netfilter(2)-iptables

最新推荐文章于 2022-08-09 01:03:09 发布
最新推荐文章于 2022-08-09 01:03:09 发布
阅读量403 收藏
点赞数
分类专栏: 内核编程 文章标签: 内核 append filter tcp iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wgwgnihao/article/details/43375099
版权

iptables基本原理:

    通过向防火墙提供有关对来自某个源、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用Netfilter/iptables系统提供的特殊命令iptables,建立这些规则,并将其添加到内核空间的特定信息包过滤表内的链中。关于添加/除去/编辑规则的命令的一般语法如下:

iptables [-t table] command [match] [target]

不难看出,一条iptables规则包含如下4个基本元素:

1.表  2.命令  3.匹配  4.目标

1) 表(table)

[-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三种可用的表选项:filter、nat和mangle。该选项不是必需的,如果未指定,则filter用作默认表。filter表用于一般的信息包过滤,包含INPUT、OUTPUT和FORWAR链。nat表用于要转发的信息包,它包含PREROUTING、OUTPUT和POSTROUTING链。如果信息包及其头内进行了任何更改,则使用mangle表。该表包含一些规则来标记用于高级路由的信息包以及PREROUTING和OUTPUT链。

2) 命令(command)

command部分是iptables命令的最重要部分,它告诉iptables命令要做什么,例如,插入规则、将规则添加到链的末尾或删除规则。主要有如表1所示的命令。

      表1 iptables常用命令

                     命          令说                          明
-A或--append该命令将一条规则附加到链的末尾
-D或--delete通过用-D指定要匹配的规则或者指定规则在链中的位置编号,该命令从链中删除该规则
-P或--policy该命令设置链的默认目标,即策略。所有与链中任何规则都不匹配的信息包都将被强制使用此链的策略
-N或--new-chain用命令中所指定的名称创建一个新链
-F或--flush如果指定链名,该命令删除链中的所有规则,如果未指定链名,该命令删除所有链中的所有规则。此参数用于快速清除
-L或--list列出指定链中的所有规则
-R或--replace替换指定链中一条匹配的规则
-X或--delete-chain删除指定用户的的定义链,若没有指定链,则删除所有的用户链
-C或--check检查数据包是否与指定链的规则相匹配
-Z或--zero将指定链中所有规则的byte计数器清零
3) 匹配(match)

iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源和目的地地址、协议等)。匹配分为两大类:通用匹配和特定于协议的匹配。这里,将研究可用于采用任何协议的信息包的通用匹配。下面是一些重要的且常用的通用匹配及其说明,如表2所示。

表2 通用匹配说明

通用匹配说    明
-p或--protocol该通用协议匹配用于检查某些特定协议。协议示例有TCP、UDP、ICMP、用逗号分隔的任何这三种协议的组合列表以及ALL(用于所有协议)。ALL是默认匹配。可以使用!符号表示不与该项匹配
-s 或 --source该源匹配用于根据信息包的源IP地址来与它们匹配。该匹配还允许对某一范围内的IP地址进行匹配,可以使用!符号,表示不与该项匹配。默认源匹配与所有IP地址匹配
-d 或 --destination该目的地匹配用于根据信息包的目的地IP地址来与它们匹配。该匹配还允许对某一范围内IP地址进行匹配,可以使用!符号表示不与该项匹配
--sport指定匹配规则的源端口或端口范围
--dport指定匹配规则的目的端口或端口范围
-i匹配单独的网络接口或某种类型的接口设置过滤规则
4) 目标(target)

前面已经讲过,目标是由规则指定的操作,对与那些规则匹配的信息包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项。下面是常用的一些目标及其示例和说明,如表3所示。

      表3 目标项说明

目 标 项说    明
ACCEPT当信息包与具有ACCEPT目标的规则完全匹配时,会被接受(允许它前往目的地)
DROP当信息包与具有DROP目标的规则完全匹配时,会阻塞该信息包,并且不对它做进一步处理。该目标被指定为-j DROP
REJECT该目标的工作方式与DROP目标相同,但它比DROP好。和DROP不同,REJECT不会在服务器和客户机上留下死套接字。另外,REJECT将错误消息发回给信息包的发送方。该目标被指定为-j REJECT
RETURN在规则中设置的RETURN目标让与该规则匹配的信息包停止遍历包含该规则的链。如果链是如INPUT之类的主链,则使用该链的默认策略处理信息包。它被指定为-jump RETURN
LOG表示将包的有关信息记录入日志
TOS表示改写数据包的TOS值()type of service:3bit

