转换中的作用,包括DNAT、SNAT及MASQUERADE等应用场景,并解释了Mangle表如何修改数据包。
摘要由CSDN通过智能技术生成

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

IPtables一共有4个表,5个链


(1)INPUT 链:过滤所有目标地址是本机的数据包(对进入本机数据包的过滤)

(2)OUTPUT 链:过滤所有本机产生的数据包(对源地址得数据包的过滤)

(3) FORWARD 链:过滤所有路过本机的数据包(源地址和目标地址都不是本机的数据包。


NAT表:网络地址转换(Network Address Translation

如果第一个数据包允许经行NAT或Masquerade,那么其它数据包都会被做相同的动作,也就是其他数据包不会被一个一个地NAT(属于一个流的包只会经过这个表一次)任何时候都不要在这个表任何一条链经行过滤。

NAT表的作用

(1)做DNAT:改变数据包的目的地址使包能重路由到某台机器(使公网能够访问局域网的服务器)

(2)做SNAT: 改变数据包的源地址(使局域网能访问公网)

(3)MASQUERADE:和SNAT一样使局域网能访问公网,无固定IP使用PPP.PPPoE等拨号上网接入Internet


Nat表包含3条链:

(1)PREROUTING链 :数据包到达防火墙时改变包的目的地址。

(2)OUTPUT链:改变本地产生数据包的目标地址。

(3) POSTROUTING:在数据包离开防火墙时改变数据包的源地址。



Mangle表:修改数据包,改变包头中内容(TTL, TOS,  MARK )

(1)TOS :设置改变数据包的服务类型,不要使用TOS设置发往Internet的包除非打算依赖TOS来路由,不能在表中配置任何过滤。SNAT、DNAT

(2)TTL:改变数据包的生存时间,可以让数据包只有一个特殊的TTL,欺骗ISP,有些ISP并不希望多台计算机共享一个连接访问Internet,ISP通过检查一台计算机所发出的数据包是否含有不同的TTL来判断。

(3)Mask:给数据包设置特殊的标记,通过标记配置带宽限制和基于请求分类。

 Mangle表的5条链:

(1)PREROUTING  链:数据包进入防火墙后,路由判断之前改变数据包。

(2)POSTROUTING链:数据包确定了目标地址后,即路由判断前改变数据包。

(3)OUTPUT链:在数据包被确定目的地址前改变数据包

(4)INPUT链:在数据包进入本机后,应用程序接受之前改变数据包。

(5) FORWARD链:第一次路由判断之后,最后一次路由判断前改变数据包。

转载于:https://my.oschina.net/lionel45/blog/417369

weixin_33859665
关注
iptables笔记汇总
Python Golang
08-28 1051
一旦数据包满足了指定的匹配条件,数据包就会被ACCEPT,并且不会再去匹配当前链中的其他的规则或同一个表内的其他规则,但数据仍然需要通过其他表中的链。使用ping命令来检查对方主机是否在线,而向防火墙的INPUT规则链中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。我把这种默认允许的叫做“黑名单模式”,有黑名单自然就有白名单模式,白名单模式,默认把INPUT链更改为DROP拒绝通过。向INPUT链中添加允许指定ip或者网段的22端口流量进入的策略规则。
iptables 表与链的关系
vestinfo的专栏
09-03 710
650) this.width=650;" style="border-bottom: 0px; border-left: 0px; border-top: 0px; border-right: 0px" title="image" border="0" alt="image" src="http://img1.51cto.com/attachment/201203/25/3072467_133
Iptables表和链最清晰解释
01-15
Iptables表和链最清晰解释 下文有个词mangle,我实在没想到什么合适的词来表达这个意思,只因为我的英语太差! 我只能把我理解的写出来,这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的操作是TOS、TTL、MARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。 以本地为目标(就是我们自己的机子了)的包
iptables表与链的关系
weixin_33743248的博客
05-27 178
下图展式了iptables中表与链的关系表(tables)链(chains)INPUTFORWARDOUTPUTPREROUTINGPOSTROUTINGFilter有有有无无Nat无无有有有Mangle有有有有有 转载于:https://blog.51cto.com/zhangjie/1211311...
iptables基础——链与表
meltsnow的博客
03-12 827
1.防火墙相关概念 此处先描述一些相关概念。 1)从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 2)从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 硬件防火墙:...
iptables 表链关系
weixin_33893473的博客
12-31 341
1、在生产中selinux 是关闭的。iptables 根据环境,内网关闭,外网开启。如果是大并发的情况,不开启iptables.2、/var/log/messages 出现kernel:nf_conntrack:table full,dropping packet 是因为业务访问慢造成的 优化: net.nf_conntrack_max = 250...
Linux之安全最佳做法(完成
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2339
一直跟Linux打交道,但是凡事多扰,一直专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
iptables
wangzhenyu177的博客
11-04 2002
0 目录目录 netfilter机制 1 各链的生效时机重要 2 流入报文的流程 3 转发报文的流程 4 流出报文的流程 iptables表链 1 iptables各表 2 iptables各表定义规则的链 3 各表各链规则生效的优先级 4 自定义链 iptables格式及子命令 1 子命令 11 列出各规则 常见匹配条件 1 基本匹配 2 隐式扩展匹配 21 tcp子选项 22 icmp子选项 3
架构-防火墙iptables
Struggle_Hard_Z的博客
12-25 1941
架构图详解 架构: 把一个整体(完成人类生存的所有工作)切分成不同的部分(分工),由不同角色来完成这些分工,并通过建立不同部分相互沟通的机制,使得这些部分能够有机的结合为一个整体,并完成这个整体所需要的所有活动,这就是架构 1.用户需求 用户带着域名提交访问请求 2.DNS 通过DNS解析域名找到该域名对应IP返回 3.防火墙(iptables) 也叫:包过滤防火墙 iptables内置4个表,即filter表、nat表、mangle表和raw表 每个表都会有相应的链 filter表
Iptables 防火墙实践
GwinselF
09-19 460
Iptables 防火墙实践 1.Iptables 基本介绍 1.1 防火墙的种类 从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙. 主机防火墙 : 针对于单个主机进行防护,比如 windows 网络防火墙 : 往往处于网络入口,针对于网络入口进行防护,服务于防火墙背后的服务集群 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙 硬件防火墙 : 在硬件级别实现部分防火墙功能,另一部分功能基于软件实现, 性能高. 成本高 软件防火墙 : 以软件的方式模拟防火墙功能,运行在操作系统上,性能不高,
Iptables防火墙原理
小胡子
08-13 539
一、IPTABLES概念 iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。从设备上分类,防火墙分为软件防火墙、硬件防火墙、芯片级防火墙。从技术上分类,防火墙分为数据包过滤型防火墙、应用代理型防火墙。这是因为四层模型的每一层都可以应用防火墙。 防火墙的发展史就是从墙到链再到表的过程,也即是从简单到复杂的过程。为什么规则越来越...
iptables内建各表格与链的相关性
iteye_5722的博客
11-20 129
一 iptables内建各表格与链的相关性说明图   二  iptables内建各表格与链的相关性说明 数据包进入Linux主机使用资源(路径A):在路由判断后确定是向Linux主机请求数据的数据包,主机就会通过Filter的INPUT链来进行控制。 数据包通过Linux主机的传递,没有使用主机资源,而是向后端主机流动(路径B):在路由判断之前进行数据包包头的修订后,发现数据...
iptables四个表与五个链间的处理关系
wdt3385的专栏
02-28 1032
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个
iptables 表和链的对应关系
weixin_30265171的博客
05-23 454
filter表 主要用于对数据包进行过滤,根据具体的规则决定是否放行该数据包(如DROP、ACCEPT、REJECT、LOG)。filter 表对应的内核模块为iptable_filter,包含三个规则链: INPUT链:INPUT针对那些目的地是本地的包; FORWARD链:FORWARD过滤所有不是本地产生的并且目的地不是本地(即本机只是负责转发)的包; OUTPUT链:OUTPUT是...
iptablesiptables表、链、规则 、匹配模式、扩展模块、连接追踪模块(一)
Nightwish5的博客
08-15 1561
【执行完后 ssh会掉线】【注意!time模块,可以根据时间段区匹配报文,如果报文到达的时间在指定的时间范围内,则符合匹配条件。●string模块,可以指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件。情景1示例:应用返回的报文中包含字符"video",我们就丢弃当前报文,其余正常通过。限制早上:8:00 ~ 12:00 (00:00-04:00)限制下午:14:00 ~ 18:00 (06:00-10:00)–timestart hh:mm[:ss]:开始时间。
iptables详解:链、表、表链关系、规则的基本使用
最新发布
qq_68163788的博客
11-19 1449
iptables 是一个用于配置 Linux 内核防火墙规则的工具,它允许系统管理员控制数据包的传输,从而实现网络安全和流量控制。iptables 是一个非常强大和灵活的工具,可以根据网络数据包的来源、目的、协议、端口等多种条件来进行过滤和转发,从而保护网络安全,限制网络访问和提高网络性能。 iptables 主要由三个部分组成:表(table)、链(chain)和规则(rule)。表是用来组织规则的集合,每个表包含一组链,而链则是一系列规则的集合。规则是用来定义数据包的处理方式,可以允许或者拒绝数据包的
iptables表和链分别是什么
07-27
iptables分为四个表:filter表、nat表、mangle表和raw表。 表是iptables的工作单元,每个表都包含多个链。链是规则序列,用于决定对网络包的处理方式。 filter表包含三个重要的链: 1. INPUT链:处理进入本地主机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值