Linux系统中使用iptables技术

最新推荐文章于 2024-05-20 16:13:47 发布
最新推荐文章于 2024-05-20 16:13:47 发布
阅读量380 收藏 1
点赞数
分类专栏: Linux应用 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwenqian0602/article/details/128654976
版权

Linux系统中使用iptables技术

区别于ebtables用于以太网帧的过滤,iptables用于对IP数据包的过滤,结构有:iptables -> Tables -> Chains -> Rules,tables由chains组成,而chains由rules组成;
iptables具有Filter、NAT,Mangle,Raw四种内建表,PREROUTING(路由前)、INPUT(数据包流入)、FORWARD(转发管卡)、OUTPUT(数据包出口)、POSTROUTING(路由后)五个规则链。

1、Filter表

Filter:定义允许或者不允许,
Filter表示iptables的默认表,因此如果你没有自定义表,那么就默认使用filter表,它具有以下三种内建链:
INPUT链 – 处理来自外部的数据;
OUTPUT链 – 处理向外发送的数据;
FORWARD链 – 将数据转发到本机的其他网卡设备上。

iptables -t filter -L    //显示所有filter表表单;

2、NAT表,NAT IP转发

NAT定义地址转换,
NAT有三条缺省“链”:
PREROUTING,目的DNAT规则:把从外来的访问重定向到其他的机子上,因为路由时只检查数据包的目的IP地址,所以必须在路由之前就进行目的PREROUTING DNAT;
系统处理流程:PREROUTING DNAT翻译 -> 过滤(Forward) -> 路由;
例如:外网访问内网,-j DNAT --to-destination ipaddr:port,目的网络地址转换,重写包的目的IP地址。

iptables -t nat -A PREROUTING -p tcp -d 172.17.79.179 --dport 90 -j DNAT --to-destination 192.168.120.175:8080   //IP转发规则;
iptables -t nat -A POSTROUTING -j MASQUERADE    //IP伪装;

POSTROUTING,源SNAT规则:路由之后再执行该链中的规则;
系统处理流程:路由 -> 过滤(Forward) -> POSTROUTING SNAT翻译;
例如:内网访问外网,-j SNAT --to-sport ipaddr:port,源网络地址转换,重写包的源IP地址。SNAT,只能在nat链表的POSTROUTING链里使用。

iptables -t nat -A POSTROUTING -p tcp -s 192.168.120.175 --sport 8080 -j SNAT --to-source 172.17.79.179:9013    //IP转发规则;

OUTPUT,定义对本地产生的数据包的目的NAT规则;
打开IP转发功能;

echo 1 > /proc/sys/net/ipv4/ip_forward     //开启IP转发功能;

其他iptables规则命令。

iptables -t nat -F    //删除所有nat转发规则;
iptables -t nat -L    //显示所有nat转发规则表单;

3、Mangle表

Mangle表修改报文数据,用于指定如何处理数据包。它能改变TCP头中的QoS位。Mangle表具有5个内建链:
PREROUTING
OUTPUT
FORWARD
INPUT
POSTROUTING

iptables -t mangle -L    //显示所有mangle表表单;

4、Raw表

Raw表用于处理异常,它具有2个内建链:
PREROUTING链
OUTPUT链

iptables -t raw -L    //显示所有raw表表单;

5、规则

a) 清除规则

iptables -t nat -F    //删除所有nat转发规则;
iptables -F //删除所有表转发规则;

b) 更改默认策略:

iptables -P INPUT DROP 
iptables -P OUTPUT DROP 
iptables -P FORWARD DROP

6、实例,完整的配置

a) 删除现有规则

iptables -F

b) 配置默认链策略

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

c) 允许远程主机进行SSH连接

iptables -A INPUT -i eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

d) 允许本地主机进行SSH连接

iptables -A OUTPUT -o eth0 -p tcp –dport 22 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT

