iptables理解

最新推荐文章于 2024-08-11 22:06:57 发布
最新推荐文章于 2024-08-11 22:06:57 发布
阅读量1k 收藏 3
点赞数
分类专栏: Linux 文章标签: iptables 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yangzhengquan19/article/details/83745142
版权

iptables概述:

netfilter/iptables : IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables 组成。

netfilter/iptables 关系:                        

netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。

netfilter/iptables 后期简称为:iptables。 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。所有规则配置后,立即生效,不需要重启服务。

 

三张表介绍:

filter负责过滤数据包,包括的规则链有,input,output和forward;

nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output;

mangle表则主要应用在修改数据包内容上,用来做流量整形的,给数据包打个标识,默认的规则链有:INPUT,OUTPUT、 forward,POSTROUTING,PREROUTING;

五个链:

input匹配目标IP是本机的数据包,

output  出口数据包 ,  一般不在此链上做配置

forward匹配流经本机的数据包,

prerouting用来修改目的地址,用来做DNAT 。如:把内网中的80端口映射到路由器外网端口上

postrouting用来修改源地址用来做SNAT。  如:内网通过路由器NAT转换功能实现内网PC机通过一个公网IP地址上网。

iptables三个表,5个链接,结构:

Raw [rɔ:]表:用于处理异常,包括的规则链有,prerouting,output; 一般使用不到。

例:查看raw表中的内容:

[root@moko15 ~]# iptables -t raw -L

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination        

 

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination      

 

表->链->规则

iptables过滤封包流程

总结: 整体数据包分两类: 1、发给防火墙本身的数据包 ;2、需要经过防火墙的数据包

① 当一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 

② 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。

本机上运行的程序可以发送数据包,这些数据包会经过OUTPUT链,然后到达POSTROUTING链输出。 

③ 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过FORWARD链,然后到达POSTROUTING链输出。

总结: 整体数据包分两类: 1、发给防火墙本身的数据包 ;2、需要经过防火墙的数据包

注意:规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。

iptables语法总结:

例1:iptables命令使用方法

  • iptables [-t 要操作的表]

          <操作命令>

          [要操作的链]

          [规则号码]

          [匹配条件]

          [-j 匹配到以后的动作]

  • 操作命令(-A、-I、-D、-P、-F)
  • 查看命令(-[vnx]L)

 

-A <链名>    APPEND,追加一条规则(放到最后)

例如:

    iptables -t filter -A INPUT -j DROP    #拒绝所有人访问服务器

    在 filter 表的 INPUT 链里追加一条规则(作为最后一条规则)

匹配所有访问本机 IP 的数据包,匹配到的丢弃

 

-I <链名> [规则号码]     INSERT,插入一条规则

例如:

    iptables -I INPUT -j DROP

    在 filter 表的 INPUT 链里插入一条规则(插入成第 1 条)

    iptables -I INPUT 3 -j DROP

    在 filter 表的 INPUT 链里插入一条规则(插入成第 3 条)

注意: 1-t filter 可不写,不写则自动默认是 filter

            2-I 链名 [规则号码],如果不写规则号码,则默认是 1

            3、确保规则号码 ≤ (已有规则数 + 1),否则报错

 

-R num:Replays替换/修改第几条规则

    格式:iptables –t filter -R INPUT 3 ………… 修改filter的INPUT链第三条规则

 

-D <链名> <规则号码 | 具体规则内容>    DELETE,删除一条规则

例如:

[root@moko15 ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination        

DROP       all  --  anywhere             anywhere 

 

iptables -D INPUT 1(按号码匹配)

删除 filter 表 INPUT 链中的第1条规则(不管它的内容是什么)

[root@moko15 ~]# iptables -L

Chain INPUT (policy ACCEPT)

target     prot opt source               destination        

 

iptables -D INPUT -s 192.168.0.1 -j DROP(按内容匹配)

    删除 filter 表 INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则

   (不管其位置在哪里)

注意:

