iptables防火墙

已于 2025-04-22 15:54:19 修改
阅读量1.1k 收藏 7
点赞数 28
分类专栏: Linux网络 文章标签: 网络 服务器 运维
于 2025-04-21 15:34:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjq182/article/details/147395089
版权

目录

一、防火墙基础

1.netfilter和iptables区别

2.iptables的表、链结构

3.数据包过滤的匹配过程

二、编写防火墙规则

1.iptables的安装

2.基本语法、数据包控制类型

3.添加、查看、删除等基本操作

三、规则的匹配条件

1.通用匹配

2.隐含匹配

3.显式匹配

一、防火墙基础

1.netfilter和iptables区别

  1. netfilter:指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(Kernel Space ,又称内核空间)的防火墙功能体系
  2. iptables:指的是用来管理Linux防火墙的命令程序,通常于/sbin/iptables目录下,属于“用户态”(User Space , 又称用户空间)的防火墙功能体系

2.iptables的表、链结构

        1.规则表

  • filter表:用来对数据包进行过滤,根据具体的规则要求决定如何处理一个数据包。内核模块为iptable_filter
  • nat表:nat(网络地址转换)表主要用来修改数据包的ip地址、端口号等信息。内核模块为iptable_nat
  • mangle表:用来修改数据包的TOS(服务类型)、TTL(生存周期)、或者数据包设置Mark标记,以实现流量整形、策略路由等高级应用。内核模块为iptable_mangle
  • raw表:用来决定是否对数据包进行状态跟踪。内核模块为iptable_raw

        2.规则链

  • INPUT链:当收到访问防火墙本地地址对数据包(入站)时,应用此链中的规则
  • OUTPUT链:当防火墙本机向外发送数据包(出站)时,应用此链中的规
  • FORWARD链:当接收到需要通过防火墙、中转发送给其他地址的数据包(转发)时,应用此链中的规则
  • PRERUTING链:在对数据包最路由选择之前,应用此链中的规则
  • POSROUTING链:在对数据包做路由选择之后,应用此链中的规则

注:INPUT、OUTPUT链主要用在“主机型防火墙”中,即主要针对服务器本机进行保护的防火墙;而PORWARD、PREROUTING、POSROUTING键多用在“网络型防火墙”中,如使用Linux防火墙作为网关服务器,在公司内网与Internet之间进行网络控制

3.数据包过滤的匹配过程

  1. 规则表之间的顺序 
    raw-mangle-nat-filter
  2. 规则链之间的顺序
  • 入站数据流向:来自外界的数据包到达防火墙后,首先被PREROUTING链处理,然后进行路由选择;如果数据包目标地址时防火墙本机,那么将内核传递给INPUT链进行处理,通过后在交给系统上层的应用程序进行响应
  • 转发数据流向:来自外界的数据包到达防火墙后,首先被PREROUTING链处理,在进行路由选择;如果数据包目标地址是外部地址,则内核将其传递PORWARD链进行处理,最后交给POSTROUTING链处理
  • 出站数据流向:防火漆本机向外部发送数据包,首先进行路由选择,确定了输出路径后,再经有OUTPUT链处理,最后再交给POSTROUTING链进行处理
  1. 规则链内部各条防火墙规则之间的顺序
  • 当数据包经过每条规则链式,依次按照规则的顺序匹配和处理,链内遵循“匹配即停止”的原则,一旦找到一条相匹配的规则,则不会检查本链的其他规则

二、编写防火墙规则

1.iptables的安装

dnf -y install iptables iptables-services

2.基本语法、数据包控制类型

  1. 基本格式 
    iptables 【-t 表名】 管理选项 【链名】 【匹配条件】 【-j 控制类型】
  2. 类型
  • ACCEPT:允许数据包通过
  • DROP:直接丢弃数据包,不给出任何回应信息
  • REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息
  • LOG:再/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则

3.添加、查看、删除等基本操作

类型选项用途
增加
 		-A

追加到最后一行

-I

插入到第一行(或指定序号)


查看

 		-L

列出所有规则

-n

以数字形式显示

-v

详细信息

--line(--line-number)

显示序号

删除
 		-D

删除一条(指定序号或内容)

