Linux-ebtables-以太网网桥防火墙

最新推荐文章于 2024-04-12 01:31:48 发布
最新推荐文章于 2024-04-12 01:31:48 发布
阅读量6.4k 收藏 28
点赞数 1
分类专栏: 系统运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40342459/article/details/102288556
版权

  ebtables  和 iptables 一样,主要是做数据包过滤的配置工具,  ebtables  主要工作在数据链路层, iptables主要工作IP层和第四层应用层,他们主要做配置工具,底层的数据包过滤机制还是在 netfilter  核心工作组

   和iptables  一样,  ebtables 也有表,链和动作的概念

   ebtables 有三张表,五条链和四个动作,支持自定义链,(需要 -j  链表名跳转到具体的链路)

三张表:  filter:     默认过滤表,一些常规的数据包过滤配置,包含INPUT,OUTPUT, FORWARD

                nat:       进行nat 变换的表,更改源,目的的mac地址,  PREROUTING(用来做snat),POSTROUTING(用来做dnat) ,OUTPUT

                broute:  对网桥过滤表的标记,只有一个链表 BROUTING.

   

链的过滤时机:

  • prerouting:数据进来还未查询路由表之前的规则。
  • input:由外部发往用户空间内部的规则。(
    说直白点就是负责过滤目标地址是本机的数据包)
  • forward:不进入用户空间,进行路由转发的规则。(负责转发流经主机但不进入本机的数据包)
  • postrouting:查询完路由表后,将要转发的规则。
  • output:由用户空间内部发往外部的规则。(负责处理本机发出的数据包)

过滤的动作:

  1. ACCEPT:意味着让一个帧通过
  2. DROP:意味着帧已经被dropped。注意:在BROUTING chain中,1、2有特殊的意思
  3. CONTINUE:意味着下一个规则(rule)将被检查
  4. RETURN:意味着停止遍历此链,并在前一个调用链的下一条规则中恢复。其实就是退出,和代码中的
    continue差不多,这里就是退出在此链继续遍历,直接进行后续操作     (详见下文使用场景中的ruturn使用)

 常用命令:

Ebtables使用规则如下:
ebtables [-t table] -[ADI] chain rule-specification [match-extensions] [watcher-extensions]
-t table :一般为FORWARD链。
-ADI:A添加到现有链的末尾;D删除规则链(必须指明规则链号);I插入新的规则链(必须指明规则链号)。
-P:规则表的默认规则的设置。可以DROP,ACCEPT,RETURN。
-F:对所有的规则表的规则链清空。
-L:指明规则表。可加参数,--Lc,--Ln
-p:指明使用的协议类型,ipv4,arp等可选(使用时必选)详情见/etc/ethertypes
--ip-proto:IP包的类型,1为ICMP包,6为TCP包,17为UDP包,在/etc/protocols下有详细说明
--ip-src:IP包的源地址
--ip-dst:IP包的目的地址
--ip-sport:IP包的源端口
--ip-dport:IP包的目的端口
-i:指明从那片网卡进入
-o:指明从那片网卡出去

Ebtables基本命令
有了上面的简单介绍,再熟悉一些基本命令就可以使用了。
1. 列表:
ebtables -L
ebtables -L –Lc , 查看各rule的匹配次数以及字节数
2. 新建/删除链
ebtables -N 
ebtables -X 
3. 新建规则
ebtables -A  [ rules ]
[rules]有几种
-s 源MAC -d 目标MAC -i 入接口 -o 出接口

 

高级功能

把内核初始化的表的原始数据复制到指定的文件,可用于包过滤分析

--init-table     

--atomic-init

--atomic-save

--atomic-commit

 

SNAP协议802.3的 DSAP 和SSAP 属性的匹配

--802_3-sap

--802_3-type

 

among   将arp与mac地址进行匹配

--among-dst [!] list

--among-src [!] list

--among-dst-file [!] file

--among-src-file [!] file

 

arp

--arp-opcode [!] opcode

--arp-htype [!] hardware type

--arp-ptype [!] protocol type

--arp-ip-src [!] address[/mask]

--arp-ip-dst [!] address[/mask]

--arp-mac-src [!] address[/mask]

--arp-mac-dst [!] address[/mask]

--arp-gratuitous

 

使用限制

limit      包转发速率

--limit       

--limit-burst      包突发速率

 

