Linux防火墙——四表五链

最新推荐文章于 2024-09-27 21:36:17 发布
最新推荐文章于 2024-09-27 21:36:17 发布
阅读量1.2k 收藏 8
点赞数 2
分类专栏: Linux网络 文章标签: linux 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47219818/article/details/107756829
版权

文章标题

一、iptables

1、iptables与Netfilter

iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作

Netfilter模块:

它是主要的工作模块,位于内核中,在网络中的五个位置(也就是防火墙四表五链)注册了一些函数,用来抓取数据包;把数据包的信息拿来匹配各个各个链位置在对应表中的规则:匹配之后,进行相应的处理ACCEPT、DROP等等。

两者间的关系:

2、四表五链(重要)

四表五链:

一个表----->多个链链

一个链------->多个规则

链就是位置:共有五个:进路由(PREROUTING)、进系统(INPUT)、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING)

进出路由做数据转换时用到,一般用不到
表就是存储的规则:数据包到了该链接,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。
1)、具体的四表
filter表——过滤数据包 转发用到filter表* 默认表

NAT表——用于网络地址转换(IP、端口) 地址转换匹配nat表*

Mangle表——修改i数据包的服务类型、TTL、并且可以配置路由实现QOS 网络拥塞时用到Mangle表

Raw表——决定数据包是否被状态跟踪机制处理 追踪数据包流向时用到
2)、具体的五链
之前处理的是prerouting链

之后处理的时是postrouting链

INPUT——进来的数据包应用此规则链中的策略
OUTPUT——外出的数据包应用此规则链中的策略
FORWARD——转发数据包时应用此规则链路中的策略
PREROUTING——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时候都先由这个链处理)
POSTROUTING——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时候都先由这个链处理)

3、iptables语法格式

iptables  [-t 表名] 选项 [链名] [条件] [-j 控制类型 ]

iptables常用参数
-P 设置默认策略 iptable

-P INPUT (DROP|ACCEPT)

-F 清空规则链

-L 查看规则链

-A 在规则链的末尾加入新规则

-I num 在规则链的头部加入新规则

-D num 删除某一条规则

-s 匹配来源地址 IP/MASK,加叹号“ !”表示除这个IP外

-d 匹配目标地址

-i 网卡名称 匹配从这块网卡流入的数据 入站口

-o 网卡名称 匹配从这块网卡流出的数据 出站口

*防火墙默认两个网卡

-p 匹配协议,如tcp,udp,icmp

–dport num 匹配目标端口号

–sport num 匹配来源端口号

二、Firewalld

1、Firewalld概述

支持网络区域所定义的网络链接以及接口安全等级的动态防火墙管理工具
支持IPv4、IPv6防火墙设置以及以太网网桥
支持服务或应用程序直接添加防火墙规则接口
拥有两种配置模式(运行时配置,永久配置)

2、Firewalld和iptables的关系(两个都属于工具)

netfilter
位于linux内核中的包过滤功能体系
称为linux防火墙的“内核态”
Firewalld/iptables
CentOS7默认的管理防火墙规则的工具(Firewalld)
称为linux防火墙的“用户态”
真正能与内核态(kernel)交互是iptables,不是firewall
Firewalld和iptables的区别
Firewalld逻辑层面上的隔离 ,而iptables是没有的

内容Firewalldiptables
配置文件/usr/lib/firewalld/ /etc/firewalld//etc/sysconfig/iptables
对规则的修改不需要全部刷新策略,不丢失现行连接需要全部刷新策略,丢失连接
防火墙类型动态防火墙静态防火墙

3、Firewalld网络区域

区域介绍
区域如同进入主机的安全门,每个区域都具有不同限制程度的规则
可以使用一个或多个区域,但是任何一个活跃区域至少需要关联源地址或接口
默认情况下,public区域时默认区域,包含所有接口(网卡)
Firewalld数据处理流程
●检查数据来源的源地址
若源地址关联到特定的区域,则执行该区域所指定的规则
若源地址未关联到特定的区域,则使用传入网络接口的区域并执行该区域所指定的规则
若网络接口未关联到特定的区域,则使用默认区域并执行该区域所指定的规则
区域划分

