Linux学习整理-网络防火墙iptables-概念篇

已于 2022-02-13 08:54:34 修改
阅读量589 收藏 1
点赞数
分类专栏: Linux 文章标签: linux 网络 运维 iptables netfilter
于 2022-01-16 20:31:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45776100/article/details/122498775
版权

目录

1 Linux网络防火墙命令的关系图

2 iptables的概念

2.1 链(chain)

2.2 表(table)

2.3 规则(rule)

2.3.1 匹配(match)

2.3.2 目标(target)

2.4 链接追踪 Connection Tracking

1 Linux网络防火墙命令的关系图

下图是Linux网络防火墙命令的关系图,Ubuntu的ufw已经学习过了,今天来做一下iptables试验。

       CentOS              Ubuntu★              openSUSE
  +--------------+    +------------+    +---------------------+   -*-
  | firewall-cmd |    |     ufw    |    |    SUSEfirewall2    |    |
  +--------------+    +------------+    +---------------------+    |
                                                                用户空间
  +-----------------------------------------------------------+    |
  |                     iptables command                      |    |
  +-----------------------------------------------------------+   -*-

  +-----------------------------------------------------------+   -*-
  |                                                           |    |
  |                      OS(Netfilter)                        | 内核空间
  |                                                           |    |
  +-----------------------------------------------------------+   -*-

2 iptables的概念

iptables可以检测、修改、转向、分组和丢弃IPv4数据包。看名字,顾名思义,是工作在网络层。要想理解iptables能做什么,然后什么时候用iptables,先得对iptables有个系统的概念。

 结合上面的iptables的数据流来说一下iptables的概念。

2.1 链(chain)

iptables有5条链,按照数据经过的顺序排列。

  1. PREROUTING-------数据进入网卡,进入路由前调用的链
  2. INPUT------------------数据经过路由后,进入本地程序前调用的链
  3. FORWARD-----------数据经过路由后,转发出去之前调用的链
  4. OUTPUT--------------本地程序产生的数据经过路由前调用的链
  5. POSTROUTING----经过路由后,从网卡发出之前调用的链

上面的5链是netfilter的内置链(built-in),用户可以自己创建链。

2.2 表(table)

iptables有5张表(不是4表5链)

  • raw(不常用)

     从上图可以看出,raw的优先级最高,有两个内置链。

  1.       PREROUTING
  2.       OUTPUT

     因为这两个链都是在Connection Tracking之前被调用,所以系统跟踪不了,也就是                 用conntrack命令监视不到。

  • mangle(不常用)

     该表用于专门的数据包更改。有所有的5个内置链。

  • filter

     首先,这是iptables的命令的默认表,也就是不指定表的时候,默认用filter。过滤用的。

     有三个内置链。

  1.      INPUT
  2.      FORWARD
  3.      OUTPUT
  • security(基本不用)

     SELinux security相关的。有三个内置链。

  1.      INPUT
  2.      FORWARD
  3.      OUTPUT
  • nat

     用来做网络地址转换。有除了FORWARD以外的4个内置链。

 rawmanglefiltersecuritynat
PREROUTING  
INPUT 
FORWARD  
OUTPUT
POSTROUTING   

据上面的表格来看,主要用的就是filter表和nat表,也就是7条链。

2.3 规则(rule)

规则在链里,每条规则包含匹配的条件(match),和匹配条件后动作(target)。

2.3.1 匹配(match)

匹配条件例子
按协议匹配iptables -A INPUT -p tcp -j REJECT
所有TCP协议都拒绝
按源IP匹配iptables -A INPUT -s 192.168.0.0/24 -j REJECT
所有来自192.168.0网段的访问都拒绝
按目的IP匹配iptables -A OUTPUT -d 192.168.0.0/24 -j REJECT
所有去往192.168.0网段的访问都拒绝
按入网卡设备匹配iptables -A INPUT -i ens33 -j [TARGET]
按出网卡设备匹配iptables -A FORWARD -o ens33 -j [TARGET]
按源端口匹配iptables -A INPUT -p [tcp|udp] --sport 22 -j [TARGET]
按目的端口匹配iptables -A INPUT -p [tcp|udp] --dport 22 -j [TARGET]

