itables

最新推荐文章于 2022-10-16 10:46:53 发布
最新推荐文章于 2022-10-16 10:46:53 发布
阅读量484 收藏 1
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yxpjx/article/details/51638151
版权

启动和停止
1、命令:
service iptables start/stop/restart
或者直接去找/etc/init.d/下的
2、配置文件:
/etc/sysconfig/iptables
没有的话,可以用iptables-save生成


框架: tables > chains > rules(target)
整体上可认为iptables就是由许多chain组成的,要不然其老版本怎么叫做ipchains呢。但是划分层次为:
一个table可由多个chain组成,一个chain可由多个rules组成(一个rule对应一个target)。
target概念的好处是:系统预置了一些target,如ACCEPT,DROP,REJECT,LOG等,意思是如果这个包匹配这条rule,其处理办法就是target。这里引入target的好处在于,允许用户自定义一条chain,然后用chain名做为新的target,这样,就可以聚合一些rule!形成了层次性的rule,就是说如果满足这条rule,那么再看其target里面的rule。

1、iptables由四张table组成,每张table由默认的chain组成:
(1)filter: 默认有三个chain——INPUT,OUTPUT和FORWARD
(2)nat: 做NAT工作,默认三个chain——OUTPUT,PREROUTING,POSTROUTING
(3)mangle: 对包的一些参数进行修改,默认有五个chain——INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING
(4)raw:作用未明,默认有两个chain——OUTPUT,PREROUTING

不同的table分管不同的方面。iptables的默认命令是对filter生效。可以用-t nat指定对nat生效。

2、所谓的配置防火墙就是:
(1)向chain添加rule:
每个chain都是由一系列rule组成的,比如你要更改INPUT这个chain来允许用户访问你机器上的某个端口。
比如这个INPUT有两个rule,一个用于允许用户访问你的5901端口,一个用于允许用户访问你的5902端口


一般安全策略:
1、从最严厉的安全措施开始,当你发现有用的东西不能工作时再一点点儿的放宽限度。
2、防火墙不能当作防范入侵的主要手段,它只能作为每台主机上独立保护措施的一个补充罢了。每台主机上的独立保护措施包括crack,tcpd,nmap,COPS,tripwire和相应的策略。


规则和命令:
规则很简单,相应的包,会交给相应的内置chain,然后对于chain中的rules,是从上到下的顺序进行匹配,和break语句一样。所以,比如你要开放某些端口,就写上面,最后才写封闭所有端口。

静态规则:
1、iptables -F chain-name: 
清除名为chain-name的chain中的所有rule,只写-F清除所有的chain中的所有rule,但保留chain。
这默认只对filter table的。如果要清除如nat table的,要用 iptables -t nat -F
2、iptables -P chain-name target:
给名为chain-name的chain设置默认的rule。这个通常是放在给该chain设置的所有rule的开头。相当于break语句中的default。 注意,如果给nat或mangle中的chain设置,则别忘了用 -t table。 但是注意的是,这里的target只能用内置的
3、iptables -A chain-name rule
给名为chain-name的chain添加一条规则,后面rule是一下的组合:
-j target 预置target或用户自定义的chain
-i interface 如eth0
-p proto 协议,有tcp,udp
-s source-ip 源ip
-d dest-ip 目的ip
--sport source-port 源端口
--dport dest-port 目的端口
--icmp-type type 匹配ICMP类型,比如你允许哪些类型的ICMP包通过,后面跟数字
! 否定
-t table
4、iptables -I chain-name rulenum rule
这个和-A的区别是:插入,而不是加在末尾。rulenum为1表示加在最前面。
5、iptables -X chain-name:
删除非系统内置(用户自定义)的chain,这个不同于-F,这个是把chain整个删除,名字都没了,即你用iptables -L -v看不到了。
6、iptables -D chain-name rule/rulenum
这个同iptable -A chain-name rule完全相反,如果你要删除chain-name中的一条rule,就按照-A时的写法就可以删除之。或者用rulenum,即该chain的从上往下数的num数,第一条rule的rulenum为1。 
7、iptables -L chain-name
打印名为chain-name的chain的rules。不给出chain-name,则打印所有chain。
8、iptables -L -v chain-name
在6的基础上加了些有用信息,如从开机到现在,匹配每条rule的包的数量!


动态规则: 针对connection(TCP连接)
1、有三种动态参数:
NEW:指收到的第一次TCP连接
ESTABLISHED:当连接建立后,属于该connection的包
RELATED:当连接建立后,又有相关的连接建立(典型的是ftp的passive模式,由client发起到server的数据连接,这个端口是由server指定的,但由client发起) 
2、命令:
iptables -A INPUT -m state --state NEW -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
上面两条命令,拒绝所有NEW的外来包。但允许自己发出的连接收到外来的数据(ESTABLISHED)
再加上:
iptables -A INPUT -p tcp -dport 21 -j ACCEPT
iptables -A INPUT -p udp -dport 21 -j ACCEPT 
则表示可以允许外界访问21端口(FTP,并假设采用passive模式),结合上面的状态,则允许外界主动发起到自己的ftp数据连接———可能是任意端口,但这里已不用写了!!
所以,一般,先写上动态规则,然后再写静态规则,就可以做到处理一些像FTP Passive模式这种不知道用户会访问哪个端口的情况。
3、注意:
有状态的规则需要内核相应模块支持,如果没有编译进,或没有加载,则不会生效的。

