Linux 之 iptalbes 简介

最新推荐文章于 2024-02-18 22:14:45 发布
最新推荐文章于 2024-02-18 22:14:45 发布
阅读量209 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z54572/article/details/104014625
版权

学习笔记,详细内容请参阅http://www.zsythink.net/archives/1199/。

防火墙分类:网络 /主机    硬件/软件。

防火墙相当于一个关口,所有的网络数据包都要通过这个关口。防火墙对通过的数据包进行检查,根据数据包的特征,如:源地址是什么,目的地址是什么,端口是什么,所用的传输协议(tcp,udp,icmp),应用协议(http,ftp,smtp)等等,进行不同的处理,如:放行,抛弃,拒绝,转发,修改包内容等等。这也就是防火墙所应用的规则:根据匹配条件,执行相应动作。

实际实现防火墙功能中,在每个关口数据包都要经过不止一条规则的检查,因为这些规则是按顺序链接成一个规则链,所以关口在防火墙中被称为“链”(chain)。根据数据包传输路径的不同提供了5种链: PREROUTING,INPUTING, FORWARD, ,OUTPUT,POSTROUTING。

防火墙规则的功能分为了4类,存储的规则也按照功能的分类分别存储在4个相应的表中:

raw表: 关闭nat表中启用的连接追踪机制。内核模块:iptables_raw。

mangle表:拆解报文过滤,修改内容,重新封装。内核模块:iptables_mangle。

nat表:网络地址转换。iptables_nat。

filter表:过滤数据包。内核模块 iptables_filter。

链上的规则存储在不同的表中,但各表中的优先级不同:raw->mangle->nat->filter. 在一个链上执行规则时,按照上述规则的优先级先执行raw表中的规则,最后执行filter表中的规则。

不同链上的规则可以存储在哪些表中:

PREROUTING: raw表,mangle表,nat表

INPUT:mangle表,filter表(centos7 还有nat表)

FORWARD:mangle表,filter表

OUTPUT:raw表,mangle表,nat表,filter表

POSTROUTIN:mangle表,nat表

 

一个数据包通过防火墙的流程场景如下图所示:

场景一:网络->PREROUTING->INPUT->主机.

              规则处理顺序:PREROUTING.raw->PREROUTING.mangle->PREROUTING.nat->INPUT.mangle->INPUT.filter.

场景二:网络->PREROUTING->FORWARD->POSTROUTING->网络.

               规则处理顺序:

PREROUTING.raw->PREROUTING.mangle->PREROUTING.nat->FORWARD.mangle->FORWARD.filter->POSTROUTING.mangle->POSTROUTING.nat

场景三:主机->OUTPUT->POSTROUTING->网络.

规则处理顺序:

OUTPUT.raw->OUTPUT.mangle->OUTPUT.nat->OUTPUT.filter->POSTROUTING.mangle->POSTROUTING.nat

