你好,OpenEuler ! (十三、IPTABLES策略配置)

最新推荐文章于 2024-07-29 10:18:01 发布
最新推荐文章于 2024-07-29 10:18:01 发布
阅读量330 收藏 1
点赞数 1
文章标签: 网络 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41633010/article/details/134819566
版权

一路走来,所有遇到的人,帮助过我的、伤害过我的都是朋友,没有一个是敌人。

一、IPTABLES介绍

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。

虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它

netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态,名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。

1.1 PREROUTING

PREROUTING 链是 mangle 和 nat 表中用于修改数据包的报头信息的链。

具体来说,PREROUTING 链主要用于处理刚到达本机并在路由转发前的数据包。在该链上添加的规则可以检查数据包的目标地址、端口等信息,然后根据实际需求进行处理,例如将目标地址修改为本地 IP 地址或者其他网络设备的 IP 地址,从而实现端口映射或者 DNAT(Destination NAT)等功能。

PREROUTING 链常常用于以下场景:

  1. 端口映射:通过在 PREROUTING 链上添加规则,将数据包中的目标端口转发到本地计算机的指定端口,从而实现端口映射的功能。
  2. 源地址转换:通过在 PREROUTING 链上添加规则,将数据包中的源 IP 地址替换为其他 IP 地址,从而实现匿名访问或者欺骗攻击等功能。
  3. DNAT:通过在 PREROUTING 链上添加规则,将数据包中的目标地址替换为其他 IP 地址,从而实现 NAT 转换、负载均衡等功能。

1.2 POSTROUTING

POSTROUTING 链是 mangle、nat 和 raw 表中用于修改数据包的报头信息的链。该链主要用于处理将要离开本机的数据包,其作用是对数据包的源 IP 地址进行 NAT 转换或者修改规则的匹配等操作。

一般来说,POSTROUTING 链被用于以下场景:

  1. SNAT:通过在 POSTROUTING 链上添加规则,将数据包中的源 IP 地址替换为其他 IP 地址,从而实现 NAT 转换,将内部 IP 地址转换为公网 IP 地址,从而实现外部网络对本地设备的访问。
  2. Masquerade:Masquerade 是一种特殊的 SNAT 操作,通过将数据包源地址都修改为本机的公网 IP 地址来实现 NAT 转换,通常用于连接互联网的本地网络设备,如路由器等。
  3. 连接跟踪:POSTROUTING 链上的一些规则可以使连接跟踪模块(conntrack)记录数据包的状态信息,跟踪连接的建立、维护和释放。
  4. 防火墙策略:在 POSTROUTING 链上也可以添加防火墙策略,通过设置过滤规则来保护本机或网络设备的安全和隐私。

1.3 INPUT

INPUT 链是 filter 表中用于处理传入数据包的链。该链主要用于过滤本机接收到的数据包,控制对本机服务的访问。

具体来说,INPUT 链可以用于以下场景:

  1. 防火墙策略:通过在 INPUT 链上添加过滤规则,可以限制和过滤不符合安全规范和政策的数据包,保护本机或网络设备的安全和隐私。
  2. 服务访问控制:通过在 INPUT 链上添加规则,可以限定允许访问本地服务的来源 IP 地址和端口号,防止未经授权的访问和攻击。
  3. ICMP 控制:在 INPUT 链上也可以添加规则控制 ICMP 数据包的传入,例如允许某些 ICMP 数据包类型,禁止某些 ICMP 数据包类型,从而保护本机的网络通信稳定性。
  4. 连接跟踪:对于已经建立连接的数据包,可以使用连接跟踪模块在 INPUT 链上记录连接状态,并根据实际需求进行处理,如允许、拒绝、重定向等。

1.4 OUTPUT

OUTPUT 链是 filter 表中用于处理传出数据包的链。该链主要用于过滤本机发送的数据包,控制本机对外部服务的访问。

具体来说,OUTPUT 链可以用于以下场景:

  1. 防火墙策略:通过在 OUTPUT 链上添加过滤规则,可以限制和过滤不符合安全规范和政策的数据包,阻止本机对外部网络的不当操作和请求。
  2. 服务访问控制:通过在 OUTPUT 链上添加规则,可以限定允许本机访问的目的地 IP 地址和端口号,防止访问未经授权或不安全的服务或设备。
  3. NAT 转换:在 OUTPUT 链上也可以添加规则实现 SNAT 转换,将本机的内网 IP 地址转换为公网 IP 地址,从而实现外部网络对本机的访问。
  4. 连接跟踪:对于已经建立连接的
最低0.47元/天 解锁文章
努力的兜
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
国产openeuler22.03容器环境下/etc/sysconfig/iptables保存的防火墙策略在服务器重启后不生效的问题分析和解决
forestqq的博客
06-09 2524
在运行容器前测试过 /etc/sysconfig/iptables配置在重启后是生效的,同时重启后iptables服务运行正常,排除iptables服务的问题。怀疑是docker服务在iptables服务后启动,重置了iptables的“Chain DOCKER"链数据。对主机进行重启,重启后发现配置策略还在,但运行的策略没有限制的两条,所有主机又都可访问了。因此可以确定,问题原因就是docker服务在iptables服务后启动,重置了iptables的“Chain DOCKER"链数据。
iptables(2)安装及规则查询
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-20 1153
iptables为我们预定义了4张表,它们分别是raw表、mangle表、nat表、filter表,不同的表拥有不同的功能,iptalbes基本语法、查询方式。
最全面最详细open***服务搭建含iptables配置(五)
weixin_34232617的博客
12-08 231
(一) 搭建Radius 服务器 这里使用的是 windows 2003 的IAS 1. 安装 IAS 2. 配置 IAS A.新建 RADOUS 客户端 名称随便填,客户端的地址就是open***服务器地址 B 新建远程访问策略 授予 TelnetClients 组远程访问权限 重要:点击-〉编辑配置文件 ...
openeuler 添加路由
最新发布
smucff的博客
07-29 514
etc/rc.local为/etc/rc.d/rc.local的软链接文件,/etc/rc.d/rc.local文件默认没有执行权限,所以/etc/rc.local 不再自动开机执行。/etc/rc.d/rc.local开机启动脚本由rc-local服务引导执行,配置修改在network-online.target后启动该服务,network.target并不能保证网络服务已经启动,并通过Requires指定本unit与其它unit之间存在强依赖关系。通常,它表示某种已配置的、可路由的IP地址。
iptables】规则查询
m0_56573171的博客
12-27 2977
当需要禁止某个IP地址访问我们主机时,则需要在INPUT链上定义规则,因为报文发往本机时,会经过PREROUTING链与INPUT链,所以如果我们想禁止某些报文发往主机,只能在PREROUTING链与INPUT链中定义规则,但是PREROUTING链并不存在与filter表中,换句话说,PREROUTING关卡天生就没有过滤能力,所以只能在INPUT链中定义。target 表示规则对应的target,往往表示规则对应的动作,即规则匹配成功后需要采取的措施。条件匹配用于指定对符合什么样条件的数据包进行处理;
iptables规则
seaskyccl的博客
01-28 1117
"说明后,指的是相反的名称。可能的状态是:INVALID表示包是未知连接,ESTABLISHED表示是双向传送的连接,NEW表示包为新的连接,否则是非双向传送的,而RELATED表示包由新连接开始,但是和一个已存在的连接在一起,如FTP数据传送,或者一个ICMP错误。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展(参见下面的EXTENSIONS)。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
iptables配置
GentlyCare的专栏
02-24 959
1、Iptables介绍Centos系统内建了一个强大的防火墙,通常又被称为iptables。准确的说应该叫iptables/netfilter。iptables工作于用户层,用户通过命令行给防火墙预定规则表。netfilter是一个内核模块,完成实际的过滤工作。有许多GUI软件方便用户来设置防火墙规则,但都缺乏一定的灵活性,并且限制用户了解其中真正发生了什么。在开始配置Iptables之前,我们需