yxpjx
关注
专栏目录
linux防火墙软件-itables使用方法
huayucong的博客
05-11 1万+
2.1 框架图  -->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->   mangle     |     mangle     ^ mangle     nat       |     filter     | nat             |               |             |               |
Python以交互式方式显示大型数据集之itables使用详解
最新发布
Rocky006的博客
06-07 685
iTables库是Python中一个强大的工具,专门用于在Jupyter Notebook和其他IPython环境中以交互式方式显示大型数据集。它基于JavaScript的DataTables库,能够提供丰富的配置选项,如排序、搜索、分页等,使得数据展示更加方便和直观。
iptables 执行清除命令 iptables -F 要非常小心的 .
weixin_34138377的博客
08-19 3225
用 /sbin/iptables -F 要小心,搞不好,你就马上同服务器断开连接了以下是来自 http://wiki.ubuntu.org.cn/IptablesHowTo 上的说明可以通过/sbin/iptables -F清除所有规则来暂时停止防火墙: (警告:这只适合在没有配置防火墙的环境中,如果已经配置过默认规则为deny的环境,此步骤将使系统的所有网络访问中断)如...
IPtables
zhiweiaixiaosang的专栏
11-16 810
​​​​​转载 Iptables教程 - 飞鸿影 - 博客园 Iptables教程 iptables是一个配置 Linux 内核 防火墙 的命令行工具。 初学者刚看到iptables,会感到很复杂,原因是 iptables 功能实在是太强大了。本文会从基本概念、使用上做介绍,读者看完后再去看 iptables 命令就能理解其含义了。 本文环境: PC: Ubuntu18 iptables操作均在docker上进行。docker上的系统为centos6.9。 更新时间:2020.6.2...
linux itables控制防火墙
Better Thinker
05-11 1004
2.1 框架图  -->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING-->   mangle     |     mangle     ^ mangle     nat       |     filter     | nat             |               |             |               |
关于linux 命令“iptables -F”,不要轻易执行
aw277866304的博客
06-03 1万+
一、文章背景 昨天在公司服务器的linux开发环境里,部署了几个spring boot项目和nginx代理,都成功启动后,发现本地无法访问(Xshell是可以连接的)。于是各种纳闷,网上搜解决方案。其实最想想到的当然是防火墙是否是开启的状态,但是输入查询防火墙状态的命令,发现没有权限。继续搜索后,发现了一篇文章,最关键的一点,说是执行命令“iptables -F”就可以解决。在迫切想解决的心理下,不管三七二十一执行了这条命令,没一会,发现Xshell断开了连接,然后就一直连接不上了。然后,我以为是..
Python库 | itables-0.2.2.tar.gz
03-06
`itables` 是一个Python库,专为处理和交互式展示表格数据而设计。这个库主要目的是简化在Python环境中,尤其是IPython Jupyter notebook或JupyterLab中的数据分析工作流程。`itables` 提供了一种方便的方式来查看和...
python安装itables
07-14
您可以使用以下命令安装 `itables` 库: ``` pip install itables ``` 请确保您已经安装了 Python 和 pip。如果您还没有安装它们,您可以参考以下链接获取安装指南: - Python 官方网站:https://www.python.org/...
学习使用文本编辑工具vi 使用ifconfig命令查看当前网络配置情况 使用netstat命令查看网络连接情况和运行端口 了解itables命令设置防火墙 使用lspci查看当前机器的硬件设备配置 使用more /proc/cupinfo查看cpu信息 使用reboot重启电脑,采用halt或shutdown 关闭电脑。
05-12
好的,以下是一些基本的使用方法: 1. 学习使用文本编辑工具vi:可以使用命令“vi 文件名”打开一个文件进行编辑,按下“i”键进入编辑模式,按下“Esc”键退出编辑模式,然后输入“:wq”保存并退出。...
iptables详解(图文)
Linux的成长历程
11-13 6万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
iptables命令实例
03-31
在介绍iptables之前,我们先来了解一下防火墙的相关知识: 防火墙存在于网络边界,通过预设规则对进出口路由进行检查的处理组件;防火墙分为包过滤防火墙和procy防火墙,(第二种称谓可能不太合适,欢迎大家来指点哦),第一种防火墙的工作速度比较快,但只能检查到第三层的内容,而procy则可以检查所有内容,目前来讲,在条件允许的情况下,我们通常是将两者结合起来使用,这样,既提高防火墙的工作效率又可对所有内容进行检查,是一种完美的方法。   内核分为内核空间和用户空间,两者之间通常是不能相互通信的,若要相互访问,要通过调用来实现,在内核中,tcp/ip 选择了五个点,调用钩子函数,当数据包通过时将相关项“勾上去”。数据包是必须要经过这五个点中的某几个点的.
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
linux运维:iptables介绍和实战
weixin_30685029的博客
04-17 168
Linux运维:Iptables防火墙 Ago linux运维群: 93324526 矮哥个人QQ:578843228 前言: 安全的重要性,不是简单的防火墙就能解决的。但是,防火墙的重要性又是不能忽视的。 第1章 介绍 1.1 iptables防火墙 关闭两项功能: 1.selinux(生产中也是关闭的),ids入侵监测。 2.iptables(生产中看情况,内网关闭,外网开启) 大并发的情况...
linux iptables 命令简介
whatday的专栏
01-02 2192
语法 iptables(选项)(参数) 选项 -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。 # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型; -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.
iptables详解
waghaiping的博客
06-19 5832
第四周作业 1,什么是FQDN,老李要访问微信,简述一下DNS解析过程。
Android iptables命令详解
Jimmy的专栏
07-25 2629
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则Iptables有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。......
iptables 详解
Choco Lee 的专栏
06-14 1万+
目录 防火墙简介 iptables 与 firewalld iptables 基础 3.1 链的概念 3.2 表的概念 3.3 链与表的关系 3.4 数据通过的流程 iptables 语法 iptables nat表的应用 1. 防火墙简介 防火墙是一种应用于网络上的过滤机制,从保护对象上可分为:主机防火墙、...
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值