防火墙iptables

最新推荐文章于 2024-05-27 13:58:58 发布
最新推荐文章于 2024-05-27 13:58:58 发布
阅读量110 收藏
点赞数
分类专栏: 互联网IT 运维 防火墙 文章标签: 防火墙
原文链接:https://mp.weixin.qq.com/s/W6Z0K0eq-ZMe3sf6_CwqOw
版权
运维 同时被 3 个专栏收录
27 篇文章 0 订阅
订阅专栏
互联网IT
24 篇文章 0 订阅
订阅专栏
防火墙
5 篇文章 0 订阅
订阅专栏

iptables防火墙分类:过滤防火墙和应用层防火墙

iptables 是 Linux 下的配置防火墙的工具,用于配置 Linux 内核集成的 IP 信息包过滤系统,使增 删改查信息包过滤表中的规则更加简单。 

1.Linux 防火墙基础

Linux防火墙主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,典型的包过滤防火墙,基于内核编码实现,具有非常稳定的性能和高效率。

  • iptables:用来管理 Linux 防火墙的命令程序,位于/sbin/iptables目录下,属于用户空间的防火墙管理体系。

  • netfilter:Linux 内核中实现包过滤防火墙的内部结构,一般不以程序文件的形式存在,属于内核空间的防火墙管理体系。

iptables 的作用:为包过滤机制的实现提供规则,通过各种不同的规则,来告诉netfilter对来自某些源以及前往某些目的或具有某些协议特征的数据包是如何进行处理的。

iptables分为四表五链,表是链的容器,链是规则的容器,规则指定动作。 

四表

filter(过滤器):用于包过滤,主要是跟进linux本机的数据包有关,默认的table

nat(地址转换):metwork address translation的缩写,网络地址转发,

主要用来进行来源和目的地的ip和port转换,与linux本机无关

mangle(破坏者):对特定数据包修改,主要是与特殊的数据包的路由标志有关

raw(源码包):不做数据包链接跟踪

五链

INPUT:本机数据包入口,想要进入linux本机的数据包有关

OUPUT:本机数据包出口,与linux所要送出去的数据包有关

FORWARD:经过本机转发的数据包,传递数据包到后端计算机

PREROUTING:防火墙之前,修改目的地址(DNAT) ,进行路由判断之前所要进行的规则(DNAT/REDIRECT)

POSTROUTING :防火墙之后,修改源地址(SNAT),进行路由判断之后所要进行的规则(SNAT/MASQUERADE)

表中的链: 

表          链

filter       INPUT、OUTPUT 和 FORWARD 

filter 表:用来对数据包进行过滤,具体的规则要求决定如何处理一个数据包。

对应的内核模块为:iptable_filter,其表内包括三个链:inputforwardoutput;

 

nat         PREROUTING、POSTROUTING 和 OUTPUT 

nat 表:nat 全称:network address translation 网络地址转换,主要用来修改数据包的 IP 地址、端口号信息

对应的内核模块为:iptable_nat,其表内包括三个链:preroutingpostroutingoutput;

 

mangle  PREROUTING、POSTROUTING、INPUT、OUTPUT 和 FORWARD 

mangle 表:主要用来修改数据包的服务类型生存周期,为数据包设置标记,实现流量整形、策略路由等。

对应的内核模块为:iptable_mangle,其表内包括五个链:preroutingpostroutinginputoutputforward;


raw        PREROUTING 和 OUTPUT 

raw 表:主要用来决定是否对数据包进行状态跟踪。

对应的内核模块为:iptable_raw,其表内包括两个链:outputprerouting;

规则表之间的顺序

当数据包到达防火墙时,如果对应的链内有规则存在,将按照顺序依次从raw 表mangle 表nat 表filter 表

 