    1、若规则列表中有多条相同的规则时,按内容匹配只删除序号最小的一条

    2、按号码匹配删除时,确保规则号码 ≤ 已有规则数,否则报错

    3、按内容匹配删除时,确保规则存在,否则报错

 

-P <链名> <动作>    POLICY,设置某个链的默认规则

例如:

[root@moko15 ~]# iptables -L   #查看默认规则是ACCEPT [əkˈsept]

Chain INPUT (policy ACCEPT)

target     prot opt source               destination 

 

 

最低0.47元/天 解锁文章
时光与流水
关注
专栏目录
iptables之目的与源
weixin_30414305的博客
05-30 703
++++++++++++++++++++++++++++++++++标题:iptables基础知识之目的与源内容:iptables的目的与源时间:2019年5月24日++++++++++++++++++++++++++++++++++在配置防火墙规则时,最为重要的一点就是需要分清什么是目的、什么是源?源和目的总是相对而言的,简而言之:谁发送(从哪发送)的请求,谁就是源;谁接受(从哪接受)...
iptables
xiaogaoxiaoyuan的博客
01-14 1100
防火墙详解 什么是防火墙? 在计算中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成本高(当
iptablesforward
05-06
试验环境如上图 防火墙网卡1与客户端在一个物理网络,ftp服务器与http服务器与防火墙网卡2在同一物理网络。 四台主机防火墙规则都清空,默认规则都为ACCEPT,仅充当防火墙的主机FORWARD链默认规则为DROP。且SELinux与firewalld服务关闭。 ~]# systemctl stop firewalld #关闭firewalld ~]# systemctl disable firewalld #禁止firewalld服务开机启动 ~]# iptables -P FORWARD DROP #FORWARD默认规则置为DROP ~]# setenforce 0 #关闭selinux
iptables详解(1):iptables概念
qq_42502583的博客
08-11 269
iptables详解(1):iptables概念 本文转载自 朱双印个人日志 iptables详解(1):iptables概念 防火墙相关概念 从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙。 ​ 主机防火墙:针对于单个主机进行防护。 ​ 网络防火墙:往往处于网络入口或边缘,针对于网络入口进行防护,服务于防火墙背后的本地局域网。 ​ 网络防火墙和主机防火墙并不冲突,可以理解为,网络防火墙主外(集体), 主机防火墙主内(个人)。 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙。 ​ 硬件防火墙:在硬
你对iptables了解多少?
最新发布
qq_43071699的博客
08-11 754
是Linux系统中一个强大的网络管理工具,用于设置、维护和检查IP数据包过滤规则。它通过内核的 Netfilter 框架工作,可以对进出系统的网络流量进行精细控制。,管理员可以构建复杂的网络规则和策略,保护系统免受网络攻击,同时确保合法的网络流量能够顺利通过。的配置需要对网络协议和安全策略有深入的理解,错误的规则配置可能导致网络中断或安全漏洞。时,建议仔细规划和测试规则,确保它们既满足安全需求又不影响正常的网络服务。
IptablesFORWARD转发链
热门推荐
周二也被占用
03-02 2万+
图有借鉴意义 本机路由转发的时候,才配置FORWARD转发链~! # iptables –A FORWARD –s 192.168.0.0/24 –j ACCEPT # iptables –A FORWARD –d 192.168.0.0/24 –j ACCEPT 上面只是打通了局域网通过此机的Forward的通道,也就是打通了局域网与外网的链路,实际上并起不到任何的作用,因
iptablesFORWARD转发链
weixin_33749131的博客
09-14 1440
本文转载自leekwen《IptablesFORWARD转发链》iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw.4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filterfilter:一般的过滤功能nat:用于n...
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
iptables详解
09-04
接下来,我们简要回顾一下**OSI七层模型**,以便更好地理解iptables如何在网络中发挥作用。 - **应用层**:如FTP、HTTPS等协议,用于提供应用程序之间的通信。 - **表示层**:处理数据格式化、加密等。 - **会话层*...
Linux iptables防火墙深度理解与实战应用
10-17
