防火墙的规则表与规则链

最新推荐文章于 2023-11-29 17:15:59 发布
最新推荐文章于 2023-11-29 17:15:59 发布
阅读量4k 收藏 6
点赞数 1
文章标签: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42604344/article/details/81119977
版权

1、防火墙
防火墙是根据配置文件/etc/sysconfig/iptables来控制本机的"出、入"的网络访问行为。

Filter表:主要是跟进入linux本机的数据包有关,过滤数据包,默认表。
1):INPUT链:过滤所有目标地址是本机的数据。(对进入本机的数据包进行过滤)
2):OUTPUT链:过滤由本机产生的数据(对源地址是本机的数据包进行过滤)
3):FORWARD链:过滤所有路过本机的数据包(源地址和目的地址都不是本机的数据包)

NAT表:网络地址转换,这个表主要用来进行来源或者目的的IP和port的转换,与linux本机无关,主要是与linux主机的局域网内的环境有关。

如果数据包允许经过NAT或者masquerade,那么其他的数据也会做同样的动作,也就是说其他数据包不会被一个一个的NAT。

包含的3个动作:
DNAT:改变数据包的目的地址使包能重新路由到某台机器。
SNAT:改变数据包的源地址(使局域网能访问公网)
NASQUERADE:个SNAT一样使局域网能访问公网,无固定IP使用PPP.PPPoE等拨号上网模式连接公网。

NAT表包含3条链:
PREROUTING链:数据包达到防火墙时改变包的目的地址。
POSTROUTING链:在数据包离开防火墙时改变数据包的源地址
OUTPUT链:改变本地产生数据的目标地址


MANGLE表:破坏者,主要是与特殊的数据包的路由标志有关,修改数据包、改变数据包的头内容(TTL、TOS、MARK)

TOS:设置改变数据包的服务类型,一般不建议使用TOS设置发往公网的包除非打算依赖TOS来路由。
TTL:改变数据包的生存时间,可以让数据包有一个特殊的TTL,欺骗ISP
MASK:给数据包设置特殊的标记,通过标记配置带宽限制或者而基于请求分类

mangle表有5条链:
PREROUTING链:数据进入防火墙后,路由判断之前改变数据包。
POSTROUTING链:在数据包确定目的地址之后,改变数据包
INPUT链:在数据包进入本机之后,应用程序接受数据之前改变数据包
OUTPUT链:在数据包被确定目的之前改变数据包
FORWARD链:第一次路由判断之后,最后一次路由判断之前改变数据包


RAW表:原始表格
主要是用于配置,原始表格有2中内置的链条
PREROUTING链
OUTPUT链

IPTABLES中数据包的被跟踪的4种连接状态:
1、NEW:该包想要开始一个连接(重新连接或者连接重定向)
2、RELATED:该包属于某个已经建立的连接所建立的新连接,比如:FTP数据传输连接就是控制连接所RELATED出来的连接
3、ESTABLISHED:只要发送并接到应答,一个数据连接就从NEW变为ESTABLISHED,而且该状态会继续这个连接的后继数据包。
4、INVALID:数据包不能被识别属于哪个连接或者没有任何的状态比如内存溢出、收到不知属于哪个连接的ICMP错误信息。一般应该DROP这个状态任何数据。


基本操作:
查看帮助
iptables -h
man iptables
info iptables

列举所有规则:


iptables -L -n

-L:列举在一个表或者链的所有规则
-n:以数字的方式输出地址或者端口

显示规则编号:
--line-numbers:当查询时打印编号

iptables -L -n --line-numbers

指定表显示规则:
iptables -L -n -t nat 

清除表规则:
-F:删除一个或者多个链的所有的规则

iptables -F -t nat

保存规则:
service iptables save
/etc/rc.d/init.d/iptables save

禁止ssh登录:
iptables -A INPUT -p tcp --dport 22 -j DROP

删除:
iptables -D INPUT -p tcp --dport 22 -j DROP

iptables -D INPUT 1

-A,append chain新增规则到某个规则链中,该规则将会成为规则链的最后一条规则
-D,delete chain [rulenum]从某个规则链中删除一条规则,可以输入完整的规则,也可以输入规则编号
-R,--replace,取代现行的规则,规则被取代后不会改变规则顺序。
-I,insert chain [rulenum],插入一条规则,原本该位置上的规则将会往后移一个顺位。

