深入理解 iptables:原理、架构与常见操作

最新推荐文章于 2024-06-25 15:17:19 发布
最新推荐文章于 2024-06-25 15:17:19 发布
阅读量633 收藏 14
点赞数 25
文章标签: 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42175752/article/details/139924441
版权

    引言 

      在计算机网络领域,防火墙是保障系统安全的重要组件。而在Linux系统中,iptables则是一款功能强大的防火墙工具,它允许用户配置复杂的包过滤规则,以保护系统免受未经授权的访问。本文将从技术角度出发,详细分析iptables的原理、架构以及常见的操作方式。

一、iptables概述

       iptables是Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或局域网(LAN)、服务器或连接LAN和因特网的代理服务器,iptables有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。它是Linux系统中非常核心的网络安全组件,几乎所有的Linux发行版本都支持iptables的功能。iptables的主要功能包括包过滤、网络地址转换(NAT)以及包状态检测。通过这些功能,iptables能够有效地控制进出Linux系统的网络数据包,从而实现安全防护。

二、iptables的原理与架构

      iptables的工作原理可以概括为“五链三表”。所谓“五链”,指的是INPUT、OUTPUT、FORWARD、PREROUTING和POSTROUTING这五个内置链。这些链在数据包通过Linux系统时起着关键的作用。具体来说:

  • INPUT链:处理进入本机的数据包;
  • OUTPUT链:处理从本机发出的数据包;
  • FORWARD链:处理经过本机转发的数据包;
  • PREROUTING链:在进行路由选择之前处理数据包,常用于实现DNAT(目的网络地址转换);
  • POSTROUTING链:在进行路由选择之后处理数据包,常用于实现SNAT(源网络地址转换)和MASQUERADE(地址伪装)。

而“三表”则指的是filter表、nat表和mangle表。这些表用于存储和管理iptables的规则。其中:

  • filter表:主要用于过滤数据包,是iptables默认的表。它包含INPUT、OUTPUT和FORWARD三个内建的链,每个链上可以挂接一条或数条规则;
  • nat表:主要用于网络地址转换(NAT)。它包含PREROUTING、POSTROUTING和OUTPUT三个链;
  • mangle表:主要用于修改数据包的ToS(Type of Service,服务类型)字段,以及TTL(Time To Live,生存时间)字段,实现服务质量(QoS)和策略路由等功能。它包含PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD五个链。

    iptables的架构可以分为核心空间和用户空间两部分。在核心空间,iptables从底层实现了数据包过滤的各种功能,比如NAT、状态检测以及高级的数据包的匹配策略等。而在用户空间,iptables为用户提供了控制核心空间工作状态的命令集。用户可以通过iptables命令来配置和管理防火墙规则。

三、iptables的常见操作

在实际应用中,iptables提供了丰富的操作命令来管理网络数据包。以下是一些iptables的常见操作:

1. 查看规则

要查看iptables中已配置的规则,可以使用以下命令:

iptables -L

若要查看特定表的规则,例如NAT表,可以使用:

iptables -t nat -L

2. 添加规则

向iptables的特定链中添加规则,可以使用-A(追加)选项。例如,允许来自特定IP的数据包通过INPUT链:

iptables -A INPUT -s 192.168.1.2 -j ACCEPT

3. 删除规则

如果需要删除已配置的规则,可以使用-D(删除)选项,指定链和规则序号或匹配条件:

iptables -D INPUT <规则序号或匹配条件>

4. 修改默认策略

每个链都有一个默认策略,当数据包不符合链中的任何规则时,会执行该策略。可以使用-P(策略)选项来修改默认策略:

iptables -P INPUT DROP

5. 端口转发和网络地址转换

iptables还支持端口转发和网络地址转换(NAT)等高级功能。例如,将外部访问的特定端口流量转发到内部网络中的另一台机器:

 

iptables -t nat -A PREROUTING -d <外网IP> -p tcp --dport <外网端口> -j DNAT --to-destination <内网IP>:<内网端口> 
iptables -t nat -A POSTROUTING -j MASQUERADE
 

6. 保存规则
 

对iptables规则进行的修改需要保存,以便在系统重启后依然生效。保存方法依赖于特定的Linux发行版,一般可以使用iptables-saveiptables-restore命令来保存和恢复规则:
 

iptables-save > /etc/iptables/rules.v4
 

四、总结
 

iptables作为Linux系统中强大的防火墙工具,提供了灵活的包过滤和网络地址转换功能。通过深入了解iptables的原理、架构和常见操作,我们能够更好地配置和管理Linux系统的网络安全。在实际应用中,建议根据具体需求和场景来定制iptables规则,以确保系统的安全性和可靠性。

                

        

        

    




    

      

        

            

              
                
                  CloudJourney
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    25
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    14
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
深入理解 TCP 协议:从原理到实战

				
			

			

				

					sybh的博客
				

				

					08-17
					
					488
					
				

			

		

		

			
				
用实验和图解的方式带你深入理解 TCP 协议,让 TCP 协议不再是拦路虎

			
		

	



                

              
                



	

		

			

				
					
深入理解Android系统网络架构

					
热门推荐

				
			