会飞的幸运儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ProtocolFilters--NetFilter SDK- Full Sources.rar
08-17
超过98%的资源
【协议森林】详解Netfilter(二)
平凡的世界
01-11 1369
1、何为连接跟踪 顾名思义,连接跟踪(CONNTRACK)就是跟踪并且记录连接状态。Linux为每一个经过网络协议栈的数据包,根据5元组信息(源IP、目的IP、源端口、目的端口和协议号)来生成一个新的连接记录项(Connectionentry)。此后,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础,同时也是地址转换中实现SNAT和DNAT的前...
netfilter&iptables探讨(2)——netfilter原理与实现
dillanzhou的博客
08-09 1148
​在上一篇文章《netfilter&iptables探讨(1)——基本原理》中,我们分析了netfilter和iptables机制的基本原理以及相关的模块和接口。本文将进一步探讨这套机制的基石——netfilter的原理和实现。
netfilter例子改写2
mounter625的专栏
08-21 699
netfilter test examples are for linux 2.4. Now these examples are rewrite on linux kernel 3.2.19 filter_tcp.c --------------------Begin-------------------------------------- /* Sample code to insta
Linux协议栈-netfilter(2)-conntrack
热门推荐
落尘纷扰的专栏
04-04 1万+
连接跟踪(conntrack)用来跟踪和记录一个连接的状态,它为经过协议栈的数据包记录状态,这为防火墙检测连接状态提供了参考,同时在数据包需要做NAT时也为转换工作提供便利。本文基于Linux内核2.6.31实现的conntrack进行源码分析。1. conntrack模块初始化1.1 conntrack模块入口conntrack模块的初始化主要就是为必要的全局数据结构进行初始化,代码流程如下:上...
Netfilter-IPTables框架简介
07-21
Netfilter-IPTables框架简介,Netfilter-IPTables框架简介,Netfilter-IPTables框架简介
go-iptables:围绕iptables实用程序进行包装
04-28
go-iptables 绑定iptables实用程序。... Netfilter开发人员大力提倡使用iptables实用程序进行编程操作。 go-iptables将iptables实用程序的调用与附加和删除规则的函数包装在一起; 创建,清除和删除链。
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
09-06
Linux防火墙Netfilter-iptables扩展机制及应用研究.pdf
rust-iptables:iptables的Rust绑定
05-07
锈iptables 此板条箱为Linux中的应用程序提供了绑定(受启发)。 这个板条箱使用iptables二进制文件来操作链和表。 此源代码是根据MIT许可(可在LICENSE文件中找到)许可的。 [ dependencies ]iptables = " 0.4 ...
NetFilter (2)
Henzox的专栏
02-12 1593
NetFilter 构架原理分析。
NetFilter防火墙驱动
10-24
NetFilter防火墙驱动 驱动调用~ 网络驱动层封包截取一系列源码里面包含一个完整的网络防火墙程序
2.6.30内核Netfilter的简单例子、二(DropLo)
09-11
感觉上一个例子过于简单,再来一个带判断条件的:丢弃所有来自环路设备的数据包,drop lo。 教程地址:http://blog.csdn.net/sahusoft/archive/2009/09/11/4541286.aspx
Linux Netfilter实现机制和扩展技术
08-27 1996
Linux Netfilter实现机制和扩展技术内容:1. IP Packet Flowing2. Netfilter Frame3. Netfilter-iptables Extensions4. 案例:用Netfilter实现VPN
两个netfilter的例子
小猪爱拱地
02-12 5065
1。 第一个,简单的丢弃掉网络包: //'Hello World' netfilter hooks example //For any packet, we drop it, and log fact to /var/log/messages #include #include #include #include static struct nf_hook_ops nfho;
Netfilter框架
gh201030460222的博客
11-04 726
Netfilter框架1. Netfilter的框架流程2. 数据流向 1. Netfilter的框架流程 Netfilter有4个表,5条链 1,4个表的优先级为: raw > mangle > nat > filter 2,每个表包含的链: Raw表: PREROTING、OUTPUT Mangle表:PREROUTING、INPUT、OUTPUT、POSTROUTI
Linux-iptables详解
weixin_34184561的博客
03-26 347
一:前言   防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。   目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 ...
netfilter分析2-表在内核的初始化
一个码农的足迹
07-23 483
上一节讲了钩子函数用表中的规则处理报文从而实现防火墙功能,这一节对表的初始化流程进行描述。为了保持和上一章的延续我们回到filter表钩子函数初始化入口: 所在文件net/ipv4/netfilter/iptable_filter.c static int __init iptable_filter_init(void) { int ret; ret = register_pernet_subsys(&iptable_filter_net_ops); if (ret < 0
node-v18.18.2-headers.tar.xz
最新发布
05-20
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
netfilter和iptables的区别
06-13
而iptables是基于Netfilter框架的一个用户空间的工具,用于配置和控制Linux内核中的Netfilter子系统。 简单来说,Netfilter是一个内核层面的框架,提供了对网络数据包的处理和过滤的功能,而iptables是基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

会飞的幸运儿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值