-p:porto protocol,例如:tcp、udp、icmp。
-j:jump表示跳转,跟target结合起来表示数据表将跳转到哪个目标,并执行相应的动作。常见的动作有:ACCEPT\DROP\REJECT三种,但是一般不适用REJECT,会带来安全隐患。

--dport:目的端口号
注意:INPUT和ACCEPT等关键字必须大写

禁止ip 192.168.137.0 网段 从eth0网卡接入:####
iptables -A INPUT -p icmp -i eth0 -s 192.168.137.0 -j DROP


禁止ip地址非192.168.137.113的所有类型的数据进入:
iptables -A INPUT ! -s 192.168.137.113 -j DROP


扩展匹配:1、隐式扩展 2、显式扩展
隐式扩展:
-p tcp
    --sport:源端口
    --dport:目的端口
显式扩展:
    -m extension --sub-opt
    -p tcp --dport 22 和-p tcp -m tcp --dport 22 功能相同
    state:状态扩展,接口ip_contrack跟踪会话状态
    NEW:新的连接状态
    RELATED:相关联的连接
    ESTABLEISHED:已建立的连接请求
    INVALID:非法的连接
    
匹配端口范围:
iptables -A INPUT -p tcp --dport 22:80 -j DROP

匹配多个端口:
iptables -A INPUT -p tcp --dport 22,80,3306 -j DROP

-m 匹配扩展:
iptables -A INPUT -p tcp -m multiport --dport 22,80,3306 -j DROP

不允许源端口80的数据输出:
iptables -A OUTPUT -p tcp --sport 80 -j DROP

今将图南
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
25个常用的防火墙规则
Beckham的博客
06-01 1万+
本文将给出25个iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。 格式 iptables [-t 表名] 选项 [名] [条件] [-j 控制类型] 参数 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F 清空规则 -L 查看规则 -A 在规则的末尾加入新规则 ...
linux防火墙规则
最新发布
weixin_44024436的博客
04-22 349
Linux中使用firewalld防火墙限制出口流量不能到达特定的IP地址,可以通过添加一个富规则(rich rule)来实现。如果你想要测试规则而不持久化它,你可以省略这个选项,并在测试后删除或添加–permanent。通过以上步骤,你可以限制Linux系统中通过firewalld防火墙的出口流量,使其不能到达特定的IP地址。使用firewall-cmd命令添加一个富规则来阻止到达特定IP地址的出口流量。在生产环境中,添加规则之前,确保了解它对现有流量和服务的潜在影响。检查规则是否已经成功添加。
iptables 防火墙(filter表)
种一颗树最好的时间是十年前,其次是现在!
07-17 2011
IP信息包括过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在包内的IP地址、端口等信息的处理。是为包过滤的实现提供规则,通过各种不同的规定,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包该如何处理。为了更加方便的组织和管理防火墙规则,iptables采用了表和的分层结构。所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机。其中。总结表里有里有规则。...
防火墙规则-iptables四表五
qq_35337149的博客
08-21 311
文章目录iptables规则规则(四表五规则内的匹配顺序设置规则内容:列表查看规则清除规则自定义规则其他设置匹配数据包的条件通用条件匹配协议匹配地址匹配接口匹配显示条件匹配数据包状态显示接口匹配显示条件匹配数据包状态显示 iptables 作用:防止别人进入你的电脑,攻击你的电脑 软件防火墙: ​ Linux系统的防火墙功能由内核实现 实际上是一个数据过滤机制 包过滤机制是netfilter, 管理工具是iptables。 iptables是一个软件,实际不是防火墙,只是一个给netfilter
防火墙规则
2302_79748698的博客
11-29 892
当我启用state模块时,访问有问题,看日志发现table full,drop packet怎么解决?转发是由prerouting-->forward-->psotrouting。流入本机是由prerouting--->input--->用户空间进程。流出本机是由用户空间进程-->output-->postrouting。显示规则行号:iptables -vnL --line-num。防火墙:隔离功能,工作在网络或主机边缘,防止外部信息侵入电脑。--sport,--dport :指定端口号。
Docker高级教程之智能添加与修改防火墙规则
01-10
2、修改防火墙规则的话,使用手动修改配置; 3、并且修改时候还得计算来源端口,防止重复端口使用户登陆错误容器; 4、并当容器意外重启,内网ip变化后还得修改规则 那么你可以看看本文了,对你这些痛处都有解决...