https://mp.weixin.qq.com/s/W6Z0K0eq-ZMe3sf6_CwqOw

fighting545847013
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙
ynyysn的博客
02-17 2027
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
Linux 防火墙 iptables
weixin_67033761的博客
06-04 952
1
Iptables防火墙的基本概念以及执行原理
江晓龙的博客
07-08 1375
iptables工作流程:1.防火墙是层层过滤的,实际上当一个请求进到防火墙后,会按照配置的防火墙规则,从上到下顺序的进行匹配,从前到后进行过滤。2.如果匹配上其中的某一条规则,明确表示是阻止或者是通过,数据包就不会再向下匹配新的规则。3.如果规则中没有明确表明是阻止还是通过,也就是没有匹配到任何规则,那么数据包就会向下匹配,直到匹配到默认规则得到明确的阻止或者通过为止。4.防火墙的默认规则只有当所有规则都匹配完后,没有合适的规则,才能去匹配默认规则。......
Linux系统防火墙iptables
云计算运维工程师的成长之路
09-16 2733
当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后, 任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后发送出去。如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
Debian下配置防火墙iptables
qq_69775412的博客
05-27 1372
建议将其保存为/etc/init.d/iptables,然后chmod +x /etc/init.d/iptables 添加运行权限。iptables -A INPUT -j REJECT #(注意:如果22端口未加入允许规则,SSH链接会直接断开。1、将iptables配置保存到/etc/iptables,这个文件名可以自己定义,与下面的配置一致即可。若要停止iptablesiptables -F清空所有配置效果等同于停止。#配置,禁止进,允许出,允许回环网卡。#禁止其他未允许的规则访问。
linux 防火墙 iptables 命令详解
探索者的博客
03-08 5346
上述的iptables命令示例可以帮助管理员学习如何使用iptables命令来保护不同服务。是Linux操作系统上的一个防火墙工具,它可以控制进入、离开、转发的数据流,是Linux服务器安全性的重要保障。这个命令将iptables规则保存到文件中,以后可以通过cat命令查看或加载这些规则。这两条命令将允许SSH流量的进入,但拒绝来自特定IP地址的连接。这条命令将允许一个特定的IP地址来访问服务器的端口。这个命令会清空之前iptables定义的所有规则。这条命令将删除之前添加的规则。
linux 防火墙iptables
Zllvincent的博客
08-11 8362
一. 简介 笔者使用Jedis 连接 linux redis,始终报timeout 异常,关闭了linux 防火墙iptables 后能正确访问,但是为增强系统安全性,防火墙还是非常实用的防攻击软件,增加6379 端口作为redis 服务端口, iptables -A INPUT -p tcp -dport 6379 -j ACCEPT iptables -A OUTPUT -p tcp -spo...
linux防火墙iptables
qq_52825616的博客
04-24 1986
目录 一、防火墙iptables的概述 1、防火墙的作用 2、netfilter和iptables的关系 3、四表五链 4、常用的控制类型 二、配置基础iptables 1、配置格式 2、查看配置列表 3、添加规则 4、设置默认策略 三、规则匹配 1、通用匹配 2、隐含匹配 3、显示匹配 4、状态匹配 一、防火墙iptables的概述 1、防火墙的作用 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软
万字讲解OpenWrt防火墙iptables,并使用UCI配置防火墙
热门推荐
董哥的黑板报
10-25 1万+
一、防火墙简介 “防火墙”(Firewall)术语来自建筑设计领域,是指用来起分割作用的墙,当某一部分 着火时可以减缓或保护其他部分免受火灾影响。在计算机网络中,防火墙是在两个或多个 网络之间用于设置安全策略的一个或多个系统的组合。防火墙起到隔离异常访问的作用, 仅允许可靠的流量通过,从而保护了家庭和企业内部网络信息的安全 下图是一 个典型的防火墙部署结构 Linux防火墙通常包含两部分,...
Linux 防火墙 iptables filter和nat.pdf
08-14
Linux 防火墙 iptables 中 filter(包过滤防火墙)和 nat(路由转换)详解_linux中filter和nat.pdf
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
android流量防火墙iptables原理详解
08-27
Android 流量防火墙 Iptables 原理详解 Android 流量防火墙是一种基于 Iptables防火墙解决方案,旨在限制单个应用的联网状态。Iptables 是一个功能强大的 IP 信息包过滤系统,可以用于添加、编辑和删除规则,...
Linux服务器利用防火墙iptables策略进行端口跳转的方法
09-14
主要介绍了Linux服务器利用防火墙iptables策略进行端口跳转的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
