01iptables规则表及规则链

最新推荐文章于 2024-07-25 19:59:08 发布
最新推荐文章于 2024-07-25 19:59:08 发布
阅读量136 收藏
点赞数
分类专栏: Linux防火墙 文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46686336/article/details/129945301
版权

iptables规则表及规则链

一、Linux包过滤防火墙

  • selinux

    • 它是linux系统特有的安全机制,限制比较多,配置很繁琐,没有人真正会使用这个来做网安

      # 临时管理
[root@CentOS7-4 ~]# setenforce 0
setenforce: SELinux is disabled

    • 永久关闭的方法:/etc/sysconfig/selinu,就只需要修改下面的内容即可永久关闭(enforcing是开启)

      在这里插入图片描述

    • 查看当前selinux状态:getenforce

      [root@CentOS7-4 ~]# getenforce
Disabled

    • 注意:如果由 enforcing 或 permissive 改成 disabled,或由 disabled 改成其他两个,那也必须要重新开机。这是因为 SELinux 是整合到核心里面去的,你只可以在SELinux 运作下切换成为强制 (enforcing) 或宽容 (permissive) 模式,不能够直接关闭 SELinux 的!同时,由 SELinux 关闭 (disable) 的状态到开启的状态也需要重新开机啦。

  • netfilter

    • Linux2.4.x的版本引入的一个子系统,提供整套是hook函数的管理机制,提供包过滤,NAT(网络地址转换)、跟踪协议类型的连接。
    • 它是LInux内核的包过滤体系,处于内核态

  • iptables

    • linux3.5版本集成的一个ip信息包过滤系统 。
    • 位置/sbin/iptables,用来管理防火墙的规则的工具
    • 这个iptables处于用户态

  • firewalld

    • 和iptables 是一个东西,他们都是应用软件,用户态
二、包过滤原理

  • 主要是网络层,针对IP数据包

  • 体现在对包内的IP地址、端口等信息的处理上

    在这里插入图片描述

三、iptables
1、centos系统默认防火墙使用的是firewalld,所以,我们还得安装一下iptables。停用firewalld防火墙:
  • [root@CentOS7-4 ~]# systemctl stop firewalld      
[root@CentOS7-4 ~]# systemctl disable firewalld  (不让开机自启)
#查看防火墙状态
[root@CentOS7-4 ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:firewalld(1)

    在这里插入图片描述

  • 安装与配置iptables
    #查看安装包
[root@CentOS7-4 ~]# yum search iptables
已加载插件:fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
=========================================== N/S matched: iptables ===========================================
iptables-devel.i686 : Development package for iptables
iptables-devel.x86_64 : Development package for iptables
iptables-services.x86_64 : iptables and ip6tables services for iptables
iptables-utils.x86_64 : iptables and ip6tables services for iptables
iptables.i686 : Tools for managing Linux kernel packet filtering capabilities
iptables.x86_64 : Tools for managing Linux kernel packet filtering capabilities

  名称和简介匹配 only,使用“search all”试试。

#安装iptables和iptables-services
[root@CentOS7-4 ~]# yum -y install iptables-services iptables

#开启iptables
[root@CentOS7-4 ~]# systemctl start iptables
#查看iptables状态
[root@CentOS7-4 ~]# systemctl status iptables
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
   Active: active (exited) since 一 2023-04-03 15:39:14 CST; 1s ago
  Process: 1473 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
 Main PID: 1473 (code=exited, status=0/SUCCESS)

4月 03 15:39:14 CentOS7-4 systemd[1]: Starting IPv4 firewall with iptables...
4月 03 15:39:14 CentOS7-4 iptables.init[1473]: iptables: Applying firewall rules: [  确定  ]
4月 03 15:39:14 CentOS7-4 systemd[1]: Started IPv4 firewall with iptables.

    在这里插入图片描述

    需要联网,如果没修改过镜像的话下载速度有点慢,太慢了的情况,可以看看之前的笔记,修改成国内镜像,或者使用本地yum源的方法!!!链接:安装及管理应用程序

2、规则链
  • 规则的作用:对数据包进行过滤或处理
  • 链的作用:容纳各种防火墙规则
  • 链的分类依据:处理数据包的不同时机
  • 5种规则链
  • INPUT:处理入站数据包
  • OUTPUT:处理出站数据包
  • FORWARD:处理转发数据包
  • POSTROUTING链:在进行路由选择后处理数据包
  • PREROUTING链:在进行路由选择前处理数据包
3、规则表

  • 表的作用:容纳各种规则链

  • 表的划分依据:防火墙规则的作用相似

  • 4个规则表

  • raw表:确定是否对该数据包进行状态跟踪

  • mangle表:为数据包设置标记

  • nat表:修改数据包中的源、目标IP地址或端口

  • filter表:确定是否放行该数据包(过滤)

    在这里插入图片描述

4、匹配流程
  • 规则表之间的顺序:raw→mangle→nat→filter
  • 规则链之间的顺序
  • 入站:PREROUTING→INPUT
  • 出站:OUTPUT→POSTROUTING
  • 转发:PREROUTING→FORWARD→POSTROUTING
  • 按顺序依次检查,匹配即停止(LOG策略例外)
  • 若找不到相匹配的规则,则按该链的默认策略处理
  • 如果没有任何策略,则直接允许

:PREROUTING→INPUT

  • 出站:OUTPUT→POSTROUTING
  • 转发:PREROUTING→FORWARD→POSTROUTING
  • 按顺序依次检查,匹配即停止(LOG策略例外)
  • 若找不到相匹配的规则,则按该链的默认策略处理
  • 如果没有任何策略,则直接允许