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
Linux下IPtables配置全攻略
07-23
教程名称:Linux下IPtables配置全攻略课程目录:【】Iptables学习笔记【】Iptables服务全攻略之实战配置【】Iptables配置指南【】iptables配置案例【】Linux Iptables配置文件【】LINUX下IPtables的详细配置【】...
iptables配置脚本_iptables配置脚本.sh_
10-02
最基础的iptables配置脚本,一键加固Linux防火墙
iptables应用手册详细介绍
04-06
有关iptables指令的使用详细介绍。iptable能够为Unix、Linux和BSD个人工作站创建一个防火墙,也可以为一个子网创建防火墙以保护其它的系统平台。
centOS7 下利用iptables配置IP地址白名单的方法
01-10
编辑iptables配置文件,将文件内容更改为如下,则具备了ip地址白名单功能 #vim /etc/sysconfig/iptables *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -N whitelist -A whitelist -...
iptables命令详解
ZBraveHeart的博客
03-22 5167
Netfilter框架在Linux内核中通过一系列的钩子(hooks)实现数据包处理的不同阶段,iptables就可以通过这些钩子来插入自定义的规则,从而实现对数据包的控制。在Linux环境下,iptables就是一款强大而灵活的防火墙工具,它为系统管理员提供了广泛的配置选项,能够有效地控制数据包的流动,实现网络访问的控制和安全性增强。这个命令将通过本机出口的TCP数据包的目标端口为80的流量转发到192.168.1.200,而不改变目标端口。它可以用于改变数据包的目标地址,源地址,目标端口或源端口。
iptables 常用使用命令
u011029104的专栏
01-31 1881
iptables 使用三个不同的链来允许或阻止流量:输入(input)、输出(output)和转发(forward)输入(input) —— 此链用于控制传入连接的行为输出(output) —— 此链用于传出连接转发(forward) —— 这条链用于传入的连接,这些连接实际上不是在本地传递的,比如路由和 NATing。
iptables常用命令
热门推荐
sre救赎之路
04-14 1万+
iptables 是 Linux 中的一个防火墙软件,可以管理 Linux 系统上的网络流量,帮助保护网络安全。
iptables详解
wdt3385的专栏
12-25 4905
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
【HCIA-openEuler】实验手册—09【openEuler综合实践】
ZXW_NUDT的博客
01-12 3005
【HCIA-openEuler】实验手册—09【openEuler综合实践】
IPtables详解:
姚某人的博客
06-04 1189
IPtables:简介: iptablesIPtables:命令参数: IPtables:实例:
iptables防火墙配置
09-29
iptables防火墙的配置方法有两种:命令行和图形化界面。使用iptables命令行进行配置的方法如下: 1. 关闭firewalld防火墙:执行命令`systemctl stop firewalld.service`临时关闭防火墙,执行命令`systemctl disable firewalld.service`永久关闭防火墙。 2. 安装iptables:执行命令`yum -y install iptables iptables-services`安装iptables。 3. 启动iptables:执行命令`systemctl start iptables.service`启动iptables。 接下来可以进行iptables防火墙的配置。具体的配置方法可以根据需求进行设置。以下是一些常见的配置命令: 1. 显示规则的序号:使用命令`iptables -L --line-numbers`可以查看iptables规则的序号。 2. 设置默认策略:使用命令`iptables -P <链名> <控制类型>`可以设置默认策略。例如,执行命令`iptables -P INPUT DROP`设置输入链的默认策略为拒绝,执行命令`iptables -P FORWARD DROP`设置转发链的默认策略为拒绝。 在生产环境中,一般会将网络型防火墙和主机型防火墙的默认规则设置为拒绝,并配置白名单。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值