iptables防火墙

最新推荐文章于 2025-07-28 15:58:45 发布
原创 最新推荐文章于 2025-07-28 15:58:45 发布 · 144 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

目录

Linux防火墙

iptables的表、链结构

规则表
表的作用:容纳各种规则链
表的划分一句:防火墙规则作用相似
默认包括4个规则表
raw表:确定是否对该数据包进行状态跟踪
mangele表:为数据包设置标记
nat表:修改数据包中的源、目标IP地址或端口
filter表:确定是否放行该数据包(过滤)
规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
默认包括5种规则链
INPUT:处理入栈数据包
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
POSTEOUTING链:进行路由选择后出理数据包
PREROUTING链:在进行路由选择前处理数据包

数据包控制的匹配流程

规则表之间的顺序

raw ----> mangle ----> nat ----> filter

规则链之间的顺序

入站:PREROUTING ---->> INPUT
出站:OUTPUT —>> POSTROUTING
转发:PREROUTING —>> FORWARD---->> POSTROUTING

规则链内的匹配顺序

按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配的规则,则按该链的默认策略处理

编辑防火墙规则

语法

iptables -t 表名  选项  链名  条件  -j  控制类型
iptables -t filter -I INPUT -p icmp -j REJECT

控制类型
ACCEPT:允许通过
DROP:直接丢弃,不给任何回应
REJECT:拒绝通过,必要时会给提示
LOG:记录日志信息,然后传给下条规则继续匹配
** 管理选项**
添加新规则:
-A 在链末尾追加规则
-I 在链的开头插入规则
或者:-2 在第二条插入
-3 在第三条
查看规则列表
-L 列出所有规则列表
-n 以数字形式显示地址,端口等信息
-v 详细信息显示规则
–line-numbers 显示规则序号
示例: iptables -L
iptables -n
** 删除,清空规则**
-D 删除链内指定序号或内容的一条规则
-F 清空所有规则
例如: iptables -D OUTPUT 5
iptables -F 清空的是默认的表,也就是filter表
iptables -t nat -F 清空nat表

设置默认策略
-P
** 匹配规则条件**
-p 协议名
-s 源地址
-d 目标地址
-i 入站网卡
-o 出站网卡
** 隐含匹配条件**
端口匹配: --sport源端口 --dport目标
icmp类型匹配:–icmp-type
示例:iptables -A INPUT -s 192.168.10.10 -p udp --dport 53 -j DROP
iptables -A INPUT -p tcp --dport 20:21 -j DROP
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
** 多个端口匹配条件**
多端口匹配:-m multiport --sports 源端口列表
-m multiport --dports 目标
ip范围匹配:-m iprange --src-range ip范围
mac地址匹配:-m mac --mac-source MAC地址
状态匹配:-m state --state 连接状态

示例

查看规则表

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@localhost ~]#

禁止ping别人主机

[root@localhost ~]# iptables -A OUTPUT -p icmp -m iprange --dst-range 192.168.30.1-192.168.30.254 -j DROP


[root@localhost ~]# ping 192.168.30.254
PING 192.168.30.254 (192.168.30.254) 56(84) bytes of data.
ping: sendmsg: 不允许的操作
ping: sendmsg: 不允许的操作
^C
--- 192.168.30.254 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1001ms

[root@localhost ~]# ping 192.168.30.2
PING 192.168.30.2 (192.168.30.2) 56(84) bytes of data.
ping: sendmsg: 不允许的操作
^C
--- 192.168.30.2 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

