iptables指令逻辑详解

最新推荐文章于 2025-06-04 13:50:14 发布
最新推荐文章于 2025-06-04 13:50:14 发布
阅读量689 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: # linux 文章标签: iptables 详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Cherishhere/article/details/88393883

前言:本文主要讲解iptables的基本概念,工作处理流程,配置指令

 

一、基本概念

iptables用以进行网络防火墙,具体概念由表(table)、链(Chain)、规则构成。一个iptables包含多个表,一个表包含多条链、一条链包含多条规则,每条规则包含一个匹配项和数据包处理动作。iptables包含filter、nat、mangle、raw四张表,其中filter表最常用,链一共有PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING五条链(hook,即5个钩子函数),每个链上都有一些规则,一个规则定义了匹配模式和处理动作。具体每张表只能包含特定链,而一条链可以有多种规则,指定匹配模式和处理方式,如果一个数据包无法匹配链上的任何一条规则,则采取默认处理动作。

注:一共有4张表、5条链,但是每张表都只能包含特定的链,每条链可以包含不同的规则。具体关系如下图:

 

二、iptables处理流程

在得知iptables内部的静态结构后,需要进一步了解各个模块间的相互作用,如何实现防火墙,检测、修改、转发、重定向、丢弃数据包的。理解iptable如何工作关键是理解下图:

 

 

整个iptables的封包流向如上图所示:

 封包首先经过nat->PREROUTING,进行路由判断,本包数据是转发还是放行进入本机,是否需要进行网络地址转换。若果需要转发则走filter->FORWARD链,如果放行进本机,走filter->INPUT链。所以网络封包有两条线路:

1)转发线路:

nat-PREROUTING  ------------> filter-FORWARD-------------->nat-POSTROUTING

2)放行路线:

nat-PREROUTING------->filter-INPUT-------->local_process--------->nat-OUTPUT---------->filter-OUTPUT------->nat-POSTROUTING

更详细的流向:

三、iptables配置指令

指令基本模式如下:

iptables [-t table_name] -option [chain_name] [rule_no] [rule] [-j action] 
表示对表tablbe_name
最低0.47元/天 解锁文章

