iptables基础知识详解

最新推荐文章于 2024-08-05 22:02:26 发布
最新推荐文章于 2024-08-05 22:02:26 发布
阅读量803 收藏 2
点赞数
分类专栏: Linux 网络 文章标签: linux 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windyf2013/article/details/109668682
版权
本文详细介绍了iptables的基础知识,包括其结构、表、链和规则。iptables有Filter、NAT、Mangle、Raw四种内建表,以及它们各自的内建链。规则的添加、删除和永久生效策略也在文中讲解。此外,还提供了如何通过iptables配置应用程序规则,如SSH和HTTP,以及如何更改默认链策略。最后,文章提到了iptables的其他高级特性,如limit、time、ttl、multiport、state和mark等,帮助读者深入理解iptables的使用。
摘要由CSDN通过智能技术生成

转载链接:https://blog.csdn.net/u011537073/article/details/82685586

iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。 
 

首先介绍iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成。如下图所示。 iptables基础知识详解

图: IPTables Table, Chain, and Rule Structure

一、iptables的表与链

iptables具有Filter, NAT, Mangle, Raw四种内建表:

1. Filter表

Filter表示iptables的默认表,因此如果你没有自定义表,那么就默认使用filter表,它具有以下三种内建链:

  • INPUT链 – 处理来自外部的数据。
  • OUTPUT链 – 处理向外发送的数据。
  • FORWARD链 – 将数据转发到本机的其他网卡设备上。

2. NAT表

NAT表有三种内建链:

  • PREROUTING链 – 处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。
  • POSTROUTING链 – 处理即将离开本机的数据包。它会转换数据包中的源IP地址(source ip address),通常用于SNAT(source NAT)。
  • OUTPUT链 – 处理本机产生的数据包。

3. Mangle表

Mangle表用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链:

  • PREROUTING
  • OUTPUT
  • FORWARD
  • INPUT
  • POSTROUTING

4. Raw表

Raw表用于处理异常,它具有2个内建链:

  • PREROUTING chain
  • OUTPUT chain

5.小结

下图展示了iptables的三个内建表:

iptables基础知识详解

图: IPTables 内建表

二、IPTABLES 规则(Rules)

牢记以下三点式理解iptables规则的关键:

  • Rules包括一个条件和一个目标(target)
  • 如果满足条件,就执行目标(target)中的规则或者特定值。
  • 如果不满足条件,就判断下一条Rules。

目标值(Target Values)

下面是你可以在target里指定的特殊值:

  • ACCEPT – 允许防火墙接收数据包
  • DROP – 防火墙丢弃包
  • QUEUE – 防火墙将数据包移交到用户空间
  • RETURN – 防火墙停止执行当前链中的后续Rules,并返回到调用链(the calling chain)中。

如果你执行iptables –list你将看到防火墙上的可用规则。下例说明当前系统没有定义防火墙,你可以看到,它显示了默认的filter表,以及表内默认的input链, forward链, output链。

# iptables -t filter –list 
Chain INPUT (policy ACCEPT) 
target    prot opt source              destination

Chain FORWARD (policy ACCEPT)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination

查看mangle表:

# iptables -t mangle –list

查看NAT表:

# iptables -t nat –list

查看RAW表:

# iptables -t raw –list

!注意:如果不指定 -t选项,就只会显示默认的 filter表。因此,以下两种命令形式是一个意思:

# iptables -t filter –list 
(or) 
# iptables –list

以下例子表明在filter表的input链, forward链, output链中存在规则:

# iptables –list 
Chain INPUT (policy ACCEPT) 
num        target                 prot    opt        source            destination 
1    RH-Firewall-1-INPUT     all       —         0.0.0.0/0         0.0.0.0/0

Chain FORWARD (policy ACCEPT)
num        target                 prot    opt        source            destination
1      RH-Firewall-1-INPUT   all        –      0.0.0.0/0           0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
num  target    prot opt source              destination

Chain RH-Firewall-1-INPUT (2 references)
num  target    prot opt source              destination
1    ACCEPT    all  –  0.0.0.0/0            0.0.0.0/0
2    ACCEPT    icmp –  0.0.0.0/0            0.0.0.0/0          icmp type 255
3    ACCEPT    esp  –  0.0.0.0/0            0.0.0.0/0
4    ACCEPT    ah  –  0.0.0.0/0            0.0.0.0/0
5    ACCEPT    udp  –  0.0.0.0/0            224.0.0.251        udp dpt:5353
6    ACCEPT    udp  –  0.0.0.0/0            0.0.0.0/0          udp dpt:631
7    ACCEPT    tcp  –  0.0.0.0/0            0.0.0.0/0          tcp dpt:631
8    ACCEPT    all  –  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
9    ACCEPT    tcp  –  0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22
10  REJECT    all  –  0.0.0.0/0            0.0.0.0/0          reject-with icmp-host-prohibited

以上输出包含下列字段:

  • num – 指定链中的规则编号
    target – 前面提到的target的特殊值
    prot – 协议:tcp, udp, icmp等
    source – 数据包的源IP地址
    destination – 数据包的目标IP地址

