Linux iptables和五链四表相关规则说明

已于 2024-03-03 10:33:42 修改
阅读量1.1k 收藏 30
点赞数 19
分类专栏: Linux 文章标签: linux iptables 防火墙
于 2024-02-24 22:11:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43845924/article/details/136276220
版权

Linux iptables和五链四表相关规则说明

在k8s环境中经常使用iptables规则进行负载均衡、路由转发和NAT等操作,本文针对iptables的实现原理和相关常用方法进行整理和讨论。

1. iptables的作用

iptables是一种用于配置和管理Linux操作系统上的防火墙的工具。它允许系统管理员定义和维护数据包过滤规则,以控制进入和离开系统的网络流量。通过使用iptables,管理员可以实现以下功能:

  • 数据包过滤:iptables可以根据源IP地址、目标IP地址、源端口、目标端口、协议等条件过滤网络数据包,从而允许或拒绝特定的流量。
  • NAT(Network Address Translation):iptables可以进行网络地址转换,将内部IP地址和端口映射到外部IP地址和端口,实现内部网络与外部网络之间的通信。
  • 防止DDoS攻击:iptables可以根据流量频率和连接数等指标进行限制,从而帮助防止分布式拒绝服务(DDoS)攻击。
  • 负载均衡:iptables可以根据负载状况将流量分配到不同的服务器上,从而实现负载均衡。
  • 网络地址过滤:iptables可以过滤特定的IP地址或IP地址范围,从而限制对系统的访问。

总而言之,iptables是一个功能强大的工具,可以帮助管理员保护系统免受恶意网络流量的攻击,并提供对网络流量的精细控制。

2. iptables和netfilter的联系和区别

iptables和netfilter是两个密不可分的概念,它们都是Linux操作系统中用于网络数据包过滤和防火墙功能的重要组件。

  • Netfilter是一个内核层的框架,用于在Linux内核中进行数据包处理。它提供了一个抽象层,允许用户空间程序(如iptables)通过Netfilter钩子函数来捕获和操作网络数据包。Netfilter框架支持各种功能,包括数据包过滤、NAT(网络地址转换)、连接追踪等。
  • iptables则是一个用户空间的命令行工具,它是对Netfilter框架的接口封装,用于配置和管理防火墙规则。iptables允许用户定义不同的规则集,以过滤和修改网络数据包。用户可以使用iptables命令来添加、删除、修改防火墙规则,从而实现对网络流量的控制和管理。

因此,iptables是通过与Netfilter框架进行交互来实现网络数据包过滤和防火墙功能的。iptables提供了更方便和友好的用户接口,使得用户可以轻松地配置和管理防火墙规则,而Netfilter则在内核层实现了具体的数据包处理和转发功能。

3. 四表五链说明

3.1 四表

四表:filter、nat、managle、raw,默认是filter表。表的处理优先级:raw>managle>nat>filter

作用备注
filter过滤数据包主要用于过滤数据包,该表根据系统管理员预定义的一组规则过滤符合条件的数据包。对于防火墙而言,主要利用在filter表中指定的规则来实现对数据包的过滤。Filter表是默认的表,如果没有指定哪个表,iptables 就默认使用filter表来执行所有命令,filter表包含了INPUT链(处理进入的数据包),RORWARD链(处理转发的数据包),OUTPUT链(处理本地生成的数据包)在filter表中只能允许对数据包进行接受,丢弃的操作,而无法对数据包进行更改
nat网络地址转换(端口映射、地址映射等。)主要用于网络地址转换NAT,该表可以实现一对一,一对多,多对多等NAT 工作,iptables就是使用该表实现共享上网的,NAT表包含了PREROUTING链(修改即将到来的数据包),POSTROUTING链(修改即将出去的数据包),OUTPUT链(修改路由之前本地生成的数据包)
mangle用于对特定数据报的修改。主要用于对指定数据包进行更改,在内核版本2.4.18 后的linux版本中该表包含的链为:INPUT链(处理进入的数据包),RORWARD链(处理转发的数据包),OUTPUT链(处理本地生成的数据包)POSTROUTING链(修改即将出去的数据包),PREROUTING链(修改即将到来的数据包)
raw优先级最高,设置raw时一般是为了不再让iptables做数据报的链接跟踪处理,提高性能。只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在 某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.