200万优质内容无限畅学
【系统架构设计师-2020年】综合知识-答案及详解
数据知道的博客
09-02 9692
前趋图(Precedence Graph)是一个有向无环图,记为:→={(Pi,Pj)|Pi must complete before Pj may start} 。假设系统中进程P={P1,P2,P3,P4,P5,P6,P7},且进程的前趋图如下: 那么, 该前驱图可记为 ( )。 答案解析正确答案: B在支持多线程的操作系统中,假设进程P创建了线程T1、T2和T3,那么下列说法正确的是( )。 答案解析正确答案: C假设某计算机的字长为32位,该计算机文件管理系统磁盘空间管理采用位示图(bitmap)
通过iptables的u32模块实现对应用层协议匹配
CollinXia的博客
03-23 2095
项目上做一个应用层的防火墙,而传统的防火墙匹配不到应用层内容。看了很多博客如何用layer7来做,但是layer7未免太老了些。于是尝试了用u32模块通过字匹配的方式来实现应用层的解析。欢迎各位大佬批评指正!
iptables命令详解
11-20
本文档详细描述了iptables的参数及参数的作用,包括一些举例.
超级详细的iptables教学及其配置实战!
最新发布
2503_91960863的博客
06-04 1123
Iptables 是一个用户空间程序,可以用于设置和管理 Linux 操作系统的内核级防火墙。它通过表、链和规则组成,可以灵活地根据不同的需求进行配置。iptables 具有以下特点:- Iptables 作为内核级别的防火墙,具有高效、稳定、安全等优点。- Iptables 的表、链、规则结构非常灵活,可适应各种不同的网络环境和应用场景。- Iptables 相对于其他防火墙工具而言比较容易学习和掌握,并且拓展性非常强。
IPTABLES中文MAN
NETOCOOL的专栏
12-13 2591
总览用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rule num[option]删除指定规则iptables -[LFZ] [chain][option]用i
iptables 运行逻辑及-I -A 参数解析
weixin_34037515的博客
12-21 1295
  刚开始接触Iptables 就对-I  和 -A 参数很疑惑,-I 插入一条或多条规则 ,-A 是追加一条或多条规则。 都是加一条规则,究竟这两个有什么不同呢? 实验: 拿了两台机器,一台发PING包,一台被PING。 两台机器使用 iptables -nvL INPUT 查看,iptables 是空的 然后在被PING的机器加入 iptables -A INPUT -p icmp...
iptables详解【11】: 网络防火墙
focus_lyh的博客
10-24 413
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下 iptables零基础快速入门系列 阅读这篇文章需要站在前文的基础之上,如果在阅读时遇到障碍,请回顾前文。 我们一起来回顾一下之前的知识,在第一篇介绍iptables的文章中,我们就描述过防火墙的概念,我们说过,防火墙从逻辑上讲,可以分为主机防火墙与网络防火墙。 主机防火墙:针对于单个主机进行防护。 网络防火墙: 往往处于网络入口或边缘,针对于网络入口进行防护,服务
运维iptables与firewalld详解
专注于输出大概有用的软硬件技术!
06-21 2383
关于iptables 与firewalld 的关键概念、常用操作、各自优势特点的详细记录。
【Android】(三) iptables 详解
CHENDONGHAO1105的博客
09-13 1497
根据target参数的值,判断要执行的命令类型。如果target是V4或V4V6,则调用sendCommand函数执行iptables-restore命令,并将结果存储在output中。也因为 Chain 中 Rules 的次序非常关键,执行 Rules 时,会按照从上往下的顺序进行。表(Table)是面向应用场景的管理方式,每张表被赋予了不同的应用场景,所以也内含了不同的 Chains 和 Rules。此外,Netfilter 提供了 5 条内建的 Chains,用户也可以新建自定义的 Chains。
linux下iptables讲解
weixin_33859231的博客
04-20 144
iptables(netfilter网络过滤器)iptables是linux上特有的防火墙机制,功能非常强大。CentOS默认是没有iptables规则。iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。常用选项:iptables -nvL 查看规则(-n为数字显示输出的ip地址和端口 -v 为可视化显示 -L为列出所有的规则)iptables -F   清除规则(f...
Iptables表和链最清晰解释
01-15
Iptables表和链最清晰解释 下文有个词mangle,我实在没想到什么合适的词来表达这个意思,只因为我的英语太差! 我只能把我理解的写出来,这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的操作是TOS、TTL、MARK。也就是说,今后只要我们见到这个词能理解它的作用就行了。 以本地为目标(就是我们自己的机子了)的包
iptable详解
weixin_34303897的博客
11-23 286
查看iptables状态-重启 iptables 所在目录 /etc/sysconfig/iptables service iptables status 查看iptables状态 service iptables restart iptables服务重启 service iptables stop iptables服务禁用 启动iptables ...
iptables命令的详解
weixin_34315189的博客
05-23 269
Linux系统中防火墙:iptables/netfilter (既可以当主机防火墙,又可以当网络防火墙)netfilter:linux内核中的防火墙的框架,Feamework,防火墙功能实现的主体;iptables:专门为netfilter编写的数据报文的匹配规则的用户空间的应用程序工具;在使用iptables防火墙的时候,我们建议将Centos 7 中的 f...
iptables指令详解
x532943257的博客
02-26 757
iptables 指令 语法: iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。 规则表的功能如下:    nat 此规则表拥有 Prerouting 和 postrouting 两个规则
firewalld详解
01-08
### Firewalld 的详细介绍 #### 一、Firewalld 概述 Firewalld 是一款动态管理防火墙的软件,支持网络区域(zone)的概念来定义不同信任级别的网络连接。相比传统的 iptables 工具而言,firewalld 提供了一个更易于使用的命令行接口和图形界面[^1]。 #### 二、安装与启动服务 大多数现代 Linux 发行版默认已预装此组件;如果没有,则可以通过包管理器轻松获取。对于基于 Red Hat 的系统来说,可执行如下指令完成部署: ```bash sudo yum install firewalld ``` 接着启用并开启该守护进程: ```bash sudo systemctl enable firewalld.service sudo systemctl start firewalld.service ``` 确认其运行状态正常: ```bash sudo firewall-cmd --state ``` 上述操作完成后即可开始配置工作[^2]。 #### 三、基本概念解析 - **Zone**: 定义了一组具有相同安全策略的应用场景,默认存在 public/private/internal/drop/block/workstation/external/trusted 等多个内置 zone; - **Service**: 表示允许通过的服务类型列表,比如 ssh/http/https 等常见协议端口组合; - **Port**: 单独指定开放的具体 TCP 或 UDP 端口号; - **Rich Rule**: 支持创建复杂的条件语句实现高级过滤逻辑。 #### 四、常用命令集锦 查询当前活动区及其关联规则: ```bash sudo firewall-cmd --get-active-zones ``` 查看某特定 Zone 下的所有设置详情: ```bash sudo firewall-cmd --zone=public --list-all ``` 临时添加一条新规则至 Public 区域内(重启后失效): ```bash sudo firewall-cmd --add-service=http --zone=public ``` 永久生效需追加 `--permanent` 参数,并重新加载配置文件使更改立即起效: ```bash sudo firewall-cmd --runtime-to-permanent ``` 移除先前设定好的规则项: ```bash sudo firewall-cmd --remove-port=80/tcp --zone=public --permanent sudo firewall-cmd --reload ``` 针对 Rich Rules 进行增删改查的操作方式类似,在这里不再赘述具体语法结构。 #### 五、进阶特性说明 除了以上提到的基础功能外,firewalld 还具备 SNAT/DNAT 地址转换能力,能够灵活调整内外网之间的数据流向。此外,借助于 rich rules 可以构建更为精细的安全防护体系,满足企业级应用场景下的多样化需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值