标记

--mark

 

pkttype

--pkttype-type    数据包可以是 broadcast , multicast, host, otherhost

 

stp

--stp-type   bgpu  报文类型     0-255       配置bpdu=0,  tc BPDU=128

--stp-flags   拓扑变化的标志     tc=1   tca=128

--stp-root-prio    根优先级

--stp-root-addr   根mac 地址

--stp-root-cos

最低0.47元/天 解锁文章
天上掉下个猪八戒
关注
专栏目录
Linux系统中使用ebtables技术
zwenqian0602的博客
01-12 921
Linux系统中使用ebtables技术
如何管理linux设备上的bridge(网桥)和docker bridge
My urban life
06-17 1750
什么是bridge(网桥)? bridge是一种技术,可以把一个linux设备上的两块网卡桥接在一起,如何对外表现为一个大的网卡接口,这样做有很多用途 比如你有两台设备,但是又没有路由器,那么把他们桥接在一起,可以共享其中一台的网络,这样两台都可以上网,这两台设备也可以是vm,不一定是物理设备 还有一种用途,就是监控两个设备的网络流量,比如用wireshark来监控他们间的流量 总的来讲,桥接就是将一台计算机插入到已经与较大网络(例如Internet)建立连接的另一台计算机上,然后让这台桥接上去的计算机可以
ebtales 讲解
paoyingdapan的博客
04-26 993
最近学习了linux下的ebtales和高级路由策略的使用,今天先讲ebtale的使用一、基本概念表:nat filter broute,其中nat是默认表链: PREROUTE INPUT FORWARD OUTPUT POSTROUTE规则:匹配条件+动作二、配置命令ebtables -t :指明是什么表              -D:删除一条规则              -A: 添加一条...
Linux Bridge的IP NAT细节探析-填补又一坑的过程
热门推荐
Netfilter
03-23 1万+
前序近日温州皮鞋厂老板正在忙着学习Linux Bridge以及诸多虚拟网卡相关的东西,老湿给了一些指导,但最根本的还要靠温州老板自己。就好像有仙灵在聆听心声,我正因为温州老板的缘故一而再再而三地怀念曾经玩转Linux Bridge,Linux Netfilter的那段痛并快乐着的时光,另外一个好玩的东西恰在此时切入。        大概有三年多没有玩Linux Bridge了,甚是想念。感谢同事给
ebtables之BROUTING和PREROUTING的redirect的区别
系统运维
02-17 578
ebtables和iptables实用工具都使用了Netfilter框架,这是它们一致的一方面,然而对于这两者还真有一些需要联动的地方。很多人不明白ebtales的broute表的redirect和nat表PREROUTING的redirect的区别,其实只要记住两点即可,那就是对于相同点,它们都将数据包导向了本地的IP层;对于不同点,broute表的redirect将数据包的接收设备设置成了实际...
Linux网桥防火墙的构建与实现
babyfans的专栏
01-24 1249
1       文档说明 1.1    写作目的 本文档为该子系统设计与实现人员提供参考。 1.2    写作背景 本文简单介绍在Linux下如何构建和实现网桥防火墙,以及如何扩展该网桥防火墙。 构建企业网关的一个重要前提是在企业网关上实现一个防火墙。该防火墙除了对进出包进行包过滤外,还应能够选择性地将特定的包投递给特定的目的主机(保持企业的网络架构不变)。这就要求该防火墙还具
ebtables基本使用
anqing6281的博客
07-24 437
ebtables基本使用 ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具。既然称之为配置工具,就是说过滤功能是由内核底层提供支持的,这两个工具只是负责制定过滤的rules. 这里主要介绍ebtables,iptables类...
Linux以太网防火墙的配置 Ebtables
aaaaatiger--寻路
03-28 2697
 The ebtables utility enables basic Ethernet frame filtering on a Linux bridge, logging, MAC NAT and brouting. It only provides basic IP filtering, the full-fledged IP filtering on a Linux bri
[linux] ebtables技术
l00102795的博客
07-12 747
Linux系统中使用ebtables技术ebtables就是以太网防火墙以太网桥工作在数据链路层(MAC层),ebtables主要过滤数据链路层数据包,ebtables能过滤桥接流量。ebtables每个阶段的过滤时机都比iptables早。ebtables的配置分为表、链和规则三级。表:内置固定的,共三种:filter,nat,broute,用-t选项指定。filter最常用,不设置-t默认就是这个表。
理论操作:Linux防火墙firewalld安全设置--------------------------------------以后会不会出防水墙??
Hero
11-02 1788