由上可以发现 一次数据包的传输会被不同的链处理,因而mangle表和nat表可能会被多次访问。

z54572
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptalbes内核
01-20
内核部分线程规划与USBID添加。使用的是iptables1.4.2内核,版本为linux-3.18。
linux防火墙描述错误,Linux防火墙netfilter的编程接口libiptc简介
weixin_32573931的博客
05-13 439
西北农林科技大学,网络中心李晓玲libiptc库是Linux防火墙netfilter的一个编程接口,可以使用libiptc库来查询、修改、增加、删除netfilter的规则、策略等。大家熟知的防火墙管理工具iptables也是利用libiptc来实现配置管理的。在应用程序中我们也可以利用libiptc库完成对Linux防火墙的配置管理功能,从而达到与防火墙的联动效果。比如,用户认证系统可以在用户认...
Linux 防火墙(一)——基础介绍以及基本扩展模块
李凯的博客
12-22 1804
安全技术和防火墙 安全技术 入侵检测与管理系统(Intrusion Detection Systems):特点是不阻断任何网络访问,量化、定 位来自内外网络的威胁情况,主要以提供报告和事后监督为主,提供有针对性的指导措施和安全决 策依据。一般采用旁路部署方式。会检测但是会允许你做。 入侵防御系统(Intrusion Prevention System):以透明模式工作,分析数据包的内容如:溢出 攻...
Linux网络----防火墙
最新发布
AH99999的博客
02-18 1066
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包[root@localhost ~]#iptables --version ###查看版本号netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。
Linux iptables防火墙详解(一)——iptables基础知识
永远是少年
12-02 2491
本文主要内容是Linux iptables防火墙相关知识 一、iptables防火墙简介 二、iptables“三表五链”详解 三、iptables包过滤流程
关于PREROUTING链和POSTROUTING链
leo_wanta的专栏
12-12 1万+
PREROUTING 和 POSTROUTING 的简单关系 源地址发送数据--> {PREROUTING-->路由规则-->POSTROUTING} -->目的地址接收到数据 当你使用:iptables -t nat -A PREROUTING -i eth1 -d 1.2.3.4 -j DNAT --to 192.168.1.40 时,你访问1.2.3.4,linux路由器会在“路由规则
Linux iptalbes 培训教材
01-05
关于LinuxIPTables的培训教材,很经典,值得一看
Iptalbes ulogd实现流量日志统计
04-05
本文简要介绍通过iptalbes和ulogd实现流量日志统计。
iptalbes 中文手册
06-04
iptalbes 中文手册 iptalbes 中文手册
linux iptable 命令大全
10-15
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相...
Linux学习笔记_安全相关
biake的博客
12-08 463
防火墙 iptables iptables 是基于内核的netfilter功能的管理工具。。iptables服务会把配置好的防火墙策略交由内核层面的netfilter网络过滤器来处理。 这个工具在redhat7.0版本后已经被fireward取代,所以执行命令时有许多与以前版本认知有所不同。我这个实验是在Ubuntu16.0上进行 iptables 其实并不难,主要还是基于包过滤的规则,当然后期为
Linux内核中数据包的传输过程
SunMy的博客
06-05 872
三种报文流向 流入本机: PREROUTING --> INPUT-->用户空间进程 当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 如果数据包是进入本机的(目的IP为本机IP),数据包就会到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。 流出本机: 用户空间进程 -->OUTPUT--> POSTROUTING 本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTIN
linux iptables 命令简介
whatday的专栏
01-02 2158
语法 iptables(选项)(参数) 选项 -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。 # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型; -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.
POSTROUTING与PREROUTING区别
Jis的专栏
12-30 1万+
POSTROUTING与PREROUTING区别 标题: prerouting和postrouting不理解 我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING,可是做透明代理的时候确是用PREROUTING。这是为什么呢? 回复: sunnygg pre还是post是根据数据包的流向来确定的。 通常
linux内核netfilter模块分析之:HOOKs点的注册及调用
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
02-22 2万+
0:相关文档  linux 下 nf_conntrack_tuple 跟踪记录  其中可以根据内核提供的数据结构获取连接跟踪记录。  iptables 中的NAT使用总结    iptable的在防火墙上面的应用。 1:iptable中三个tables所挂接的HOOKs 其实这个问题很简单的运行iptables打开看看就知道,此处的hook与内核的hook是对应起来的。
iptalbes
shejf
09-30 256
典型的防火墙设置有两个网卡:一个流入,一个流出。iptables读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡, 通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间特定信息包...
如何使用iptalbes设置NAT
风之羽
12-12 1791
Step-By-Step Configuration of NAT with iptables 使用iptalbes一步一步设置NAT This tutorial shows how to set up network-address-translation (NAT) on a Linux system with iptables rules so that the system can a
iptalbes以及firewalld的介绍与使用
晨光运维之路
05-13 215
一、IPtables介绍 Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤(对OSI模型的四层或者是四层以下进行过滤)的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。主要针对网络访问 iptables其实并不是真正的防火墙,我们可以把他理解为一个客户端的代理,用户是通过iptables这个代理,将用户的安全设定执行到对应的“安全框架”中,这个“安全框架”才是真正的防火墙。这个框架叫做“netfil
linux系统中查看己设置iptables规则
热门推荐
chengxuyuanyonghu的专栏
07-13 17万+
1、iptables -L 查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。 说明:-L是--list的简写,作用是列出规则。 2、iptables -L [-t 表名] 只查看某个表的中的规则。 说明:表名一共有三个:filter,nat,m
多举例几个iptalbes规则
06-09
当然,这是没有问题的。以下是几个iptables规则的示例: 1. 允许SSH流量通过防火墙: ``` iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 2. 阻止来自特定IP地址的所有流量: ``` iptables -A INPUT -s 192.168.0.100 -j DROP ``` 3. 允许HTTP和HTTPS流量通过防火墙: ``` iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT ``` 4. 允许本地回环流量: ``` iptables -A INPUT -i lo -j ACCEPT ``` 5. 阻止所有未知或无效流量: ``` iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -j DROP ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值