iptables

最新推荐文章于 2023-08-26 15:44:18 发布
最新推荐文章于 2023-08-26 15:44:18 发布
阅读量1.3k 收藏 2
点赞数
文章标签: linux 网络 运维 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47105257/article/details/122718209
版权

iptables

netfilter

iptables的底层实现是netfilter。netfilter是linux 内核2.4版引入的一个子系统,最初是由Linux内核防火墙和网络维护者Rusty Russell提出。netfilter的架构就是在整个网络流程的若干位置放置一些钩子,并在每个钩子上挂载一些处理函数进行处理。
IP层的5个钩子点的位置,对应iptables就是5条内置链,分别是***PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD***。
netfilter的原理图如下图所示:
![在这里插入图片描述](https://img-blog.csdnimg.cn/f7e7bcfe996843fe8c55d273b1f051d1.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAd2VpeGluXzQ3MTA1MjU3,size_20,color_FFFFFF,t_70,g_se,x_16
路由决策:例如,决定从机器的哪块儿网卡出去,下一跳地址是多少等。

iptables 的三板斧:table, chain和rule

iptables:5X5,即5张表(table)和5条链(chain)。5条链即iptables的5条内置链,对应上述图中的netfilter的5个钩子。
5条链分别是:

  • INPUT链:一般用于处理输入本地进程的输入数据包
  • OUTPUT链:一般用于处理输入本地进程的输出数据包
  • FORWARD链:一般用于处理转发到其他机器/network namespace的数据包。
  • PREROUTING链:可以在此进行DNAT
  • POSTROUTING链:可以在此进行SNAT
    除了上述系统预定义的5条iptables链,用户还可以在表中定义自己的链
    5张表:
  • filter表: 用于控制到达某条链上的数据包是继续放行(accept),直接丢弃(drop)或者拒绝(reject)。
  • nat表: 用于修改数据包的源和目的地址。
  • mangle表: 用于修改数据包的IP头信息。
  • raw表: iptables是有状态的,即iptables对数据包有连接追踪(connection tracking)机制,而raw是用来去除这种追踪机制的。
  • security: 用于在数据包上应用SELinux。security表是新加入的特性。
    iptables表的优先级:
    在这里插入图片描述
    注意: iptables不支持用户自定义表
最低0.47元/天 解锁文章
weixin_47105257
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封包需转送处理则检查Postrouting,如果是来自本机封包,则检查OUTPUT以及Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了ACCEPT、REJECT、DROP、REDIRECT和MASQUERADE以外,还多出 LOG、ULOG等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤,一直到堆栈中的规则检查完毕为止。
iptables优先顺序
热门推荐
stonesharp的专栏
05-21 1万+
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由
iptables 优先级
weixin_30698527的博客
08-17 1417
来自为知笔记(Wiz) 转载于:https://www.cnblogs.com/gyming/p/5781145.html
7、iptables之四表优先级以及完整的流程图
LiuWei
05-07 1337
比较常用的就是: FILTER INPUT NAT PREROUTHING NAT POSTROUTHING
iptables 设置下面的规则优先级最高 iptables -A INPUT -p tcp --dport * -j ACCEPT
weixin_35755562的博客
01-08 2083
iptables 中,规则的优先级是由它们在规则链中的位置决定的。因此,要让下面的规则具有最高优先级,你需要将其放在规则链的最前面。 例如: iptables -A INPUT -p tcp --dport * -j ACCEPT iptables -A INPUT -p udp --dport * -j DROP 在这个例子中,对 TCP 流量的 ACCEPT 规则具有最高优先级,因为它位...
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
iptables详解
09-04
安全体系概览,预备知识:OSI七层模型,Firewalls: netfilter/iptables,数据包的流向图(iptables语法,标准流程)
Centos离线安装iptables.docx
04-15
Centos离线安装iptables
linux防火墙之iptablesNAT
qinwunan的博客
05-31 927
防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。
如何使用iptablesNAT
weixin_43402206的博客
08-25 1902
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着,所有的防火墙策略规则都被分别写入这些表与链中。
iptablesNAT配置
weixin_33971130的博客
03-19 251
iptablesNAT配置1.环境介绍:克隆虚拟机,命名为网关并添加网卡(第一块eth0外网桥接,第二块eth1内网host-only),克隆虚拟机并命名为内网主机网卡为host-only。2.网关上配置NAT:1)配置网关的ip地址:[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0DEVIC...
iptables防火墙----filter表的学习-INPUT
weixin_69899223的博客
06-13 2426
iptables防火墙----filter表的学习-INPUT
iptables学习
weixin_46428609的博客
08-26 619
3.8 Linux IPTABLES中默认是阻止所有端口访问的,如果要开放服务的网络访问,一般要开通相关IP或端口访问。1. iptables -t filter -A与iptables -t filter -I的区别。3.4 当在云主机上操作iptables,注意不要因为修改iptables导致与云主机的连接断开。3.7 一般情况下,filter表中,一般只限制INPUT链中对一些来源IP或端口进行限制。-A会追加到当前表的最后,-I会添加到当前表的第一行。只能清除添加的规则,默认规则是不受影响的。
iptablesnat规则骚操作
weixin_30797027的博客
09-14 496
水一枪 我对防火墙这块的认知是比较低的, 之前一直没怎么去用 最多的要么就是 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,这还是以前刚出来接触linux的时候redhat6跑的,后来改革了,好吧,centos7 fir...
Iptables防火墙的四表五链概念以及使用技巧
江晓龙的博客
07-08 3166
在防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则处理数据报文的动作。 Iptables有五种不同的链,分
查询iptables
最新发布
04-30
iptablesLinux系统中用于配置和管理网络防火墙的工具。它允许管理员定义规则来控制网络流量的进出。以下是查询iptables的一些常用命令和方法: 1. 查看当前的iptables规则: ``` iptables -L ``` 2. 查看详细...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值