区域描述
drop(丢弃)任何接收的网络数据包都被丢弃,没有任何回复。仅能有发送出去的网络连接
block(限制)任何接收的网络连接都被IPv4的icmp-host-prohibited信息和IPv6的icmp6-adm- prohibited信息所拒绝
public(公共)在公共区域内使用,不能相信网络内的其他计算机不会对您的计算机造成危害,只能接收经过 选取的连接
external(外部)特别是为路由器启用了伪装功能的外部网。您不能信任来自网络的其他计算,不能相信它们不 会对您的计算机造成危害,只能接收经过选择的连接
dmz(非军事区)用于您的非军事区内的电脑,此区域内可公开访问,可以有限地进入您的内部网络,仅仅接收 经过选择的连接
work(工作)用于工作区。您可以基本相信网络内的其他电脑不会危害您的电脑。仅仅接收经过选择的连接
home(家庭)用于家庭网络。您可以基本信任网络内的其他计算机不会危害您的计算机。仅仅接收经过选择 的连接
internal(内部)用于内部网络。您可以基本上信任网络内的其他计算机不会威胁您的计算机。仅仅接受经过选 择的连接
trusted(信任)可接受所有的网络连接

*public 默认情况下 所有端口都在pubilic

dmz 外网内网中间区域,外网访问dmz,不访问内网

硬件防火墙:

高安全往低安全访问

低不可以往高访问

做入站默认规则可以低访问高

block 放到block中就ping不通了

最优杰
关注
专栏目录
Linux系统管理(3)——防火墙 iptables基本原理 四表五链 NetFilter 概述
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
06-02 1万+
Linux防火墙主要就行工作的部分在内核,这个模块叫NetFilter;我们平时配置的iptables是给我们的一个配置界面,我们通过iptables配置规则,配置之后,NetFilter通过这些规则来进行防火墙过滤等操作控制。NetFilter模块:它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各...
Linux防火墙——iptabels防火墙(一)
橘子的博客
05-02 1356
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np impo.
iptables防火墙理论清晰解释(四表、五链、流程图文并茂)学习不能忘!!!
weixin_47151643的博客
08-01 3686
文章目录前言一:iptables包过滤的概述1.1:netfilter1.2:iptanbles1.3:包过滤的工作层次二:iptables的四表、五链结构2.1:规则链2.2:具体的五链2.21:INPUT:处理入站数据包【入站就会读的链 进防火墙】2.22:OUTPUT:处理出站数据包【出站处理】2.23:PORWARD链:处理转发数据包2.24:POSTROUTING链:在进行路由选择后处理数据包2.25:PREROUTING链:在进行路由选择前处理数据包2.3:规则表2.4:默认包括的4个规则..
Linux防火墙管理之四表五链
qq_48272600的博客
12-06 352
一、五链 *如果想要防火墙能够达到防火的目的,需要在内核中设置关卡,所有进出报文均通过这些关卡。经检查后符合放行条件的放行,符合阻拦条件的阻拦这些关卡被称为链。每条链上都有相应的规则* INPUT链——进来的数据包应用此规则链中的策略 OUTPUT链——外出的数据包应用此规则链中的策略 FORWARD链——转发数据包时应用此规则链中的策略 PREROUTING链——对数据包作路由选择前应用此链中的规 则(所有的数据包进来的时侯都先由这个链处理) POSTROUTING链——对数
Linux防火墙-4表5链
最新发布
09-27 575
NAT (Network Address Translation) 表在 iptables 中用于实现网络地址转换的功能。nat表主要是snat用于内网共享上网,dnat主要用于映射内网地址到外网。
防火墙四表五链
weixin_43232833的博客
10-17 817
1.四表:nat,raw,mangle,filter 2.五链:INPUT OUTPUT POSTROUTING PREROUTING 3.对于转发的数据包,会经过PREROUTING–FORWORD–POSTROUTING 4.在同一规则链中规则匹配的特点是按顺序匹配,匹配到就可以停止; 5.数据包常见的类型有 1.ACCEPT :允许通过; 2.DROP 直接丢弃,不给出任何的反映 3.PR...
linux防火墙】iptables的四表五链以及实操应用
liu_xueyin的博客
11-29 819
iptables的组成概述linux防火墙体系主要是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或者说是网络层防火墙,4层原理的防火墙)。linux系统的防火墙体系是基于内核编码实现的,是非常稳定和高效的,所以应用广泛;netfilter/iptables:ip信息包过滤系统,实际上是由两个组件组成:netfilter和iptables;主要工作在网络层,针对ip数据包,体现在对包内的ip地址、端口信息处理。
防火墙四表五链
weixin_45697805的博客
01-06 1273
四表 4个表有:filter、nat、mangle、raw、默认表是filter(没有指定表的时候就是filter表)。 表的处理优先级:raw>mangle>nat>filter。 filter:一般的过滤功能 nat:用于nat功能(端口映射,地址映射等) mangle:用于对特定数据包的修改 raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接...
Linux防火墙——iptables(四表五链)
qq_44870887的博客
08-05 3205
一.iptables概述 • Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 1、netfilter/iptables关系 netfilter: • 属于“内核态”(KernelSpace,又称为内核空间) 的防火墙功能体系 • 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: • 属于“用户
Linux网络之iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 995
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则链中。
Linux防火墙中的“四表五链“解析
小螺号的博客
05-25 4251
目录防火墙介绍iptables和firewalld的关系四表五链四表五链对应关系在处理各种数据包时,5种默认规则链的应用时间点iptables 命令的管理控制选项 防火墙介绍 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包 iptables和firewalld Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络
linux防火墙 四表五链 语法规则
konghui099的博客
07-07 535
linux防火墙 linux防火墙linux内核的一个功能,iptables(管理工具) 结构: 四个表五个链 raw表 连接跟踪表 不常用,跟踪记录连接情况 PREROUTING OUPUT mangle表 矫正表 不常用,策略路由、QOS限速使用的 5个链都有 nat表 地址转换表 比较常用, SNAT DNAT ...
Linux防火墙之“四链五表”
cjzcc1996的博客
07-16 1932
防火墙是位于内外网之间的一组软硬件部件的组合,主要目的是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 能够指定火墙策略的两个工具包:iptables和firewalld Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实时过滤和限制,属于典型的包过滤防火墙或称作网络层防火墙(iptables) Firewalld:只用于管理Linux防火墙的命令程序,属于“用...
Linux防火墙iptables的三表五链的关系
chengfangang的专栏
03-20 4086
熟练操作Linux防火墙iptables,需要理解其三表五链及数据流的过滤流程,具体如下图:
linux 各系统防火墙
weixin_44088631的博客
06-26 307
CentOS 6(5)防火墙配置 基本操作 查看防火墙状态 service iptables status 停止防火墙 service iptables stop 启动防火墙 service iptables start 重启防火墙 service iptables restart 永久关闭防火墙 chkconfig iptables off 永久关闭后重启 chkconfig iptables on centos 7 systemctl status...
查看linux主机防火墙列表,linux防火墙状态查看的方法实例
weixin_42628688的博客
05-12 2621
linux防火墙状态查看的方法1、基本操作# 查看防火墙状态service iptables status# 停止防火墙service iptables stop# 启动防火墙service iptables start# 重启防火墙service iptables restart# 永久关闭防火墙chkconfig iptables off# 永久关闭后重启chkconfig iptables ...
Linux防火墙三表五链
运维密码
04-25 307
Linux中存在iptables和firewalld两种防火墙 iptables:更接近数据的原始操作,精度更高 firewalld:更易操作 一、防火墙的相关概念 防火墙是位于内外网之间的一组软硬件部件的组合,主要目的就是保护内外网的数据流通的安全,当外网访问内网的时候发送的数据包必须经过内网的防火墙检验是否符合规则。 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机...
[网络]五链四表详解
Insightful Ycyc
03-07 2489
链就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING);表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。
linux防火墙管理大全
fj56355113的专栏
07-28 147
查看防火状态: systemctl status firewalld 查看防火状态: service iptablesstatus 暂时关闭防火墙: systemctl stop firewalld 暂时关闭防火墙: serviceiptablesstop 永久关闭防火墙: systemctl disable firewalld 永久关闭防火墙: chkconfig iptables off 重启防火墙: systemctl enable firewalld 重启防火墙: service iptabl...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值