在这里插入图片描述

小冷爱学习!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables全面详解(图文并茂含命令指南)
程序人生
08-04 1万+
iptables原理详解及操作指南
IPTables 表、规则基础
Arlingtonroad的博客
11-29 2447
iptables 防火墙用于管理包过滤和 NAT 规则IPTables 随所有 Linux 发行版一起提供。了解如何设置和配置 iptables 将帮助您有效地管理 Linux 防火墙。 iptables 工具用于管理 Linux 防火墙规则。乍一看,iptables 可能看起来很复杂(甚至令人困惑)。但是,一旦您了解了 iptables 的工作原理及其结构的基础知识,阅读和编​​写 iptables 防火墙规则就会很容易。 本文是正在进行的 iptables 教程系列的一部分。这是该系列的第一篇文章
iptables规则表及规则及语法
weixin_42374938的博客
08-30 500
netfilter:Linux2.4.x引入了一个子系统,它作为一个通用的、抽象的框架,提供一整套的hook函数的管理机制,使得诸如数据包过滤、网络地址转换(NAT)和基于协议类型的连接跟踪成为了可能。位于Linux内核中的包过滤功能体系,称为Linux防火墙的“内核态”。iptables:与最新的3.5版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。......
2.防火墙--规则规则表(iptables)
午夜安全
08-01 3928
2.防火墙--规则规则表(iptables) 2.1规则 规则是防火墙规则(策略)的集合。 默认的5种规则 INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING:在进行路由选择后处理数据包 PREROUTING:在进行路由选择前处理数据包 2.2规则规则表是规则的集合。 (1)默认的4个规则表 ra...
Docker中iptables规则iptables重启后丢失的完整过程
01-09
前因后果 1、在跳板机上使用ansible命令测试机器B时,报错如下,于是就怀疑是网络防火墙的问题 10.10.0.86 | FAILED >> { failed: true, msg: /bin/sh: /usr/bin/python: No such file or directory\r\nOpenSSH_...
iptables基本命令规则简介
11-21
mangle 表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING。 iptables 主要参数: * -A 向规则中添加一条规则,默认被添加到末尾 * -T 指定要...
详解Linux iptables常用防火墙规则
01-20
IPTABLES 是与最新的 3.5 版本 ...在数据包过滤表中,规则被分组放在我们所谓的(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。 虽然 netfilter/iptab
iptables建立规则的基本方法.docx
09-26
iptables建立规则的基本方法.docx
iptables_Semantics:经过验证的iptables防火墙规则集分析
02-04
支持iptables过滤器表中的所有常见操作:ACCEPT,DROP,REJECT,LOG,调用用户定义的,RETURN,GOTO到终端,空操作。 支持所有原始匹配条件(通过抽象未知匹配条件)。 转换为简化的防火墙模型。 欺骗防护...
iptables的概述——四表五、使用方法、规则
ItookapillinNJ的博客
04-01 1741
概述 Linux 系统的防火墙——netfilter/iptables :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 与netfilter的关系 netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又
LinuxLinux发展史
weixin_51142926的博客
07-22 4296
大家好!此篇文章并非技术博文,而是简单了解Linux的时代背景和发展史,只有知其所以然才能让我们更好地让走进Liunx的世界!
RV1126 Linux 系统,接外设,时好时坏(一)应该从哪些方面排查问题
小灰灰的博客
07-25 103
Linux 系统中排查外设连接问题时,需要从硬件、软件、时序和协议等多个方面进行全面分析。逐步排查并记录每一步的测试结果,有助于快速定位问题的根源。解决 “时好时坏”的问题可能需要综合考虑多个因素,耐心细致的排查将会提高找到解决方案的效率。
linux上导出数据库
weixin_43652507的博客
07-24 293
linux上导出数据库 MySQL、PostgreSQL、SQLite、MongoDB
Linux】管道通信和 system V 通信
Front123456的博客
07-24 800
因为它们的第一个字段 ipc_perm 是一样的,所以可以维护一个 struct ipc_perm* 的指针数组,存共享内存、消息队列、信号量它们三者中,第一个元素的地址,也就是 &ipc_perm。这样就可以把共享内存、消息队列和信号量三个部分直接管理起来了。而我们知道结构体的第一个成员的地址和结构体对象的地址在数值上是相同的,并且操作系统在内部可以识别这个对象是共享内存、消息队列和信号量中的哪一个,因此我们拿到这个数组中的 ipc_perm 地址便能访问这结构体的其它成员,将它们管理起来
Linux下pip的安装、命令总结、换源
2301_79695159的博客
07-24 546
Linux下pip的安装、命令总结、换源
LinuxLinux makefile 教程
沐风—云端行者
07-23 727
什么是makefile?或许很多Winodws的程序员都不知道这个东西,因为那些Windows的IDE都为你做了这个工作,但我觉得要作一个好的和professional的程序员,makefile还是要懂。这就好像现在有这么多的HTML的编辑器,但如果你想成为一个专业人士,你还是要了解HTML的标识的含义。特别在Unix下的软件编译,你就不能不自己写makefile了,会不会写makefile,从一个侧面说明了一个人是否具备完成大型工程的能力。因为,makefile关系到了整个工程的编译规则。一个工程中的源文
Linux取消U盘自动挂载
最新发布
dmgy110的博客
07-25 309
【代码】Linux取消U盘自动挂载。
Linux——DNS服务搭建
ln2915275834的博客
07-23 911
要求能够ping通外网,有yum源。
linux删除iptables规则
05-30
删除 iptables 规则需要指定规则规则编号。可以使用以下命令删除指定规则: ``` iptables -D <chain> ``` 其中,`<chain>` 指定规则的名称,`<rule-number>` 指定要删除的规则编号。 例如,如果要删除 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值