Linux iptables防火墙深度理解与实战应用
iptables防火墙应用指南
05-31
需要注意的是,这张流程图是为了简化理解而制作的,与实际流程可能略有差异,但并不影响对iptables工作原理的理解。 #### 2. iptables的高级用法 在后续章节中,我们将详细介绍iptables的各种高级用法,包括但不...
iptablesforward转发
weixin_47274990的博客
11-27 1万+
iptablesforward转发1、网络防火墙2、iptablesFORWARD转发实例 1、网络防火墙 网络防火墙处于网络入口的边缘,针对网络入口进行防护,针对整个网络入口后面的局域网。 作用: 当外部网络主机与内部网络主机互相进行通讯时,都要经过iptables所在的主机,由iptables所在的主机进行 “过滤并转发”,这就是防火墙的主要工作。 但是这又跟forward链有什么关系呢? 网络防火墙的主要职责是"过滤并转发",在五链中,只有INPUT,OUTPUT和FORWARD有fil
iptables学习
u010674101的专栏
06-25 499
将源地址为10.31.2.0/24的所有流量的源地址改为venet0接口的IP地址,以便实现NAT转换并确保VPN客户端可以访问互联网。:允许UDP端口4500的流量通过venet0接口进入系统。:允许UDP端口1701的流量通过venet0接口进入系统。:允许TCP端口1723的流量通过venet0接口进入系统。:允许UDP端口500的流量通过venet0接口进入系统。:允许TCP端口500的流量通过venet0接口进入系统。:允许ESP协议的流量通过venet0接口进入系统。
iptables防火墙、NAT
我不是程序猿的博客
03-17 2031
iptables iptables有多种功能,每一种功能都用一张表来实现 最常用的功能是防火墙和NAT 从RHEL7开始,默认的防火墙为firewalld,但是它的底层仍然调用iptables 安装iptables服务 # 关闭firewalld [root@node1 ~]# systemctl stop firewalld [root@node1 ~]# systemctl disable firewalld # 安装iptables [root@node1 ~]# yum install
iptables转发功能
chunlin
06-03 3425
一、准备三台虚拟机 首先三台机器firewalld都关闭 1. test1 ip:192.168.10.11 2. test2 ip:192.168.10.12 ip: 192.168.215.128 (仅主机) 3. test3 ip: 192.168.215.129 (仅主机) 注:test3设置的为静态ip,网关为192.168.215.128 4. 打开三台机器的httpd服务 首先三台都能互相ping通 test1 test2 test3 此时
Linux操作系统下IPTables配置方法详解
水木米
09-18 658
如果你的IPTABLES基础知识还不了解,建议先去看看。们来配置一个filter表的防火墙1、查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)tar
iptables的使用方法
leopard_ray的专栏
05-23 1047
iptables 中的指令,均需区分大小写。ipchains 和 iptables 在语法上的主要的差异,注意如下∶ 1. 在 ipchains 中,诸如 input 链,是使用小写的 chains 名,在 iptables 中,要改用大写 INPUT。 2. 在 iptables 中,要指定规则是欲作用在那一个规则表上(使用 -t 来指定,如 -t nat),若不指定,则预设是作用在 fil
iptables相关命令
lilicheung的专栏
03-20 796
INPUT/OUTPUT/FORWARD只用于-t filter INPUT    如果包的目标就是本机,则包直接进入INPUT链,再被本地正在等待该包的进程接OUTPUT   两类包走OUTPUT,一类是INPUT入的包,一类是主机本身产生的包FORWARD    如果包的目标不是本机,而是穿过本机的包,则进入FORWARD链,FORWARD既不走INPUT,也不走OUTPUT   
iptables防火墙配置详解
weixin_34198762的博客
09-03 178
iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。 filter负责过滤数据包,包括的规则链有,input,output和forward; nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output; mangle表则主要应用在修改数据包内容上,用来做流量整形的...
Iptables入门与深入解析
这部分内容对理解iptables的动态行为和优化策略非常关键。 通过阅读这篇指南,读者将能够掌握iptables的基本配置、高级规则设置以及如何利用这些规则构建灵活的网络访问控制策略。无论是新手还是经验丰富的IT专业...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值