linux防火墙简介,Linux防火墙简介及iptables的基本使用

于 2021-05-12 17:09:57 发布
阅读量60 收藏
点赞数
文章标签: linux防火墙简介

一、防火墙基础知识

iptables/netfilter:网络防火墙,连接追踪(状态检测)

netfilter:工作内核中,让规则能够生效的网络框架(framework)

iptables:防火墙规则编写工具,工作与用户空间,编写规则并且发送到netfilter

所有的规则都在hook_function的函数中

PREROUTING:mangle、nat

INPUT:filter、mangle

OUTPUT:filter、nat、mangle

FORWARD:filter、mangle

POSTROUTING:mangle、nat

过滤:筛选

NAT:Network Address Translation(地址转换)

DNAT(目标地址转换)

SNAT(原地址转换)

mangle

raw

四表:filter、nat、mangle、raw

五链:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

表和链的对应关系:

filter:INPUT、FORWARD、OUTPUT

nat:PREROUTING、OUTPUT、POSTROUTING

mangle:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

规则:检查条件,处理机制

防火墙的策略:通(默认为堵,只对能识别的进行放行)

堵(默认为通,只对能识别的进行阻截)

检查条件:

IP:SIP,DIP

TCP:SPORT,DPORT,Flags(ACK,SYN,FIN,RST,PSH,URG)

UDP:SPORT,DPORT

ICMP:ICMP-TYPE

扩展机制:

time,string,state(connection-tracking)连接追踪

处理机制

DROP,REJECT,ACCEPT,SNAT,DNAT,RETURN,FORWARD,REDIRECT(端口转发),LOG

二、iptables工具使用说明

iptables [-t table] -N chain

创建一条自定义的规则链

iptables [-t table] -X [chain]

删除一条自定义的空规则链,如果不为空可以先用-F清空再删除

iptables [-t table] -E old-chain-name new-chain-name

修改自定义规则链的名称

iptables [-t table] -P chain target

为链指定默认策略,指定默认规则

iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

-F:清空链中的规则

规则有编号,在链中自上而下,从1开始;

-L:list,列出表中的所有规则;

-n:数字格式显示IP和Port

-v:显示详细信息

pkts bytes target prot opt in out source destination

pkts:packets,被本规则所匹配到的报文的个数

bytes:被本规则所匹配到的所有报文的大小之和,单位字节

target:目标,即处理机制

prot:协议,一般为{TCP|UDP|ICMP}

opt:可选项

in:数据包的流入接口

out:数据包的流出接口

source:源地址

destination:目标地址

-vv:显示更详细信息

-vvv:显示更更详细信息

-x:exactly:精确值,不执行单位换算

--line-numbers:显示个规则的行号

-Z:zero,清零

iptables [-t table] {-A|-D} chain rule-specification

-A:append,附加一条规则

rule-specification

匹配条件 -j 处理机制

匹配条件:

通用匹配:

-s|--src|--source: 匹配原地址,可以IP,也可以网络地址;可以使用!取反, ! 192.168.1.0/24

-d|--dst|--destination:匹配目标地址,可以IP,也可以网络地址;可以使用!取反, ! 192.168.1.0/24

-p:匹配协议,通常只是用{TCP|UDP|ICMP}三者之一

-i:数据报文流入的接口,通常只用于INPUT,FORWARD和 PREROUTING

-o:数据报文流出的接口,通常只用于OUTPUT,FORWARD和POSTROUTING

删除规则:

iptables [-t table] -D chain rulenum

插入规则:

iptables [-t table] -I chain [rulenum] rule-specification

替换指定规则:

iptables [-t table] -R chain rulenum rule-specification

只显示指定链上的规则添加命令:

iptables [-t table] -S [chain [rulenum]]

保存规则:

service iptables save

规则会被保存至/etc/sysconfig/iptables文件中

start时也会读取此文件中的内容以设置规则

保存规则

# iptables-save > /path/to/some_rulefile

重新生效规则

# iptables-restore < /path/to/some_rulefile

来源:https://www.cnblogs.com/fansik/p/5955392.html

黑雾思索者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux主机防火墙构建iptables使用
weixin_43834422的博客
09-14 1048
2.1.1.选题说明 本课设主要使用 Linuxiptables 软件完成两类主机防火墙的设计和实现工作,包括了iptables包过滤,iptables状态检测,iptables NAT转换。 2.1.2系统功能 (1) 使用 iptables 实现主机路由包过滤,实现对协议、服务端口和网络接口入、出方向的可控。 (2) 使用 iptables 实现对新建的网络会话进行状态检测,对已建的网络会话进行状态检测,设置默认策略为 DROP,添加规则开放 FTP 服务和 WWW服务,并允许远程用户上传文件至
Linux环境下iptables防火墙基本用法演示
weixin_33901641的博客
10-31 601
一、简单添加两台设备,防火墙关闭,防火墙规则很干净,网络通畅。当启用防火墙后,iptables -vnL显示出所有规则,但我们不使用默认规则,清空规则,自己定义1、iptable -t filter -A INPUT -s 192.168.239.70 -j DROP(末尾添加),设置源地址是192.168.239.70发出的请求,全丢弃,即不回应之前是通的,但设置完防火墙规...
iptables的背后
ytfy339784578的专栏
03-13 1344
每次修改iptables为子设备做转发上网都要瞎搜索很久,iptables太踏马的复杂了,这次搜索完我一定要写点东西记住哪条规则让子设备上了网。 背景: 一台独设备A,只连接B设备; 一台能上网设备B,有网卡与A连接; B设备B1网卡与A设备连接; B设备B2网卡上外网; 完毕。 目标: A设备上外网; 完毕。 实施: 1. iptables的PREROUTING确保通常(一...
(4)配置防火墙filter和nat转发(转载)
hustsselbj的专栏
05-20 3776
如果用树莓派当作路由器转发有线和无线网络,则需要对iptables进行相关配置。配置NAT转发的话,MASQUERADE一条规则是关键。 iptables共3个tables(filter nat mangle,现在貌似是4个表)5条chains(PREROUTING INPUT FORWARDING OUTPUT POSTROUTING)4个连接跟踪数据包状态(NEW INVALID EST
Linux防火墙详解(一)
weixin_34252090的博客
11-16 556
1 2 3 4 Linux防火墙详解(一) 一、Linux防火墙简介 二、iptables的表和链 三、TCP/IP和iptables 一、Linux防火墙简介1.iptables/netfilter: 防火墙:就是一个数据报文过滤工具 网络防火墙 主机防火墙 工作于...
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
LINUXIPTABLES防火墙基本使用教程
01-20
这里可以使用Linux防火墙netfilter的用户态工具 iptables有4种表:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个表可以配置多个链: * 对于filter来讲一般只能做在3个...
Linux防火墙iptables入门教程
09-15
Iptables是专为Linux操作系统打造的极其灵活的防火墙工具。对Linux极客玩家和系统管理员来说,iptables非常有用。本文将向你展示如何配置最通用的Linux防火墙
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
暂存暂存暂存暂存暂存暂存暂存暂存
07-31
暂存暂存暂存暂存暂存暂存暂存暂存
Java实现HTTP断点续传的多线程安全解决方法.zip
07-31
Java实现HTTP断点续传的多线程安全解决方法
数据库课程设计报告-宿舍信息管理系统.doc
07-31
系统要处理的对象包括宿舍楼基本信息、学生基本信息、宿舍基本信息、楼栋管理员基本信息、物品出入基本信息等五个方面,各个对象包括信息如下所示(详细的数据见于数据字典): 1.学生基本信息(Student):包括 学生编号、学生所在学院信息、学生姓名、学生性别、学生来自省份、学生出生日期、学生入学时间、学生所学专业、所在班级等方面的信息,可以方便学生信息的查询和更新; 2.宿舍楼基本信息(Dormitory):包括 宿舍楼编号、每一幢宿舍楼楼管处的电话、宿舍楼楼管员信息、宿舍楼性别分类信息等方面,这样可以方便管理者对宿舍楼的管理,提高查询效率; 3.宿舍基本信息(Room): 包括 宿舍编号、舍长信息、舍员信息、楼栋号; 4.楼栋管理员基本信息(Worker):包括 工作人员编号、工作人员姓名、工作类型、工资、性别、联系方式、工作时间等数据项,可以方便管理人员对宿舍楼道工人的任用、信息查询及更改; 6.物品出入基本信息(ArticalInOut):包括出入物品的学生信息、出入的物品信息、出入物品时的负责人信息、出入物品时间,尽量减少宿舍事故的发生,保障学生宿舍财产的安全。
Java面试经验、面试技巧、常见面试知识点整理。.zip
07-31
Java面试经验、面试技巧、常见面试知识点整理。
智能汽车轨迹跟踪多目标显式模型预测控制_赵树恩.caj
07-31
智能汽车轨迹跟踪多目标显式模型预测控制_赵树恩
基于多对象离散拓扑优化方法的车身结构平台化设计_华钧伟.caj
07-31
基于多对象离散拓扑优化方法的车身结构平台化设计_华钧伟
节能秘笈:汇编语言中的功耗管理技术全解析
07-31
汇编语言(Assembly Language)是一种低级编程语言,它用于控制计算机的中央处理器(CPU)。汇编语言与机器码非常接近,几乎是一一对应的关系,但它使用助记符(mnemonics)来代表特定的机器指令,使得程序员更容易阅读和编写。 ## 汇编语言的特点: 1. **依赖于特定的硬件架构**:不同的CPU架构(如x86、ARM、MIPS等)有自己专用的汇编语言。 2. **低级语言**:汇编语言直接操作硬件,包括内存地址、寄存器和输入/输出端口。 3. **可读性**:虽然比机器码更易于理解,但仍然需要特定的知识和技能来编写和维护。 4. **效率**:由于直接控制硬件,汇编语言编写的程序通常非常高效,执行速度快。 5. **可移植性差**:汇编语言程序通常需要针对特定的硬件或操作系统进行编写,移植到其他平台需要重写或调整。 ## 汇编语言的基本元素: - **指令**:执行特定操作的代码,如数据传输、算术运算、逻辑运算等。 - **寄存器**:CPU内部的存储位置,用于快速访问数据。 - **内存地址**:存储数据的物理位置。 - **常量和变量**:用于存储数据的值
Linux防火墙详解:iptables路径与规则配置实例
总结起来,Linux防火墙iptables提供了强大的网络访问控制能力,通过灵活的规则配置,可以有效地保护系统免受未经授权的访问,同时确保合法的网络服务得以正常运行。掌握iptables使用方法对于维护网络环境的安全至...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值