iptables防火墙

已于 2024-07-01 23:02:18 修改
阅读量1.6k 收藏 16
点赞数 37
分类专栏: Linux 文章标签: linux iptables 防火墙
于 2024-06-07 17:07:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zheshijiuyue/article/details/139523263
版权

一、iptables的表,链结构

1.规则表

表的作用:容纳各种规则链
划分依据:按照功能划分

raw :主要用来决定是否对数据进行状态跟踪。其中包含:OUTPUT、PREROUTING。
mangle:对数据包进行标记。包含:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD。
nat:用来修改IP地址和端口号。包含:PREROUTING、POSTROUTING、OUTPUT。
filter:对数据包进行过滤。包含:INPUT、FORWARD、OUTPUT。

规则表的顺序:raw— mangle—nat—filter

2.规则链

规则的作用:对数据包进行过滤
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包不同时机

INPUT:处理入站数据包
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
PREROUTING:在路由前处理数据包
POSTROUTING:在路由后处理数据包

规则链的顺序

(1)入站数据流向
首先PREROUTING进行处理(是否修改数据包地址)
其次进行路由选择(判断数据包去处)
最后目标地址是防火墙本机,有INPUT进行处理(是否允许转发)

(2)转发数据流向
首先被PREROUTING进行处理,由路由进行选择。
其次目标地址是外部地址,传递给FORWARD(允许拦截转发,丢弃)
最后交给POSTROUTING(是否修改数据包地址)

(3)出站数据流向
首先进行路由选择,确定路径
其次由OUTPUT处理
最后经POSTROUTING处理(是否修改数据包)

二、iptables防火墙规则

iptables   [-t  表名]    管理选项    [链名]    [匹配条件]   [ -j  控制类型]

备注:
表名,链名:iptables的表和链,默认式使用filter。
管理选项:插入,增加,删除
匹配条件:要处理的数据包特征
控制类型:允许ACCEPT,拒绝REJECT,丢弃DROP

[root@localhost ~]# iptables -t filter -I INPUT -p icmp -j REJECT

语法解读:在filter表中INPUT链中添加(-I)一个规则,即拒绝(REJECT)ICMP的数据包

常用选项:

  • -A   增加
  • -D   删除
  • -I     插入
  • -R   修改,替换
  • -L   列出
  • -F  清空
  • -P   指定链的默认策略
  • -n   以数字方式显示结果
  • -v    详细信息
  • -line numbers 显示列表顺序号  

1.添加

[root@localhost ~]# iptables -A INPUT -p tcp -j ACCEPT   (在INPUT末尾追加)
[root@localhost ~]# iptables -I INPUT 2 -p icmp -j ACCEPT  (在第二行添加)
[root@localhost ~]# iptables -I INPUT -p udp -j ACCEPT    (默认第一行添加)

2.删除

[root@localhost ~]# iptables -F INPUT  (清空)
[root@localhost ~]# iptables -D INPUT 10  (删除第10条规则)

三、规则匹配条件

匹配条件设置包括三大类:通用匹配,隐含匹配,显示匹配

1.通用匹配

(1)匹配协议

在iptables中使用 “-p” 协议名的形式指定,检查网络数据包使用的协议

[root@localhost ~]# iptables -I INPUT -p tcp -j ACCEPT
(2)地址匹配

使用“-s”源地址或者 “-d”目标地址。

[root@localhost ~]# iptables -A FORWARD -s 192.168.10.102 -j ACCEPT
(接受192.168.10.102的转发)
[root@localhost ~]# iptables -A FORWARD -s 192.168.10.0/24 -j REJECT
(拒绝192.168.10.0网段的转发)
(3)网络接口匹配

使用“-i”(--in-interface)和“-o”(--out-interface)接口的形式

[root@localhost ~]# iptables -A INPUT -i ens-33 -s192.168.10.0/24 -j REJECT
[root@localhost ~]# iptables -A INPUT -i ens-33 -s192.168.10.0/24 -j DROP

 2.隐含匹配

(1)端口匹配

使用 “--sport”源端口和 “--dsport目标端口”,对UDP和TCP检查

[root@localhost ~]# iptables -A FORWARD -s 192.168.10.0/24 -p udp --dport 53 -j REJECT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT
 (2)ICMP类型匹配

使用 “--icmp-type”检查数据包,用数字或字符串表示Echo-Request请求,代码为8;Echo-Repy回显代码为0;Destination-Unreachable目标不可达代码为3,

3.显示匹配

以-m模块名称调用

(1)多端口匹配

-m multiport  --sport”源端口和“-m multiport  --dport”目标端口

[root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport 25,80,110 -j ACCEPT  
(开放25,80,110端口)
(2)IP地址匹配