[root@localhost ~]#
DH23
关注
iptables防火墙详解
Linux运维老纪的博客
07-28 1132
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
iptables 防火墙
2501_91344566的博客
04-17 1329
在 Linux 系统中,iptables 作为一款强大的防火墙工具,因其高度的灵活性和强大的功能,被广泛用于保护服务器免受未经授权的访问和恶意攻击。iptables 不仅能够在网络层对 TCP/IP 数据包进行精细的过滤和限制,还能够通过其复杂的规则系统实现多种网络策略。
linux iptables 防火墙管理
lihui12356的博客
09-11 1325
硬件防火墙 ---------功能强大、性能好、但是成本高软件防火墙 ---------系统防火墙 iptables、firewalld、ufw(ubantu)iptables防火墙 是Linux系统防火墙的一种 Centos7以前版本系统的默认防火墙
iptables防火墙规则
XMYX-0
12-29 2090
iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。用于过滤数据包,决定是否允许或拒绝数据包通过。用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。用于修改数据包的特定字段,如 TTL(生存时间)。用于配置连接跟踪表规则。
Linux—iptables防火墙
A6985HG的博客
07-30 2504
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
iptables 防火墙配置指南
Maomao_op_nger的博客
07-28 1099
iptables配置
系统安全之iptables防火墙
EsDeath_99的博客
06-17 1302
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
iptables防火墙总结
热门推荐
weixin_45190065的博客
08-31 1万+
最全iptables防火墙总结
Linux - iptables防火墙
2401_85983616的博客
09-12 1641
iptables防火墙是Linux系统防火墙的一种,实际上由两个组件netfilter和iptables组成。netfilters与iptables的关系:netfilter:属于“内核态”的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下。
精选资源
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
基于Matlab的实时运动目标跟踪与行为识别系统_运动目标检测_实时视频处理_目标跟踪算法_行为识别模型_人机交互界面拓展_Matlab编程_图像处理工具箱_计算机视觉算法_机器学.zip
12-22
基于Matlab的实时运动目标跟踪与行为识别系统_运动目标检测_实时视频处理_目标跟踪算法_行为识别模型_人机交互界面拓展_Matlab编程_图像处理工具箱_计算机视觉算法_机器学.zip
电力系统采用有源电力滤波器抑制谐波研究(Simulink仿真实现)
最新发布
12-22
【电力系统】采用有源电力滤波器抑制谐波研究(Simulink仿真实现)内容概要:本文围绕“采用有源电力滤波器抑制谐波”的主题,基于Simulink平台开展电力系统谐波治理的仿真实现研究。通过构建有源电力滤波器(APF)的仿真模型,重点分析其在补偿电流谐波、改善电能质量方面的性能,尤其关注并联型有源滤波器在降低系统总谐波畸变率(THD)方面的作用。文中可能涉及谐波检测方法(如SRF同步参考坐标法)、电流跟踪控制策略及系统整体仿真验证,旨在展示APF在实际电力系统中抑制非线性负载产生的谐波电流的有效性。; 适合人群:电气工程、电力系统及其自动化等相关专业的高校学生、研究人员及从事电能质量治理的工程技术人员。; 使用场景及目标:①用于电力系统课程设计或毕业设计中关于谐波治理的仿真模块搭建;②为科研项目中电能质量提升方案提供Simulink建模仿真参考;③帮助理解有源滤波器的工作原理及其在工业场景中的应用价值。; 阅读建议:建议结合Simulink软件动手实践,重点关注APF控制策略的实现细节与仿真结果分析,同时可拓展学习无功补偿、混合滤波器等关联技术以深化理解。
基于苹果公司AAPL股票过去二十年历史价格数据利用循环神经网络RNN模型进行时间序列分析与预测通过构建包含多个隐藏层的深度学习架构以过去六十个交易日的股价序列作为输入特征训.zip
12-22
基于苹果公司AAPL股票过去二十年历史价格数据利用循环神经网络RNN模型进行时间序列分析与预测通过构建包含多个隐藏层的深度学习架构以过去六十个交易日的股价序列作为输入特征训.zip
C++题库复习软件,整理了800余道C++考试的常见题目,包含选择题、多选题、判断题,并具备保存历史答题记录、自动统计已答、正确、错误、未答情况、AI分析答案等功能,提高考试的复习效率和通过率
12-22