详解Linux iptables常用防火墙规则
01-20
IPTABLES 是与最新的 3.5 版本 ...在数据包过滤表中,规则被分组放在我们所谓的(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。 虽然 netfilter/iptab
ROS防火墙规则.pdf
11-04
ROS 防火墙规则 ROS 防火墙规则是 RouterOS 防火墙功能非常灵活的一种规则,可以定义一系列的规则过滤掉发往 RouterOS、从 RouterOS 发出、通过 RouterOS 转发的数据包。在 RouterOS 防火墙中定义了三个防火墙...
Linux防火墙的简单配置与插入规则介绍
01-10
-I (insert)在指定中插入一条新规则,为指明插入到第几行 (如:在第七行插入) iptables -I INPUT 7 -p tcp -m state --state NEW -m tcp --dport 81 -j ACCEPT 然后保存 service iptables save 然后重启 ...
conntracker:连接跟踪器防火墙规则指示器
02-17
因此,您当前正在考虑创建一组防火墙规则,也许将REJECT设置为上的默认策略,但是您对当前的流量尚不了解。 如果您阻止太多,您可能最终会抱怨过去曾经无法使用的服务。 如果没有足够的阻止,您最终将拥有不安全的...
iptables:超详细Iptables防火墙基础规则(四个规则表,5个种规则)与编写Iptables防火墙规则
热门推荐
著名艺术家
08-05 1万+
Iptables防火墙基础规则与编写Iptables防火墙规则Linux包过滤防火墙概述■iptables的表、结构■默认包括5种规则规则表的作用■默认包括4个规则表■表的结构示意图数据包过滤的匹配流程■规则表之间的顺序■规则之间的顺序■规则内的匹配顺序iptables安装iptables的基本语法■注意事项■数据包的常见控制类型iptables的管理选项■添加新的规则■查看规则列表;■删除、清空规则■设置默认策略■常用管理选项汇总规则的匹配条件■通用匹配■隐含匹配■显式匹配■常见的通用匹配条件
iptables防火墙过滤规则
bangzhen4983的博客
06-14 2057
iptables 包过滤 防火墙 firewall 防火墙工作在网络边缘(主机边缘)对于进出的网络数据包进行规则排查,并在匹配某规则时由规则定义的处理进行处理的功能组件 防火墙类型 根据工作区域不同分为: OSI 的第三层,即网络层的防火墙 OSI 的第七层,即应用层的防火墙 ,或者代理服务器/网关 网络层...
linux防火墙基础和管理设置iptables规则
weixin_34297300的博客
05-23 407
一、linux防火墙基础 防火墙分为硬件防火墙和软件防火墙。 1.概述 linux 防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙。 包过滤机制:netfilter 管理防火墙规则命令工具:iptables netfilter 指linux内核中实现包过滤防火墙的内部结构,不依程序或文件的形式存在,属于“内核态”的...
包过滤防火墙规则-linux
weixin_42478365的博客
02-08 1270
filter表: 查看防火墙过滤情况: iptables -t filter -nvL iptables基本语法: iptables -t filter -I INPUT -p tcp --dport 80 -j ACCEPT
防火墙(5)——五表
weixin_48445640的博客
10-22 451
(1)五表 在iptables中不指定table默认filter表。 其实一共有五种表,分别为filter nat mangle security raw表,他们都是盛放的容器 filter表是处理数据包的过滤功能,它的内部有input、output、forward security表主要是针对数据中的mac地址部分,它的内部有input、output、forward nat表处理数据中的IP和PORT进行处理,内含有prerouting、output、input和postrouting mangl
网络安全学习--包过滤规则P174-P175
m0_51943976的博客
06-30 1732
包过滤规则包过滤防火墙实验需要用到的虚拟机 包过滤防火墙 iptables 工具 具有四个功能(表) raw mangle 这两个表实现数据流量的跟踪与整型 nat --网络地址转换 filter --过滤 实验 需要用到的虚拟机 一台xp,两台linux ...
防火墙防火墙规则
weixin_56422027的博客
06-15 627
四表五 [root@localhost ~]# iptables -t filter -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- ...
防火墙——iptables防火墙(四表五防火墙配置方法、匹配规则详解)
weixin_69543697的博客
07-18 2605
iptables四表五
iptables删除防火墙规则
07-27
要删除iptables防火墙规则,可以使用以下命令: iptables -D \[名称\] \[规则编号\] 其中,\[名称\]是要删除规则的名称,可以是INPUT、FORWARD或OUTPUT等。\[规则编号\]是要删除的规则中的编号。 例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值