还有各种各样的匹配条件,可以参照链接match

2.3.2 目标(target)

target就是匹配后执行的处理,常用的target有下列几种:

target处理内容
ACCEPT

匹配条件后,放行。

当前链的后面的规则,还有当前链所在的表的剩余链都不会执行。

LOG匹配条件后,写入日志
DROP匹配条件后,丢弃包(因为不会返回信息,发送方一直是等待状态,最好不用,可以用下面的REJECT)
REJECT

匹配条件后,丢弃包,并且会通知送信方,访问被拒(跟ufw里一样)

REJECT 目标仅在 INPUT、FORWARD 和 OUTPUT 链或其子链中有效

RETURN如果是在子链中,匹配条件后,无视这条rule,如果是在主链中,则采取默认策略(ACCEPT,REJECT等等)
REDIRECT

匹配条件后,做端口转换

REDIRECT 目标仅在 nat 表的 PREROUTING 和 OUTPUT 链中有效

DNAT

匹配条件后,做地址转换

DNAT 目标仅在 nat 表中的 PREROUTING 和 OUTPUT 链中有效

NOTRACK匹配条件后,数据不被跟踪。也就是用conntrack命令 看不到记录。

还有很多target,不常用,再有就是跳转到自定义的子链。

其它详细的可以参照target

2.4 链接追踪 Connection Tracking

# 用conntrack命令来跟踪数据包的路线
# Centos
yum install conntrack-tools

# Ubuntu
apt install conntrack

# 用法
conntrack -E

下一篇

迷茫的中年程序员
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux网络防火墙-iptables基础详解
一夜长风的专栏
08-24 9988
一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代
linux 防火墙管理工具-- iptables基础知识
wdwangye的博客
05-01 1142
iptables 定义:iptables并不是只防火墙,而是一种客户端工具。用户通过这个客户端(iptables)将用户的安全设定执行到对应的“安全框架”中。这个安全框架才是真正的防火墙。框架名字叫netfilter。 就是通过iptables来操作netfilter。 规则(Rules) 规则就是网络管理员预定义的条件。规则一般的定义为“如果数据报头符合这样的条件,就这样处理这个数据包“”...
linuxyum下载rpm包离线安装conntrack-tools
农民工
04-15 6649
如何下载rpm包,进行离线安装 文章目录前言一.yum下载rpm包离线安装方式方法一:使用yum 的 downloadonly 插件下载方法二:使用yumdownloader下载方法三:使用repotrack下载所有依赖二、下载conntrack-tools相关包1.获取依赖关系2.根据组织依赖下载包3.查看下载结果4.离线安装 rpm(未联网的环境也可以执行)5.测试 前言 ​ 通常生产环境由于安全原因都无法访问互联网。此时就需要进行离线安装,主要有两种方式:源码编译、rpm包安装。源码编译耗费时间长
linux conntrack命令 路由连接 跟踪表 显示删除监听记录
热门推荐
whatday的专栏
11-01 1万+
conntrack命令可以显示,删除和更新跟踪表现有状态条目,还可以监听流事件 1.安装: yum install -y conntrack 2.使用: 查看conntrack表记录 conntrack -L 过滤条件输出 # conntrack -U -p tcp --dport 3486 --mark 10 tcp 6 431982 ESTABLISHED src=192.168.2.100 dst=123.59.27.117 sport=34846 dport=993 pa
iptables
cp_dvd的博客
08-20 1383
指定多个源端口[!# 指定多个目标端口[!..#多个源或目标端[!][root@rock1 ~]# iptables -A INPUT -s 10.0.0.151/16 -d 10.0.0.150 -p tcp -m multiport --dports 20:30,80 -j ACCEPT (追加,INPUT,源,目标,指定协议,-m指定命令,指定端口号,接受 )
linuxconntrack连接跟踪
农民工
04-15 3321
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本文章正文内容,下面案例可
安装试用Kubernetes单机版
weixin_42742756的博客