-m iprange --src-range IP范围”检查源地址,“-m iprange --drc-range  IP 范围”目标地址

[root@localhost ~]# iptables -A FORWARD -p tcp -m iprange --src-range 192.168.10.100-192.168.10.105 -j DROP
(禁止转发192.168.10.100-192.168.10.105数据包)
(3)MAC地址匹配

-m mac --mac-source MAC地址

(4)状态匹配

-m state --state 连接状态”检查数据包连接状态。
常见状态:
NEW(任何连接无关)
ESTABLISHED(已建立连接)
RELATED(已有连接的相关性)
 

iptables防火墙规则
qq_44276884的博客
03-27 532
linux防火墙@[TOC](linux防火墙) 一、iptables介绍:iptablesLinux中对网络数据包进行处理的一个功能组件,就相当于防火墙,可以对经过的数据包进行处理,例如:数据包过滤、数据包转发等等,一般例如Ubuntu等Linux系统是默认自带启动的。 二、iptables结构在这里插入图片描述 **开机自检补**保存iptables规则 一、iptables介绍: ipta...
iptables
weixin_34019144的博客
08-29 89
iptables与Netfilter的关系 iptables很多人都熟知,相比于iptables,Netfilter知道的人就会少很多。 有些人可能也没有明白两者的区别 我们可以先看如下这样的幅图 我们可以看得到的是。iptables是位于用户空间,而Netfilter却是位于内核空间 两者的区别可以归纳于下 Netfilter是官方内核中提供对报文数据包过滤和修改的一个功能,它位于内核中的tc...
iptables深度总结--基础篇_iptables input output forward
最新发布
2401_87205122的博客
09-19 970
示例: iptables -A INPUT -d 172.16.1.10 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -s 172.16.1.10 -p tcp -m multiport --sports 22,80 -m state --state ESTABLISHED -j ACCEPT。
iptables防火墙规则的添加、删除、修改、保存
smh821025的专栏
02-26 2008
摘要 本文介绍iptables这个Linux下最强大的防火墙工具,包括配置iptables三个链条的默认规则、添加iptables规则、修改规则、删除规则等。 一、查看规则集     iptables --list -n // 加一个-n以数字形式显示IP和端口,看起来更舒服 二、配置默认规则     iptables -P INPUT DROP  /
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
Linuxiptables防火墙的基本应用教程.docx
10-29
iptablesLinux 上常用的防火墙软件,本教程将介绍 iptables 的安装、清除 iptables 规章、iptables 只开放指定端口、iptables 屏蔽指定 IP、IP 段及解封、删除已添加的 iptables 规章等 iptables 的基本应用。...
linux iptables防火墙黑名单(封IP) Connection reset by peer
01-11
linux iptables防火墙黑名单(封IP) Connection reset by peer
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用。通过学习本节课程,学生将...
linux一些常用iptables防火墙规则整理收集
奔跑的路
04-20 2096
这里是一个朋友在使用linux系统时的一些常用到的iptables防火墙规则整理了一篇文章,下面我转过来作记录的同时也给各位同学参考参考。 安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables Debian/Ubuntu执行: apt-get install iptables 清除已有iptable
iptables防火墙规则操作
peidongyao的博客
07-13 648
一、查看防火墙规则iptables -L -n 或者iptables -nvl二、配置默认规则iptables -P INPUT DROP   不允许进iptables -P FORWARD DROP  不允许转发iptables -P OUTUPT ACCEPT  允许出三、增加规则iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT//允许源ip地址为19...
Linux中的防火墙netfilter/iptables 简介
码海小虾米_的博客
05-24 1250
防火墙netfilter/iptables一、Linux防火墙基础1.1 ptables的表、链结构1.1.1 Linux包过滤防火墙概述1.2 数据包控制的匹配流程1.2.1 四表1.2.2 五链1.2.3 四表五链总结1.2.4 规则链之间的匹配顺序1.2.5 规则链内的匹配顺序∶二、编写防火墙规则准备工作:2.1 基本语法、控制类型2.1.1 iptables防火墙的配置方法∶2.1.2 iptables 命令行配置方法∶2.1.3 常用的控制类型∶2.1.4 常用的管理选项∶2.2 添加、查看、删除
iptables总结存档
u011635437的博客
06-28 978
目前我的工作已经比较少去使用linux防火墙了,机房分多区域,生产都在内网使用,庞大的系统也已经无法使用linux防火墙来隔离机器之间的网络访问关系。iptables的结构由表Tables,链Chains,规则Rules三部分组成。 首先是iptables的表(tables)与链(chains) iptables有Filter, NAT, Mangle, Raw四种内建表: (1). Filter表 Filter是iptables的默认表,它有如下三种内建的链(chains): OUTPUT链 : 就是处
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值