e) 允许HTTP请求

iptables -A INPUT -i eth0 -p tcp –dport 80 -m state –state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –sport 80 -m state –state ESTABLISHED -j ACCEPT
荀谦子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux操作系统IPTables
m0_51456787的博客
08-08 1119
iptables其实不是真正的防火墙,我们可以把它理解成一个客户端代理用户通过iptables这个代理,将用户的安全设定执行到对应的"安全框架",这个"安全框架"才是真正的防火墙,这个框架的名字叫netfilter。netfilter才是防火墙真正的安全框架(framework),netfiter位于内核空间。iptables其实是一个命令行工具,位于用户空间,我们用这个工具操作真正的框架。............
linux操作系统应用技术教案
07-04
了解进程管理和任务控制也是Linux应用技术的核心部分。教程可能会涵盖`ps`(查看当前进程)、`top`(实时监控系统状态)、`kill`(结束进程)以及`nohup`(让命令在后台持续运行)等命令。同时,学习者会学习到...
linux 修改防火墙配置
bayonet1999的博客
09-17 1557
1.首先介绍一下指令和相关配置文件 启动指令:service iptables start    重启指令:service iptables restart    关闭指令:service iptables stop       然后是相关配置:/etc/sysconfig/iptables    如何操作该配置呢?    vim /etc/sysconfig/iptable
Linuxiptables防火墙部署优化之路由转发(地址伪装)
最新发布
fox_kang的博客
05-20 587
准备工作:​ 1.已知node2的主机名称为node2.timinglee.org其ip为192.168.0.200​ 2.已知node1的主机名为node1.timinglee.org,此主机为双网卡主机其IP为172.25.254.200和192.168.0.100,请在此主机配置策略可以使node2主机访问外网。
Linuxiptables实践与详解
小小默:进无止境
03-04 1345
【1】简介 当主机收到一个数据包后,数据包先在内核空间处理,若发现目的地址是自身,则传到用户空间交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数。iptables这款用户空间的软件可以...
Linuxiptables防火墙
SmileLife_的博客
05-12 1376
一、iptables防火墙概述 netfilter/iptables:ip 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 主要工作在网络层,针对IP数据包,体现对包内的IP地址、端口信息等处理。 1.1 netfilter/iptables的关系 netfilter:属于“内核态”(Kernel Space, 又称为内核空间)的防火墙功能体系。 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptable
linux的防火墙(iptables
hanjinming110的博客
04-19 2586
防火墙的作用: linux防火墙主要是工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或者为网络层防火墙) linux的防火墙分为两种,分别为netfiter和iptables,这两种都被称为防火墙,但是又有一些区别, 具体的区别在于: 1、netfilter:称为内核空间,是linux内核实现包过滤的防火墙的内部结构,属于“内核态,又称为内核空间”防火墙功能体系。 2、iptables:管理防火墙的命令程序,它位于/sbin/iptables目录下,属于“用户态”,
基于Linux的Netfilter_Iptables技术及其应用.pdf
09-07
基于Linux的Netfilter_Iptables技术及其应用.pdf
Linux内核Netfilter_Iptables防火墙的技术分析.pdf
09-06
Linux内核Netfilter_Iptables防火墙的技术分析.pdf
alpine-router:使用iptables和dnsmasq的基于linux的高山路由器
02-06
"alpine-router" 是一个项目名称,表明这是一个使用 Alpine Linux 操作系统的路由器解决方案。"基于linux的高山路由器"进一步确认了它是一个使用轻量级 Alpine Linux 发行版的网络设备,可能专注于路由和网络管理...
Linux下集成Iptables与Snort构筑安全防护体系