05-18 413
Minikube提供了一种非常简单的方法来安装单节点的K8S环境。实现单机版kubernetes
计算机三级Linux系统应用与开发教程-习题答案及知识点整理
03-18
- 防火墙配置:iptables的规则设置,实现端口转发和访问控制。 - 密码策略:理解密码复杂度要求,设置账户锁定策略。 - SELinux:了解SELinux的工作原理和策略配置。 7. **故障排查与性能优化**: - 日志分析:...
linux学习资料
02-22
- 防火墙和安全:理解iptables防火墙规则,以及如何保障Linux系统的安全。 通过这三份学习资料,你不仅可以掌握Linux的基本操作,还能了解到Linux系统背后的原理和工作方式。随着对Linux的理解加深,你将能够更...
linux学习-很适合初学者兼管理员常用命令,系统环境的搭建
05-07
7. **防火墙规则**:设置`ufw`或`iptables`防火墙规则,保障系统安全。 8. **日志查看**:通过`journalctl`或`tail`等命令查看系统和应用日志,便于问题排查。 提到的两个文件《Linux使用手册》和《LINUX系统管理...
Linux速查手册HandBood系列(By FengGe整理)
03-05
Linux速查手册HandBook系列是Linux用户和管理员的宝贵资源,由FengGe精心整理,旨在帮助用户快速理解和解决在Linux环境中遇到的问题。这个手册涵盖了Linux操作系统的基础知识、常用命令、系统管理、网络配置、安全...
期末Linux复习资料整理
06-22
11. **安全管理**:了解Linux防火墙iptables/ufw)、用户认证(shadow文件)、权限策略和 SELinux 等安全措施,以确保系统的安全性。 12. **磁盘管理**:掌握分区工具(如fdisk)、格式化(mkfs)、挂载(mount...
ubuntu18.04使用kubeadm初始化集群
qq_45654671的博客
12-08 516
ubuntu使用kubeadm初始化k8s集群
iptables详解
支持向量机学习笔记
10-12 1628
iptables是命令行工具,通过iptables将用户的安全设置添加到安全框架即防火墙netfilter中。netfilter位于内核空间,是Linux操作系统内部的一个数据包处理模块。netfilter/iptables(简称iptables),是Linux下的包过滤防火墙,可替代商业防火墙,提供封包过滤、封包重定向和网络地址转换(NAT)等功能。
安装conntrack-tools
weixin_34349320的博客
07-02 3048
打开Linux的IPv4转发,修改/etc/sysctl.conf文件,将 net.ipv4.ip_forward = 0   (1)安装conntrack-tools工具   /etc/yum.repo.d目录增加CentALT.repo,内容如下: [CentALT] name=CentALT Packages for Enterpris...
SECURITY:iptables防火墙(网络层)
LgMizar的博客
12-28 628
文章目录防火墙包过滤防火墙四表五链表链表实现的链包过滤匹配流程iptables用法解析iptabels基本用法iptabels语法格式iptables命令匹配规则防火墙规则实例filter过滤和转发控制开启内核的IP转发iptables防火墙规则的条件主机型防火墙案例网络防火墙案例添加网关的命令扩展匹配扩展条件的方法常见的扩展条件类型扩展案例根据MAC地址过滤基于多端口设置过滤规则根据IP地址范...
iptables5表5链浅析
m0_65187145的博客
10-08 877
iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。
接着探索Linux的世界 -- 基本指令(文件查看、时间相关、打包压缩等等)
最新发布
weixin_73359101的博客
07-14 1321
命令输出到某个指定文件中,而不是输出到终端屏幕或终端窗口。我们从键盘输入什么,cat命令就打印什么。命令 + >> + 目标文件名。: 将命令的结果写入目标文件中;这两条指令的作用等价。
Linux防火墙iptables
09-14
yum -y install iptables iptables-services.x86_64 # 启动iptables防火墙并设置开机自启 systemctl start iptables.service systemctl enable iptables.service ``` 2. iptables的基本语法由以下部分组成: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值