3.2 五链

五链:PREROUTING 、INPUT、FORWARD、OUTPUT、POSTROUTING

作用
PREROUTING数据包进入路由表之前,对数据包做路由选择前应用此链路中的规则,所有的数据包进来的时候都先由这个链处理
INPUT通过路由表后目的为本机,进来的数据报应用此规则链上的策略
FORWARD通过路由表后,目标地址不为本机,做转发数据报时应用此规则链上的策略
OUTPUT由本机产生的外出的数据包向外转发时,应用此规则链中的策略
POSTROUTING数据报做路由选择后发送后到网卡接口之前应用此链中的规则,所有的数据包出来的时候都先由这个链处理

五链的链路的数据示意走向图
在这里插入图片描述

一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转发出去。

  • 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经 过OUTPUT链,然后到达POSTROUTING链输出。
  • 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过 FORWARD链,然后到达POSTROUTING链输出。

3.3 表与链之间的包含关系

filterINPUT、FORWARD、OUTPUT
natPREROUTING(DNAT)、OUTPUT、POSTROUTING(SNAT)
manglePREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING
rawPREROUTING、OUTPUT

4. iptables规则的常用命令和使用方法

4.1 iptables规则组成

  • 数据包访问控制:ACCEPT、DROP、REJECT
  • 数据包改写:SNAT、DNAT
  • 信息记录:LOG

iptables [-t TABLE] COMMAND CHAIN [num] 匹配标准 -j 处理办法

在这里插入图片描述

4.2 规则数据管理

管理规则:

-A:附加一条规则,添加在链的尾部
-I CHAIN [num]:插入一条规则,插入为对应CHAIN上的第num条,不指定默认为第一条
-D CHAIN [num]:删除指定链中的第num条规则
-R CHAIN [num]:替换指定的规则

管理链:

-F [CHAIN]:flush,情况指定规则链,如果省略CHAIN,则可以实现删除对应表中的所有链
-P CHAIN:设定指定链的默认策略    iptables -P INPUT DROP
-N:自定义一个新的空链
-X:删除一个自定义的空链
-Z:置零指定链中所有规则的计数器
-E:重命名自定义的链

查看类:

-L:显示指定表中的规则
    -n:以数字格式显示主机地址和端口号
	-v:显示链及规则的详细信息
	-x:显示计数器的精确值
	--line-numbers:显示规则号码

保存规则:

# /etc/init.d/iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

清理规则:

iptables -F

5. 常用的iptables场景

5.1 禁止外部主机ping内部主机

# 禁ping
iptables -w -t filter -I INPUT -p icmp -m icmp --icmp-type 8 -j DROP  

# 解ping
iptables -w -t filter -D INPUT -p icmp -m icmp --icmp-type 8 -j DROP

5.2 禁止某些端口访问

iptables -A INPUT -p tcp --dport 18:80 -j DROP
iptables -A INPUT -p tcp -m multiport --dport 21,22,23 -j DROP

5.3 只允许某些ip端和端口访问

5.3.1 非k8s机器

# 配置脚本 iptables.sh
#!/bin/bash
echo $- | grep -q i || cd "$(dirname "$0")"
set -u 
set -e
set -o pipefail

### 以下内容需要根据环境和服务修改 ###
chain="TEST_WHITELIST"
dports="65535,65534"
### 以上内容需要根据环境和服务修改 ###

iplist=()
if test -s ./ip.txt
then :
    iplist=($(sort -u ./ip.txt))
else :
    true
fi

func_do() {
    iptables -w -t filter -N $chain
    test "$iplist" && iptables -w -t filter -I $chain -j REJECT
    for ip in ${iplist[@]}
    do :
        iptables -w -t filter -I $chain -s $ip -j RETURN
    done
    iptables -w -t filter -I $chain -m addrtype --src-type LOCAL -j RETURN
    test "$iplist" && iptables -w -t filter -I INPUT -p tcp -m multiport --dports $dports -j $chain
    # test "$iplist" && iptables -w -t filter -I INPUT -p udp -m multiport --dports $dports -j $chain
}

func_undo() {
    while iptables -w -t filter -D INPUT -p tcp -m multiport --dports $dports -j $chain 2>/dev/null
    do :
        sleep 0.1
    done
    # while iptables -w -t filter -D INPUT -p udp -m multiport --dports $dports -j $chain 2>/dev/null
    # do :
    #     sleep 0.1
    # done
    iptables -w -t filter -F $chain 2>/dev/null || true
    iptables -w -t filter -X $chain 2>/dev/null || true
}

func_bk() {
    iptables-save > ./iptables_bk_$(date +%s)
}

func_help() {
    echo "$0 do|undo"
}

case "${1:-help}" in
    "do" ) func_bk && func_undo && func_do ;;
    "undo" ) func_bk && func_undo ;;
    "bk" ) func_bk ;;
    * ) func_help ;;
esac