07-04
当前网络安全技术的防火墙技术和入侵检测技术已经发展得比较成熟,但是各有其优缺点。把防火墙与入侵检测系统集成使用进行网络防护,顺应了网络安全发展的需要,弥补了两者的不足之处。文章在详细地阐述网络入侵检测...
Linux操作系统的IP伪装技术.pdf
09-06
Linux操作系统的IP伪装技术.pdf
如何利用Linux操作系统IP伪装防黑
03-04
防火墙可分为几种不同的安全等级。在Linux,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力。不过,Linux核心本身内建了一种称作“伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。本文将为大家介绍如何利用Linux操作系统IP伪装防黑。
IP伪装,ip变换
10-29
Ip改造,当前IP变换,不会影响正常上网,打开就能用。
使用iptables OUTPUT规则实现负载均衡
为君歌一曲
01-14 7983
目的:希望本机服务在发出调用请求的时候,可以负载均衡到不同的目的地址。 这个目的看似有些诡异,一般的负载均衡场景都是服务端在收到请求时,在服务端前段的网关上做负载均衡。但是确实存在这样的场景:在微服务治理场景,没有了全局的负载均衡器,依赖本地代理实现负载均衡算法,如果某个客户端未连接到注册心,或者其他场景下和注册心失联,需要手工配置到目的路由,如改下/etc/hosts文件,加入目的服务...
Linuxiptables设置详细
天道酬勤
09-28 203
无论如何,iptables是一个需要特别谨慎设置的东西,万一服务器不在你身边,而你贸然设置导致无法SSH,那就等着被老板骂吧,呵呵。。。 一下内容是为了防止这种情况发生而写的,当然很初级,不过一般服务器也够用了: 1.首先介绍一下指令和相关配置文件   Xml代码   启动指令:service iptables start    重启指令:service iptab...
利用Linux系统IP伪装抵住******
weixin_34356138的博客
12-04 123
防火墙可分为几种不同的安全等级。在Linux,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法***的保护能力。不过,Linux核心本身内建了一种称作“伪装”的简单机制,除了最专门的******外,可以抵挡住绝大部分的***行动。    当我们拨号接连上Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计...
在2.6内核下不编译内核给iptables添加模块
Marking的专栏
01-17 806
看了platinum兄弟写的在2.4内核下给iptables添加模块,想在2.6的内核下也试试,经过一天半的努力,并参考platinum兄弟的文章,终于成功,写下来跟CU的兄弟们分享,我的系统为fedora2+linux-2.6.5-1.3581,安装kernel源码[root@jiecho]# yum install kernel-source2,下载iptables-1.3.3.tar.b
Linux:iptables的基本命令以及地址伪装
Le_Anny的博客
06-14 4765
IPTABLES IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信 息包过滤表,而这些表集成在 Linux...
浅谈Linux系统iptables的应用
05-15
iptablesLinux 系统的一个强大的防火墙工具,它可以用于过滤、重定向和修改网络数据包。它是一个基于内核的软件,可以对数据包进行过滤和修改,从而实现网络连接的控制和管理。在 Linux 系统iptables 是最常用的防火墙软件之一,它可以在多个层面上进行过滤和管理网络连接。以下是 iptablesLinux 系统的一些应用: 1. 防火墙:iptables 可以配置防火墙规则,保护系统免受来自外部网络的攻击。它可以限制不同网络之间的数据流量,并允许或阻止特定的端口和协议。 2. NAT:iptables 可以实现网络地址转换(NAT),它可以将私有 IP 地址转换为公共 IP 地址以实现 Internet 访问。通过 NAT,可以将多个设备连接到 Internet,而不需要每个设备都拥有公共 IP 地址。 3. 端口转发:iptables 可以将进入系统的数据包重定向到其他系统或端口。这是在服务器环境非常有用的,因为它可以将外部流量重定向到内部服务器。 4. 流量限制:iptables 可以限制流量,这对于限制恶意用户或应用程序的带宽使用非常有用。它可以限制连接的数量、速率和带宽,从而保证网络的稳定性和可靠性。 总之,iptablesLinux 系统非常有用的一个工具,可以用于保护网络安全、管理网络连接和实现网络地址转换等功能。它的功能非常强大,但也需要用户具备一定的技术水平和经验,才能正确配置和使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值