大学生创业计划书(30)-两份资料.doc
08-20
大学生创业计划书(30)-两份资料.doc
学习DXP编辑多个对像
08-20
DXP编辑多个对像
基于Matlab编程的直线检测实现[Matlab编程].zip
08-20
MATLAB提供了多种直线检测技术,其中包括以下几种常用的方法: 1. Hough变换:Hough变换是一种基于极坐标空间的直线检测方法,通过将直线表示为参数空间中的点,将图像中的直线检测问题转化为参数空间中的点集聚类问题。MATLAB中的函数'hough'和'houghlines'可以实现Hough变换直线检测。 2. 边缘检测+RANSAC:先使用边缘检测方法(如Sobel、Canny等)提取图像中的边缘,然后使用RANSAC算法拟合直线模型。MATLAB中的函数'edge'可以进行边缘检测,而函数'fitline'可以使用RANSAC算法进行直线拟合。 3. 直线分段检测:将图像中的直线分段,在每个段上进行直线拟合。常见的方法包括分段最小二乘法、分段Hough变换等。MATLAB中的函数'fitline'可以对图像中的曲线进行分段直线拟合。 4. 基于模型的直线检测:根据直线的几何模型进行直线检测,常见的方法包括RANSAC算法、最小二乘法等。MATLAB中的函数'fitline'可以实现基于模型的直线检测。 以上是一些常用的MATLAB直线检测技术,具体的选择要根据实
网络防火墙:数字世界的守卫者
08-20
【计算机网络开发】通常指的是开发计算机网络相关的软件和系统,包括但不限于以下几个方面: 1. **网络协议开发**:设计和实现用于网络通信的协议,如TCP/IP、HTTP、FTP等。 2. **网络应用开发**:开发运行在网络上的应用程序,如网页浏览器、电子邮件客户端、文件共享应用等。 3. **网络服务开发**:创建和管理网络服务,例如Web服务、数据库服务、云服务等。 4. **网络安全**:开发用于保护网络安全的软件,包括防火墙、入侵检测系统、加密技术等。 5. **网络设备驱动程序开发**:为网络硬件设备编写驱动程序,如网卡、路由器、交换机等。 6. **网络管理工具**:开发用于网络监控、管理和故障排除的工具。 7. **嵌入式网络系统**:开发用于嵌入式设备(如智能家居设备、工业控制系统)的网络功能。 8. **网络编程语言和框架**:使用特定的编程语言和框架(如Python、Java、Node.js等)进行网络应用的开发。 9. **分布式系统开发**:设计和实现分布式计算系统,这些系统可以跨多个物理位置运行。 10. **网络性能优化**:优化网络应用和系统的性能,确保
最新linux系统命令(经典)
最新发布
08-20
###################################################################### 1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长! 2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除! 3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负! 4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解! 5. 如有链接无法下载、失效或广告,请联系管理员处理! 6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需! 7. 如遇到加密压缩包,请使用WINRAR解压,如遇到无法解压的请联系管理员! 8. 精力有限,不少源码未能详细测试(解密),不能分辨部分源码是病毒还是误报,所以没有进行任何修改,大家使用前请进行甄别!
Linux防火墙iptables
09-14
Linux防火墙iptables是一种专为Linux操作系统设计的高度灵活的防火墙工具。它对于Linux的技术爱好者和系统管理员来说非常有用。下面是一些配置和使用iptables的常见步骤: 1. 首先,如果你使用的是CentOS 7操作系统,默认情况下使用的是firewalld防火墙而不是iptables。如果你希望使用iptables防火墙,你需要先关闭firewalld防火墙并安装iptables。以下是一些命令示例: ``` # 关闭firewalld防火墙 systemctl stop firewalld systemctl disable firewalld # 安装iptables yum -y install iptables iptables-services.x86_64 # 启动iptables防火墙并设置开机自启 systemctl start iptables.service systemctl enable iptables.service ``` 2. iptables的基本语法由以下部分组成: ``` iptables [-t 表名 管理选项 [链名 [匹配条件 [-j 控制类型] ``` - `-t 表名`:指定要操作的表的名称,可选的表包括`filter`(默认),`nat`和`mangle`。 - 管理选项:可以是`-A`(添加规则),`-D`(删除规则),`-F`(清空规则),`-I`(插入规则)等。 - `[链名]`:指定要操作的链的名称,可以是`INPUT`(接收数据包),`OUTPUT`(发送数据包)或`FORWARD`(转发数据包)等。 - `[匹配条件]`:用于匹配特定条件的规则。 - `-j 控制类型`:指定当
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值