5.3.2 k8s机器

#!/bin/bash
echo $- | grep -q i || cd "$(dirname "$0")"
set -u
set -e
set -o pipefail

### 以下内容需要根据环境和服务修改 ###
chain="TEST_WHITELIST"
dports="11180,65528"
### 以上内容需要根据环境和服务修改 ###

iplist=()
if test -s ./ip.txt
then :
    iplist=($(sort -u ./ip.txt))
else :
    true
fi

func_do() {
    iptables -w -t mangle -N $chain
    test "$iplist" && iptables -w -t mangle -I $chain -j DROP
    for ip in ${iplist[@]}
    do :
        iptables -w -t mangle -I $chain -s $ip -j RETURN
    done
    iptables -w -t mangle -I $chain -m addrtype --src-type LOCAL -j RETURN
    test "$iplist" && iptables -w -t mangle -I PREROUTING -p tcp -m multiport --dports $dports -j $chain
    # test "$iplist" && iptables -w -t mangle -I PREROUTING -p udp -m multiport --dports $dports -j $chain
}

func_undo() {
    while iptables -w -t mangle -D PREROUTING -p tcp -m multiport --dports $dports -j $chain 2>/dev/null
    do :
        sleep 0.1
    done
    # while iptables -w -t mangle -D PREROUTING -p udp -m multiport --dports $dports -j $chain 2>/dev/null
    # do :
    #     sleep 0.1
    # done
    iptables -w -t mangle -F $chain 2>/dev/null || true
    iptables -w -t mangle -X $chain 2>/dev/null || true
}

func_bk() {
    iptables-save > ./iptables_bk_$(date +%s)
}

func_help() {
    echo "$0 do|undo"
}

case "${1:-help}" in
    "do" ) func_bk && func_undo && func_do ;;
    "undo" ) func_bk && func_undo ;;
    "bk" ) func_bk ;;
    * ) func_help ;;
esac