Linux防火墙firewalld安全设置前言一:rewalld防火墙基础1.1:Firewalld概述1.2:Firewalld和iptables的关系1.3:Firewalld和iptables的区别1.4:Firewalld网络区域1.5:Firewalld数据处理流程1.6:区域的分类1.7:Firewalld防火墙的配置方法1.8:图形化工具跟命令行工具二:Firewalld防火墙命令2.1firewalld防火墙维护命令2.11:防火墙进程操作2.12:启动、停止、查看 firewalld 服务
ebtables.docx
01-06
ebtables: 基本过滤配置 将IP地址与MAC地址关联(反欺骗规则) MAC NAT 仅转发特定MAC地址的IPv4 做一个brouter 重定向目标 以原子方式加载或更新表 在没有奴役桥梁的接口上使用ebtables进行过滤 加快流向桥梁本身的流量 使用标记匹配和目标 使用arpreply进行arp请求并让arp请求填充arp缓存 将目标IP和MAC地址更改为相应的广播地址 将数据包复制到用户空间 启用对同时运行ebtables工具的支持。 关闭具有多个网络的IP安全漏洞。
浅析ebtables的概念和一些基本应用
weixin_30662109的博客
08-28 786
一、ebtables 是什么?   ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具。 为什么叫配置工具呢?   是因为他们只制定规则,具体的实施者是内核!也就是说过滤功能是由内核底层提供支持的,这两个工具只是负责制定过滤的rules。 二、ebtables 的用途?  ebtables就是以太网防火墙以太网桥工作在数据链路层,ebtables主要...
EBTABLES手册
eydwyz的专栏
08-30 1830
EBTABLES Section: Maintenance Commands (8) Updated: July 2011 Index Return to Main Contents   NAME ebtables (v2.0.10-1) - Ethernet bridge frame table administration   SYNOPSIS ebtables [-t
ebtables的使用
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
12-06 1万+
http://blog.163.com/dyc_888@126/blog/static/10044335120111255249503/ http://blog.chinaunix.net/uid-10694051-id-2935976.html 一:ebtables简介 ebtables和iptables类似,都是Linux系统下网络数据包过滤的配置工具。既然称之为配置工具,就是说过滤功能
ebtables
小楼一夜听春雨
06-03 2995
SYNOPSIS ebtables [-t table ] -[ACDI] chain rule specification [match extensions] [watcher extensions] target ebtables [-t table ] -P chain ACCEPT | DROP | RETURN ebtables [-t table ] -F [chain] ebtables [-t table ] -Z [chain] ebtables [-t table ] -L [-Z]
ebtables hook
weixin_30877755的博客
11-08 216
1概述 netfliter框架不仅仅在ipv4中有应用,bridge,ipv4,ipv6,decnet这四种协议中都有应用,其中ipv4中又分开了arp和ip的两种 其实netfliter是个大的框架,在ipv4中对应的应用层工具是iptables,在bridge中对应的应用层工具是ebtables,在arp中对应的应用层工具是arptables iptables中有raw,filte...
iptables/ebtables学习笔记
最新发布
CrystalGabrielle的博客
04-12 1362
iptables/ebtables学习笔记
ebtables学习
qq_44984584的博客
05-18 1402
eg: ebtables -D INPUT 1:2 (将filter表中INPUT链的第1到第2条规则删除掉)I插入新的规则链(必须指明规则链号)。(1)BROUTING: 此处的target (DROP /ACCEPT)有不同的含义。–ip-proto:IP包类型,1为ICMP包,6为TCP包,17为UDP包。(4)RETURN: 停止当前链的过滤规则,进而去走前面链的下一条规则。创建新的链路,默认的位ACCEPT,可以通过命令-P来进行更改。(3)CONTINUE:让帧继续走下面的规则(rule)
linux透明防火墙(网桥模式)
weixin_33804582的博客
12-06 996
一、网络结构在现有网络中增加防火墙,主要作用为控制内部上网等等。要求可以灵活控制,包括时间段不同控制,流量限制等。现有网络拓扑图: 由于安装防火墙时要求不需要修改内网服务器和PC机配置,所以采用透明防火墙网桥模式)。修改后拓扑图: 防火墙需要三块网卡,其中两块网卡做网桥,一块网卡配置ip做为管理用网卡。内部网络要访问不同网段,数据包需要路由转换,这时...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值