			

				

					ulangch的博客
				

				

					04-10
					
					1万+
					
				

			

		

		

			
				
引言:这篇文章以WiFi举例,介绍了Android系统网络架构。其内容包含:网络链路的连接和注册、网络有效性检测和网络优选、Android系统网络防火墙和几种场景下的网络策略等,文章的最后也列举了几种常见的无法上网原因供大家参考。
一. 基本结构
1.1 类图

1.2 WifiService
WifiManager中公开API的具体实现,提供了WiFi打开与关闭、配置和扫描、连接和断开等方法,其...

			
		

	



                


  
              

                


	

		

			

				
					
深入理解Kubernetes架构:综合指南

				
			

			

				

					一览无遗
				

				

					12-09
					
					904
					
				

			

		

		

			
				
这本关于 Kubernetes 架构的综合指南旨在通过插图详细解释每个 kubernetes 组件。然后你会发现本指南非常宝贵。:为了更好地理解 Kubernetes 架构,有一些先决条件请查看中的先决条件以了解更多信息。什么是 Kubernetes 架构?以下 Kubernetes显示了 Kubernetes 集群的所有组件以及外部系统如何连接到 Kubernetes 集群。关于 Kubernetes,你应该了解的第一件事是,它是一个。这意味着,它有多个组件分布在网络上的不同服务器上。

			
		

	





	

		

			

				
					
深入理解 iptables 和 netfilter 架构

				
			

			

				

					maimang1001的专栏
				

				

					05-19
					
					2217
					
				

			

		

		

			
				
[译] 深入理解 iptables 和 netfilter 架构

译者序

本文翻译自 2015 年的一篇英文博客A Deep Dive into Iptables and Netfilter Architecture。

这篇对 iptables 和 netfilter 的设计和原理介绍比较全面,美中不足的是没有那张 内核协议栈各 hook 点位置和 iptables 规则优先级的经典配图,这里补充如下(来自Wikipedia):







另外,本文只讲理论,而下面这篇则侧重实战(基于...

			
		

	



		

			
		



	

		

			

				
					
洞悉linux下的Netfilter&iptables:什么是Netfilter?

				
			

			

				

					海边顽石的专栏
				

				

					08-31
					
					1万+
					
				

			

		

		

			
				
转自:http://blog.chinaunix.net/uid-23069658-id-3160506.html

很多人在接触iptables之后就会这么一种感觉:我通过iptables命令配下去的每一条规则,到底是如何生效的呢?内核又是怎么去执行这些规则匹配呢?如果iptables不能满足我当下的需求,那么我是否可以去对其进行扩展呢?这些问题,都是我在接下来的博文中一一和大家分享的话题。

			
		

	





	

		

			

				
					
阿里P8架构师失眠7天构思深入Linux内核架构与底层原理

				
			

			

				

					马小婧QAQ
				

				

					06-02
					
					626
					
				

			

		

		

			
				
Linux是什么?

它和Windows XP、Windows 2003、2008什么的一样就是一个操作系统而已!

Linux能干什么?

它能当服务器,服务器上安装着各种企业应用、服务。

比如:Web服务(apache,就是能架设网站的)、数据库(MySQL,存储网站信息数据的)、博客系统(wordpress) 等……

Linux系统用在哪些领域?

比如某网站的服务器,他们肯定用Linux。再比如某网站的数据库,他们差不多也基于Linux。

再比如机关部门、学校、东莞夜总会、某中介公司,总之他.

			
		

	





	

		

			

				
					
深入理解Linux网络学习总结

				
			

			

				

					追求幸福,探索未知的博客
				

				

					02-04
					
					1931
					
				

			

		

		

			
				
深入理解Linux网络,修炼底层内功,掌握高性能原理

			
		

	





	

		

			

				
					
[转载] 深入理解Android系统网络架构

				
			

			

				

					刚刚好的博客
				

				

					11-15
					
					857
					
				

			

		

		

			
				
引言:这篇文章以WiFi举例,介绍了Android系统网络架构。其内容包含:网络链路的连接和注册、网络有效性检测和网络优选、Android系统网络防火墙和几种场景下的网络策略等,文章的最后也列举了几种常见的无法上网原因供大家参考。
一. 基本结构
1.1 类图

1.2 WifiService
WifiManager中公开API的具体实现,提供了WiFi打开与关闭、配置和扫描、连接和断开等方法,...

			
		

	





	

		

			

				
					
[转载]深入理解Android系统网络架构

				
			

			

				

					刚刚好的博客
				

				

					07-26
					
					1204
					
				

			

		

		

			
				
转自   https://blog.csdn.net/qq_14978113/article/details/89182253
  引言:这篇文章以WiFi举例,介绍了Android系统网络架构。其内容包含:网络链路的连接和注册、网络有效性检测和网络优选、Android系统网络防火墙和几种场景下的网络策略等,文章的最后也列举了几种常见的无法上网原因供大家参考。
一. 基本结构
1.1 类图

1....