5.3.3 配置访问来源和执行脚本

ip.txt代表允许访问的来源ip和网段

cat ip.txt


# 配置单个ip
10.10.10.10
# 配置网段
10.10.20.0/24

执行命令

sh iptables.sh do

6. 参考文档

李姓门徒
关注
专栏目录
iptables 四表五链
weixin_34417814的博客
09-26 618
一、什么是iptables   iptablesLinux防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作   Netfilter模块:   它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个...
iptables笔记汇总
Python Golang
08-28 1050
一旦数据包满足了指定的匹配条件,数据包就会被ACCEPT,并且不会再去匹配当前中的其他的规则或同一个表内的其他规则,但数据仍然需要通过其他表中的。使用ping命令来检查对方主机是否在线,而向防火墙的INPUT规则中添加一条允许ICMP流量进入的策略规则就默认允许了这种ping命令检测行为。我把这种默认允许的叫做“黑名单模式”,有黑名单自然就有白名单模式,白名单模式,默认把INPUT更改为DROP拒绝通过。向INPUT中添加允许指定ip或者网段的22端口流量进入的策略规则
Iptables四表五链
Jack_chao_的博客
07-20 1753
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的四表五链正常的访问流程图。
iptables四表五链
weixin_30361641的博客
03-13 73
iptables可谓是SA的看家本领,需要着重掌握。随着云计算的发展和普及,很多云厂商都提供类似安全组产品来修改机器防火墙iptables概念 iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。 iptables具体是如何去过滤各种规则的呢?请看下面的四表五链 四表五链概念 f...
iptables四表五链
最新发布
weixin_62799021的博客
09-03 1476
netfilter是Linux内核中的一个框架,工作在网络层,用于处理ip数据包,iptables则是一个,通过与netfilter框架交互,实现对数据包的过滤和转发等操作常见的UFW防火墙、firewalld防火墙都是基于iptables的,它们提供了更简单的管理iptables的rules的命令。
iptables 实现主机防火墙四表五链
热门推荐
修行之路
09-23 1万+
一. 综述iptablesiptables 实际上就是一种包过滤型防火墙。就是通过书写一些接受哪些包,拒绝哪些包的规则,实现数据包的过滤。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的(chain)中。 iptables由两部分组成: 1.framework:netfilter hooks function钩子
iptables的概述——四表五链、使用方法、规则
ItookapillinNJ的博客
04-01 1834
概述 Linux 系统的防火墙——netfilter/iptables :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 与netfilter的关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又
iptables四表五链与NAT工作原理
tinychen
02-25 2513
本文主要介绍了iptables的基本工作原理和四表五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
IPTables 表、规则基础
Arlingtonroad的博客
11-29 2572
iptables 防火墙用于管理包过滤和 NAT 规则IPTables 随所有 Linux 发行版一起提供。了解如何设置和配置 iptables 将帮助您有效地管理 Linux 防火墙iptables 工具用于管理 Linux 防火墙规则。乍一看,iptables 可能看起来很复杂(甚至令人困惑)。但是,一旦您了解了 iptables 的工作原理及其结构的基础知识,阅读和编​​写 iptables 防火墙规则就会很容易。 本文是正在进行的 iptables 教程系列的一部分。这是该系列的第一篇文章
Linux--firewalld防火墙基础(firewalld和iptables的关系,四表五链,netfilter与iptables的关系,iptables语法与参数,firewalld网络区域)
CN_TangZheng的博客
12-09 944
Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙) - Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此得到广泛的应用
Linux--防火墙{Firewalld和Iptables的关系,iptables四表五链,firewalld网络区域以及通过图形工具进行操作}
m0_47219942的博客
07-30 1477
Linux--防火墙{Firewalld和Iptables的关系,Firewalld配置方法,网络区域以及通过图形工具进行操作}前言一:Firewalld和Iptables概述1.1:Firewalld简介1.2:iptables简介二:Firewalld和Iptables的关系2.1:netfilter2.2:Firewalld、iptables2.3:netfilter和Firewalld,iptables关系2.4:Firewalld和iptables的区别2:5:CentOS 6 和CentOS 7
Linux iptables防火墙详细教程:基础知识、表与、添加规则、清空规则、默认策略、应用实例
HelloBiu的博客
06-26 6231
Linux iptables防火墙详细教程:基础知识、表与、添加 iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单。
防火墙管理——iptables 四表五链
qq_58778457的博客
06-01 160
扩展匹配条件:(1)源端口 source port (2)目标端口 destination port。基本匹配条件:(1)源地址 source ip (2)目标地址 destination ip。iptables -t 指定表 - I | A 匹配条件 -j 处理动作。优先级关系: raw -- mangle -- nat -- filter。去尝试匹配每条流经此处的报文,若匹配成功则由规则后面的指定的。当本机向外发送数据包时。
linux4表5,linux防火墙四表五链以及基本配置
weixin_39775577的博客
05-26 188
四表五链iptables规则(ipchains)规则规则的集合体规则的作用:对数据包进行过滤或处理。的作用:容纳各种防火墙规则的分类依据:处理数据包的不同时机默认的5种规则(分类依据按照时机来划分的)1、PREROUTING:在进行路由选择前处理数据包2、INPUT:处理入站数据包3、OUTPUT:处理出站数据包4、FORWORD:处理转发数据包5、POSTROUTING:在进行路...
iptables四表五链
hdf12947991059的博客
02-03 52
四表五链四表(table):raw、mangle、nat、filter五链(chain):PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING每个表存在几个或全部,详情如下:rawPREROUTING、OUTPUTmanglePREROUTING、INPUT、FORWARD、OUTPUT...
linux四表五链是什么,附代码
weixin_45498884的博客
08-29 359
Linuxiptables 防火墙具有四表五链。但需要注意的是,实际的 iptables 配置会因具体的网络环境和安全需求而有很大差异。
Linux iptables详解:规则、表与管理
这篇文档详细介绍了iptables和netfilter的关系、优点、工作原理、规则表、规则、优先顺序,以及如何管理和设置iptables规则。 一、netfilter/iptables简介 netfilter是Linux内核的一个子系统,提供了一组挂钩点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值