-F

清除所有

修改-R

替换某条规则

设置默认-P

设置默认规则

三、规则的匹配条件

1.通用匹配

  1. 协议匹配:-p 协议名
  2. 地址匹配:-s 源地址 -d 目标地址
  3. 网络接口匹配:-i 接口名 -o 接口名

2.隐含匹配

  1. 端口匹配:--sport 源端口 --dport 目标端口
  2. ICMP匹配:--icmp-type ICMP

3.显式匹配

  1. 多端口匹配:-m multiport --dports 端口列表 -m multiport --sports 端口列表
  2. IP范围匹配:-m iprange --src-range IP范围 -m iprange --dst-range IP范围
  3. MAC地址匹配:-m mac --mac-source MAC
  4. 状态匹配:-m state --state 连接状态
Linux—iptables防火墙
A6985HG的博客
07-30 2189
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
iptables 防火墙
Jin_0612_的博客
08-12 1228
iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
linux iptables 防火墙管理
lihui12356的博客
09-11 1158
硬件防火墙 ---------功能强大、性能好、但是成本高软件防火墙 ---------系统防火墙 iptables、firewalld、ufw(ubantu)iptables防火墙 是Linux系统防火墙的一种 Centos7以前版本系统的默认防火墙
iptables防火墙规则
XMYX-0
12-29 1924
iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。用于过滤数据包,决定是否允许或拒绝数据包通过。用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。用于修改数据包的特定字段,如 TTL(生存时间)。用于配置连接跟踪表规则。
iptables防火墙总结
热门推荐
weixin_45190065的博客
08-31 1万+
最全iptables防火墙总结
系统安全之iptables防火墙
EsDeath_99的博客
06-17 1182
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
Linux - iptables防火墙
2401_85983616的博客
09-12 1428
iptables防火墙是Linux系统防火墙的一种,实际上由两个组件netfilter和iptables组成。netfilters与iptables的关系:netfilter:属于“内核态”的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下。
iptables防火墙详解
2401_87322981的博客
12-07 1164
检查iptables状态在开始配置iptables之前,首先要确保iptables服务是否已启动并检查当前的规则。查看iptables服务状态此命令会显示iptables服务是否正在运行。查看当前iptables规则此命令列出当前生效的iptables规则。若未安装iptables或无配置规则,可能不会显示任何内容。安装iptables如果服务器上未安装iptables,可以使用以下步骤进行安装。下载iptables安装包:通过wget命令下载所需的安装包。安装iptables
iptables 防火墙配置
来日可期的博客
09-15 4845
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器网络免受潜在的安全威胁。
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
同一无线网络下的设备IP地址是否相同?
hgdlip的博客
05-23 423
在家庭和办公网络普及的今天,许多人都会好奇:连接同一个Wi-Fi的设备是否共享相同的IP地址?这个问题看似简单,实则涉及多个角度。本文将为您揭示其中的技术奥秘。
第 4 章:网络与总线——CAN / Ethernet / USB-OTG
hemoparrot的专栏
05-20 879
本章深入探讨了三种关键通信总线(CAN、Ethernet、USB-OTG)的协议架构、硬件接口与软件驱动,重点介绍了在STM32微控制器中的寄存器配置、中断与DMA驱动框架。通过实战案例,展示了如何实现基于CAN总线的节点通信、基于Ethernet的TCP/IP通信,以及基于USB-OTG的虚拟串口与大容量存储访问。CAN总线适用于高可靠、实时要求的场景,Ethernet适合高带宽、远距离的网络互联,而USB-OTG则提供了即插即用的多功能接口。本章还提供了选型建议,帮助读者根据实际需求选择合适的通信总线,
计算机网络 第三章:运输层(二)
Zhang_Qin123的博客
05-22 1164
该分组经过。
K8S-statefulset-mysql-ha
demon7552003的小本本
05-24 201
本文介绍了在Kubernetes上部署MySQL高可用集群的方案
软件设计师考试需背诵知识点
lzfshub
05-21 223
本文简要介绍了网络技术中的几个关键概念。首先,网络技术标准与协议是确保设备间通信的基础。其次,OSI/RM七层模型为网络通信提供了分层的框架,便于理解和设计网络系统。在加密技术方面,对称加密算法和非对称加密算法分别用于数据加密和安全通信,其中对称加密速度快,非对称加密安全性高。最后,文章还比较了常见的排序算法,帮助理解不同算法在数据处理中的效率和应用场景。这些内容为网络技术和数据安全提供了基础知识和实用参考。
发电厂进阶,modbus TCP转ethernet ip网关如何赋能能源行业
最新发布
bjwljs的博客
05-24 254
发电厂智能化改造中,稳联技术WL-ABC2004网关实现ModbusTCP与EtherNet/IP协议转换,解决了500MW燃煤电厂30台除尘风机与控制系统间的通信难题。该工业级网关支持RS485电气隔离,适应高干扰环境,将传统设备接入现代控制系统,消除数据孤岛,助力电厂智能化升级,为能源行业转型提供关键技术支撑。
关于TCP三次握手
2203_75477002的博客
05-21 870
TCP(传输控制协议),位于传输层,为应用层提供可靠的、面向连接的字节流服务。每个TCP连接由四元组唯一确定:(源IP, 源端口, 目的IP, 目的端口)可靠:数据无差错、不丢失、不重复,并且按序到达通过停止等待协议等机制实现面向连接:当连接建立后才发送数据全双工通信:建立连接后双方可同时收发数据。
iptables防火墙配置与规则管理详解
iptables防火墙是Linux系统中一个强大的网络包过滤工具,其主要功能包括网络安全保护和网络流量隔离。它通过配置规则来控制进出系统的网络数据包,确保系统的安全性。本文档将详细介绍iptables的安装与配置过程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值