			
		

	





	

		

			

				
					
iptables详解:图文并茂理解iptables.pdf

				
			

			

				

					05-18
				

			

		

		

			
				
iptables 防火墙 linux

			
		

	





	

		

			

				
					
Linux iptables:规则原理和基础

				
			

			

				

					01-09
				

			

		

		

			
				
	 iptables是Linux下功能强大的应用层防火墙工具,但了解其规则原理和基础后,配置起来也非常简单。 	 什么是Netfilter? 	 说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配置工具...

			
		

	





	

		

			

				
					
华为云讲解:1. Istio架构原理

				
			

			

				

					01-07
				

			

		

		

			
				
华为云讲解:Istio架构原理 文章目录华为云讲解:Istio架构原理Service MeshKubernetesIstio 架构基础Istio 基本概念Istio & Kubernetes :架构结合运行一个Istio集群 Service Mesh Kubernetes Kubernetes 提供...

			
		

	





	

		

			

				
					
rust-iptables:iptables的Rust绑定

				
			

			

				

					05-07
				

			

		

		

			
				
 [ dependencies ]iptables = " 0.4 "入门1-导入板条箱iptables操作链: let ipt = iptables :: new ( false ). unwrap ();assert! (ipt. new_chain ( "nat" , "NEWCHAINNAME" ). is_ok ());assert! (ipt. append ...

			
		

	





	

		

			

				
					
操作系统安全:iptables工具.pptx

				
			

			

				

					06-01
				

			

		

		

			
				
iptables;iptables工具;iptables工具;iptables工具;iptables工具;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;FilterTable的操作;NATTable的...

			
		

	





	

		

			

				
					
AI/ML 数据湖参考架构架构师指南

				
			

			

				

					MinIO
				

				

					06-21
					
					824
					
				

			

		

		

			
				
如果你对生成式人工智能很认真,那么你的自定义语料库应该定义你的组织。它应该包含其他人没有的知识的文件,并且只包含真实和准确的信息。此外,您的自定义语料库应使用向量数据库构建。矢量数据库为文档及其矢量嵌入(文档的数值表示)编制索引、存储和提供对文档的访问。(这解决了上述数字问题)。向量数据库有助于语义搜索。如何做到这一点需要大量的数学背景,而且很复杂。但是,语义搜索在概念上很容易理解。假设您想找到所有讨论与“人工智能”相关的任何内容的文档。

			
		

	





	

		

			

				
					
Unity3D 有限状态机(FSM)的架构与实现详解

					
最新发布

				
			

			

				

					Thomas_YXQ的博客
				

				

					06-25
					
					522
					
				

			

		

		

			
				
在游戏开发中,特别是使用Unity3D这样的游戏引擎时,控制游戏对象的行为往往是一个复杂且关键的任务。有限状态机(Finite State Machine,FSM)作为一种强大的工具,被广泛用于管理游戏对象的状态转换和行为。本文将对Unity3D中的有限状态机进行详细的架构与实现讲解,并提供相应的代码实现。本文详细介绍了Unity3D中有限状态机的架构与实现,包括状态枚举、状态接口、具体状态类和状态机类等关键部分。FSM具有有限数量的状态,每个状态都有一组进入、退出和更新的行为。csharp复制代码。

			
		

	





	

		

			

				
					
深入解析FTP:原理架构与搭建方式

				
			

			

				

					CloudJourney的博客
				

				

					06-24
					
					990
					
				

			

		

		

			
				
开发任何基于FTP的客户端软件都必须遵循FTP的工作原理,FTP的独特的优势同时也是与其它客户服务器程序最大的不同点就在于它在两台通信的主机之间使用了两条TCP连接,一条是数据连接,用于数据传送;FTP是用于在网络上进行文件传输的一套标准协议,它工作在OSI模型的第七层,TCP模型的第四层,即应用层。FTP使用TCP传输而不是UDP,客户和服务器建立连接前要经过一个“三次握手”的过程,保证客户与服务器之间的连接是可靠的,而且是面向连接的,为数据传输提供可靠保证。:用户可以将本地文件上传到FTP服务器上。

			
		

	





	

		

			

				
					
28、架构-边界:微服务的粒度

				
			

			

				

					qq_29434541的博客
				

				

					06-24
					
					561
					
				

			

		

		

			
				
微服务的粒度设计是微服务架构中的一个关键问题。合理的微服务粒度应该满足独立、内聚和完备的要求,同时应考虑团队规模和研发周期的实际情况。通过领域驱动设计的方法论,架构师可以更好地识别和划分微服务边界,确保系统的灵活性、可维护性和高效性。

			
		

	





	

		

			

				
					
iptables: symbol lookup error: iptables: undefined symbol: xtables_fini是啥

				
			

			

				

					05-25
				

			

		

		

			
				
这个错误通常是由于系统上的iptables二进制文件与xtables库不兼容造成的。xtables是iptables的一个依赖库,如果版本不匹配或者缺少相关库文件,就会导致这个错误。

你可以尝试重新安装iptables和xtables,或者更新它们的版本。如果你使用的是Linux发行版,可以使用系统包管理器来安装或更新这些软件。

另外,也有可能是你手动编译安装了iptables,但是没有正确安装xtables库或者指定了错误的路径。你可以检查一下编译时的配置和安装路径是否正确。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值