iptables -- 实际使用技巧及原理解析...

最新推荐文章于 2025-06-04 13:50:14 发布
最新推荐文章于 2025-06-04 13:50:14 发布
阅读量423 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Linux指令记 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/CPU1994GHz/article/details/83504691
本文深入探讨了现代Linux内核中的Netfilter数据包过滤框架及其用户层命令行工具iptables。Netfilter提供了一系列操作来控制进出系统的流量数据包,而iptables则具备强大的防火墙配置功能,允许添加规则构建防火墙策略。文章还介绍了iptables的复杂功能、语法以及规则备份与还原的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

现代 Linux 内核带有一个叫 Netfilter 的数据包过滤框架。Netfilter 提供了允许、丢弃以及修改等操作来控制进出系统的流量数据包。
基于 Netfilter 框架的用户层命令行工具 iptables 提供了强大的防火墙配置功能,允许你添加规则来构建防火墙策略。
iptables 丰富复杂的功能以及其巴洛克式命令语法可能让人难以驾驭。
我将持续更新了解到的新用法及原理!

规则备份与还原

iptables-save > /root/iptables-rules/iptables-works-`date +%F`
iptables-restore < /root/iptables-rules/iptables-works-lastest

注意:这里不是',而是 `

语句基本原则

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

表名:
默认filter


    raw:高级功能,如:网址过滤。
    mangle:数据包修改(QOS),用于实现服务质量。
    net:地址转换,用于网关路由器。
    filter:包过滤,用于防火墙规则。

操作类型:

-A   :append附加规则,将新增的规则添加到链的尾部
-I[n] :插入为第n条规则
-D   : 删除第n条规则
-R[n] : 替换第N条

实例:

iptables -A INPUT -p tcp --dport 22 -s 172.16.110.102 -d 10.194.10.1 -j DROP

参考链接:
参考一:linux中国开源社区
参考二:linux命令

IPTABLES原理
m0_45857447的博客
12-08 1368
iptables是linux系统下的防火墙软件,是netfilter机制的一部分,通过iptables可以操纵linux对网络访问进行精细的控制,例如丢掉特定地址来源的数据包。 iptables就是客户端代理,用于管理防火墙,真正的防火墙是netfilter。 - “安全框架” - Netfilter 位于在内核中 Netfilter - 内核空间;是真正去实现软件防火墙功能 IPtables - 用户空间;是一个用户空间的客户端代理软件 在用户空间中使用IPtables工具,将安全策略执...
iptables(一)--初阶
weixin_34202952的博客
07-07 136
1、TCP/IP三次握手 客户端发起请求,SYN=1,ACK=0,产生个序列号,以100为例 服务端确认客户端的请求,并且也想客户端请求,SYN=1,ACK=1,确认客户端的请求,所以确认号+1 =101,并且在产生个序列号,这里以300为例 客户端发送确认,所以SYN=0,ACK=1,序列号=101,确认服务器的序列号=301 2、TCP/IP四次断开 ...
超级详细的iptables教学及其配置实战!
最新发布
2503_91960863的博客
06-04 1079
Iptables 是一个用户空间程序,可以用于设置和管理 Linux 操作系统的内核级防火墙。它通过表、链和规则组成,可以灵活地根据不同的需求进行配置。iptables 具有以下特点:- Iptables 作为内核级别的防火墙,具有高效、稳定、安全等优点。- Iptables 的表、链、规则结构非常灵活,可适应各种不同的网络环境和应用场景。- Iptables 相对于其他防火墙工具而言比较容易学习和掌握,并且拓展性非常强。
关于iptables的常用技巧方法
Dearmark的博客
10-11 444
前序iptables的起源发展防火墙的工作原理等这里我们就不在复述。这里主要记录下日常运维过程中关于iptables的命令,参数及实际运用。链路管理命令iptables -F 清除预设表filter中的所有规则链的规则iptables -X 清除预设表filter中使用者自定链中的规则iptables -P :设置默认策略的iptables -Z:清空链,及链中默认规则的计数器i
iptables原理知识
weixin_33705053的博客
08-21 241
一、iptables原理iptables实际上是定义防火墙规则的工具,真正对数据报文处理的是内核中的netfilter模块。netfilter对报文的处理方式一般有:过滤,地址转换,连接追踪。1、常用的数据报文格式的解释防火墙实际上是对进出本机的各种报文进行控制,所以了解常见报文的结构(格式)可以精确的控制报文。1)IP报文的格式ip报文的结构如下图: 在这里与防火墙关系最...
iptables
weixin_34019144的博客
08-29 134
iptables与Netfilter的关系 iptables很多人都熟知,相比于iptables,Netfilter知道的人就会少很多。 有些人可能也没有明白两者的区别 我们可以先看如下这样的幅图 我们可以看得到的是。iptables是位于用户空间,而Netfilter却是位于内核空间 两者的区别可以归纳于下 Netfilter是官方内核中提供对报文数据包过滤和修改的一个功能,它位于内核中的tc...
19. Linux-RHCE-firewalld-故障排除技巧
firewalld基础知识及常见故障 ### 1.1 firewalld简介与工作原理 在本节中,我们将介绍firewalld防火墙的基础知识和工作原理。Firewalld是Linux系统上的前端动态防火墙管理工具,它用于管理iptables规则并提供了一...
12. Linux-RHCE精讲教程之SSHD服务(上)- 使用iptables设置防火墙规则
# 1. SSHD服务简介 ## 1.1 SSHD服务概述 Secure Shell(SSH)是一种加密网络协议,用于在网络上安全地...## 1.3 SSHD服务运行机制解析 sshd服务的运行依赖于系统的sshd进程,通过监听指定端口等待客户端连接请求,验
[root@stg-postgres ~]# iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 172.17.167.29 0.0.0.0/0 0 0 DROP all -- * * 172.17.167.28 0.0.0.0/0 151M 157G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 IOA_IP_INTERCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 34152 packets, 27M bytes) pkts bytes target prot opt in out source destination 53M 79G SF_DNS_INTERCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain IOA_IP_INTERCEPT (1 references) pkts bytes target prot opt in out source destination Chain SFIPS (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spt:54120 0 0 NFQUEUE tcp -- * * 0.0.0.0/0 127.0.0.1 tcp dpt:5433 NFQUEUE num 4 bypass 0 0 NFQUEUE all -- * * !127.0.0.1 0.0.0.0/0 NFQUEUE num 4 bypass Chain SFIPS_CTRL (0 references) pkts bytes target prot opt in out source destination 0 0 SFIPS all -- * * 0.0.0.0/0 0.0.0.0/0 Chain SFIPS_OUT (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:54120 0 0 NFQUEUE tcp -- * * 127.0.0.1 0.0.0.0/0 tcp spt:5433 NFQUEUE num 4 bypass 0 0 NFQUEUE tcp -- * * !127.0.0.1 0.0.0.0/0 length 0:1024 NFQUEUE num 4 bypass Chain SFIPS_OUT_CTRL (0 references) pkts bytes target prot opt in out source destination 0 0 SFIPS_OUT all -- * * 0.0.0.0/0 0.0.0.0/0 Chain SF_DNS_INTERCEPT (1 references) pkts bytes target prot opt in out source destination上面是我的iptables规则,让后我只执行了iptables -A INPUT -p tcp --dport 5432 -j ACCEPT接着systemctl restart iptables ,在执行iptables -nvL却出现了 [root@stg-postgres ~]# iptables -nvL Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 172.17.167.29 0.0.0.0/0 0 0 DROP all -- * * 172.17.167.28 0.0.0.0/0 134 54685 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5432 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 116 packets, 66510 bytes) pkts bytes target prot opt in out source destination 为啥内容就变少了呢?
03-09
首先,我应该回忆一下iptables的工作原理。用户使用的是systemctl restart iptables,这可能意味着系统使用systemd管理iptables规则,比如通过iptables-services包,或者某个保存规则的脚本。通常,重启服务会重新...
3. Linux-RHCE-firewalld-基本概念解析
firewalld使用基于区域的概念来管理网络防火墙规则,可以提供更灵活和动态的网络安全管理。 ## 1.2 firewalld的作用和重要性 通过firewalld,系统管理员可以方便地管理防火墙规则,对网络流量进行控制和过滤,提高...
iptables深度解析原理与规则编写指南
作者通过亲身使用和研究,对该教程的实用性和深度给出了极高的评价,并且推荐读者多次阅读以深刻理解和掌握iptables的使用技巧。 标签:“linux iptables”意味着本教程专注于在Linux操作系统上使用iptables防火墙...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
嵌入式 iptables防火墙实际使用案例解析
skdkjxy的专栏
09-19 1349
一、代理服务器架设的位置 实验环境如下: 1)局域网网段:192.168.1.0/24,该网段内有2台服务器和1台客户端 (1)WEB服务器:192.168.1.3/24 (2)FTP服务器:192.168.1.2/24 (3)客户端:192.168.1.5/24 2)局域网与外网之间是通过安装有CentOS的防火墙相连,防火墙有两块网卡 (1)eth0:192.168.1.254/
iptables原理
VMA_LMA的专栏
03-10 2031
iptables实际上是定义防火墙规则的工具,真正对数据报文处理的是内核中的netfilter模块。netfilter对报文的处理方式一般有:过滤,地址转换,连接追踪。 1、常用的数据报文格式的解释 防火墙实际上是对进出本机的各种报文进行控制,所以了解常见报文的结构(格式)可以精确的控制报文。 1)IP报文的格式 ip报文的结构如下图: 在这里与防火墙
iptables(一)原理
wzj_110的博客
09-29 1046
本为的目的: 作为'虚拟网络'的第一篇章,为后续了解'docker、k8s网络'打好基础,后续学习'flannel、calico网络插件'学习打好基础 CSI --> 'Container Storage Interface --> 标准化容器存储接口' 一 iptables相关概念 (1)iptables '学习的驱动': 由于iptables在'Docker和Kubernetes网络中'应用甚广 'iptables实现的体现': Docker容器和宿主机的'端口映射...
iptables基本原理
每天写一点,进步一点点
05-04 4003
前提基础:         当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。         iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,ipt
Iptables防火墙原理
小胡子
08-13 614
一、IPTABLES概念 iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。从设备上分类,防火墙分为软件防火墙、硬件防火墙、芯片级防火墙。从技术上分类,防火墙分为数据包过滤型防火墙、应用代理型防火墙。这是因为四层模型的每一层都可以应用防火墙。 防火墙的发展史就是从墙到链再到表的过程,也即是从简单到复杂的过程。为什么规则越来越...
iptables原理——防火墙原理
donghaixiaolongwang的博客
03-16 658
1、iptables是什么,清楚了你也就知道你在学什么了。那样你才会有动力 通俗的讲,在网络中有很多数据包在无时无刻的被传送着。这些数据包很有可能是发给你的,也有可能是你发给别人的。这时你就可以对这些数据包进行处理和玩弄了。 例子:假如你的这台电脑是公司的web服务器,每天很多人访问(有大量的用户发给你数据包、当然也可能有爬虫假冒用户给你发送数据包,从而获取你服务器上的资源。更有可恶人
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值