三、清空所有iptables规则

在配置iptables之前,你通常需要用iptables –list命令或者iptables-save命令查看有无现存规则,因为有时需要删除现有的iptables规则:

iptables –flush 
或者 
iptables -F

最低0.47元/天 解锁文章
windyf2013
关注
专栏目录
iptables基础
10-19
iptables基础,对防火墙的详细介绍,理解各种防火墙的情况
IPTABLES入门
A1942739902的博客
04-29 286
IPTABLES入门防火墙是什么?防火墙是通过制定一些有顺序的规则,用来管理进入到特定网络范围内数据封包的一种机制。防火墙从实现方法可以分为硬件防火墙和软件防火墙。硬件防火墙 是由厂商设计好的硬件设备,能够在硬件层面上实现解包封包,但离不开软件的辅助。而软件防火墙 由纯软件逻辑实现。本文所论述的防火墙是由内核空间的 netfilter 来读取,并实现让防火墙工作,而放进的地方必须要是特定的位置,
iptables】简介、命令参数、示例
最新发布
吉吉的博客
08-05 952
iptables 简介,命令参数合集,命令配置示例
iptables入门
weixin_39445116的博客
12-05 86
今天我的工作遇到了巡检网络配置的任务,这次巡检的主机都是运行十多年的机器,并不是新的firewalld,基本都是iptables,上学的时候以为这些都没人用,所以没有认真学习,现在需要用到了,所以写一篇文章记录下。
iptables 入门
好记性不如烂笔头
03-05 626
这一节开始说明 iptables 的观念及用法 iptables 中的指令,均需区分大小写。 ipchains 和 iptables 在语法上的主要的差异,注意如下∶    1. 在 ipchains 中,诸如 input 链,是使用小写的 chains 名,在 iptables 中,要改用大写 INPUT。    2. 在 iptables 中,要指定规则是欲作用在那一个规则表上(使用 
iptables手册详解
11-08
iptables手册详解,静态网页版,对netfile网络基础知识做全面介绍,详细讲解iptables命令以及应用场景。
LinuxIPTABLES配置详解
01-30
如果你的IPTABLES基础知识还不了解,建议先去看看.我们来配置一个filter表的防火墙.可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.如果你在安装linux时没有选择启动防火墙,是这样的什么规则都没有....
iptables基础配置与规则示例详解
以下是从提供的内容中提炼出的关键知识点: 1. **链的基本操作**: - 清除规则: `iptables -F` 清除filter表中的所有规则,`iptables -X` 和 `iptables -Z` 分别用于清除用户自定义链和设置mark值。 - 设置默认...
iptables 入门篇
Small_Operation的博客
04-19 547
iptables 入门篇 文章转自(小米运维)本篇文章整理了 iptables 的基本概念及入门知识,旨在帮助大家快速了解和使用 iptables。关于更多 iptables 的扩展和实践部分将在后续篇章推出,敬请期待。iptables 简介1什么是 iptables? iptablesLinux 防火墙工作在用户空间的管理工具,是 netfilter/iptables IP 信息包过滤系统...
iptables基本概念介绍和常见使用方法
Melo琦
10-22 501
ipatbles: (一): 理解:一个命令行工具,用户通过iptables将其设定的安全规则执行到对应的“安全框架”netfilter中。netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙。 机制:按照网络管理员定义的规则rules(条件),当数据包头符合这样的条件,就这样处理这个数据包。 实现: 规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、 UDP、ICMP)和服务类型(如HTTP、FTP和SMTP.
iptables知识整理
zhghost的专栏
09-30 2446
Envoy的流量劫持使用的是iptables,便对这方面知识作了一个整理,方便后续查看,算是一个读书笔记吧。一、iptables四张表表(tables)提供特定的功能,iptab...
iptables入门操作
南风喃的博客
11-02 581
文章目录一、iptables的增删查改1.查2.增3.删4.改5.保存规则二、匹配更多条件1.源地址与目标地址2.协议类型3.网卡接口4.扩展匹配条件4.1源端口与目标端口4.2源地址与目标地址4.3string模块4.4time模块4.5state状态扩展模块 一、iptables的增删查改 1.查 [root@mysql ~]# iptables -t filter -L -nv --line...
一文详解iptables基础知识
u011029104的专栏
07-26 1815
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。首先介绍iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组成。如下图所示。
iptables系列教程(一)| iptables入门篇
Dragon的博客
05-13 3024
前言 在早期的 Linux 系统中,默认使用的是iptables配置防火墙。尽管新型 的firewalld防火墙已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用 iptables。考虑到 iptables 在当前生产环境中还具有顽强的生命力,我觉得还是有必要再好好地讲解一下这项技术。 iptables 简介 1、什么是iptablesiptablesLinux 防火墙工作在用户空间的管理工具,是netfilter/iptablesIP 信息包过滤系统是一部...
Iptables快速入门(掌握四表五链必备文章)
sc_jizhi的博客
04-18 634
iptables不是一个单一的软件工具,而是一套C/S样式的软件组,它是由工作在用户空间的iptables和工作在内核空间的Netfilter模块组成(真正实现防火墙规则的是netfilter),Netfilter实现的功能主要体现在数据包过滤、数据包重定向、网络地址转换等方面。
iptables入门到进阶
qq_44564366的博客
06-18 1394
iptables防火墙(转载)netfilter和iptablesiptables工作原理netfilter的链netfilter的表iptables命令查看链管理 防火墙(转载) 从逻辑上讲。防火墙可以大体分为主机防火墙和网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 网络防火和主机防火墙并不中突,可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值