C++题库复习软件,整理了800余道C++考试的常见题目(选择题、多选题、判断题),并具备保存历史答题记录、自动统计已答、正确、错误、未答情况、AI分析答案等功能,提高考试的复习效率和通过率。 原文链接:https://blog.youkuaiyun.com/qq616491978/article/details/139642075 主要功能: ①C++考试常见题目; ②支持多题库导入及选择; ③支持保存答题记录; ④支持查看历史答题记录; ⑤支持使用AI分析参考答案。
74LS138译码器在通信与网络中
12-22
源码地址: https://pan.quark.cn/s/c89c7053b41f 是什么? ET-Network-Module 一个从 ET 6.0 中梳理出来的多次重构了的,使用 asmdef 模块化了的网络模块 为什么? 方便在不需要接入 ET 前端的情况下与 ET 后台对接。 方便在不喜仰或是不习惯 ET 前端的情况下与 ET 后台对接。 方便用户与自己喜欢的任意框架缝合 在无 MVC(S) 、无热重载需求的;只期望简单的、按原有直觉开发的情景下有用 学习目的:学习大型游戏网络框架,学习重构网络框架 有什么? 一个仅供测试的、原滋原味的 ET6.0 server 保留 Google Protobuf net + TCP + RPC/非 RPC 等特性,并与 ET Server 正常通信 使用 Unity Assembly Definition File 拆分的网络模块,详见下图: 简化了的、适配 MonoBehaviour 的非 RPC 消息处理器生成、订阅工作流 提供了 .proto 转 .cs 的一键生成工具 没有什么? 没有了 ET Entity 的概念 没有 ECS 各种跳跃式的分工程开发模式,回到了常规的 Unity 开发 如何安装? Clone 本项目,将文件夹 ET Network Module 放置到自己的工程 如果之前有脚本调用 OuterMessage.cs 将该脚本所在文件夹改名,加上一个波浪号(方便网络模块完成编译) 删除 ET Network Module/Generated 文件夹,删除示例消息和消息处理器 与后台约定,将 outermessage.proto 中 ping 消息体置顶 ( 重要 ) 使用 Tools/.pr...
基于SpringBoot与微信小程序的垃圾分类系统设计与实现(附源码、数据库及论文)
12-22
本设计项目聚焦于一款面向城市环保领域的移动应用开发,该应用以微信小程序为载体,结合SpringBoot后端框架与MySQL数据库系统构建。项目成果涵盖完整源代码、数据库结构文档、开题报告、毕业论文及功能演示视频。在信息化进程加速的背景下,传统数据管理模式逐步向数字化、系统化方向演进。本应用旨在通过技术手段提升垃圾分类管理工作的效率,实现对海量环保数据的快速处理与整合,从而优化管理流程,增强事务执行效能。 技术上,前端界面采用VUE框架配合layui样式库进行构建,小程序端基于uni-app框架实现跨平台兼容;后端服务选用Java语言下的SpringBoot框架搭建,数据存储则依托关系型数据库MySQL。系统为管理员提供了包括用户管理、内容分类(如环保视频、知识、新闻、垃圾信息等)、论坛维护、试题与测试管理、轮播图配置等在内的综合管理功能。普通用户可通过微信小程序完成注册登录,浏览各类环保资讯、查询垃圾归类信息,并参与在线知识问答活动。 在设计与实现层面,该应用注重界面简洁性与操作逻辑的一致性,在满足基础功能需求的同时,也考虑了数据安全性与系统稳定性的解决方案。通过模块化设计与规范化数据处理,系统不仅提升了管理工作的整体效率,也推动了信息管理的结构化与自动化水平。整体而言,本项目体现了现代软件开发技术在环保领域的实际应用,为垃圾分类的推广与管理提供了可行的技术支撑。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
创新独家基于GA-HIDMSPSO优化K近邻(KNN)分类预测(GA-HIDMSPSO-KNN)研究(Matlab代码实现)
12-22
【创新独家】基于GA-HIDMSPSO优化K近邻(KNN)分类预测(GA-HIDMSPSO-KNN)研究(Matlab代码实现)内容概要:本文介绍了基于遗传算法辅助异构改进的动态多群粒子群优化算法(GA-HIDMSPSO)优化K近邻(KNN)分类预测模型的研究,重点在于通过GA-HIDMSPSO算法对KNN的关键参数进行智能寻优,以提升分类精度与模型性能。研究提供了完整的Matlab代码实现,涵盖了算法设计、参数优化、分类预测流程及实验验证,适用于模式识别、机器学习等领域的分类任务。该方法结合了遗传算法的全局搜索能力与改进粒子群算法的局部精细化搜索优势,有效克服传统KNN中参数选择依赖经验的问题。; 适合人群:具备一定机器学习与优化算法基础,从事科研或工程应用的研究生、科研人员及算法工程师,尤其适合关注智能优化与分类模型结合的研究者; 使用场景及目标:①用于提升KNN分类器在复杂数据集上的预测准确率;②为智能优化算法在机器学习参数调优中的应用提供实践案例;③支持科研复现、算法改进与学术论文撰写; 阅读建议:建议读者结合Matlab代码逐模块理解算法实现流程,重点关注GA-HIDMSPSO的优化机制与KNN参数调优的耦合设计,可通过更换数据集进行实验验证与性能对比,进一步掌握算法的泛化能力与调参技巧。
【汽车电子架构】基于敏捷开发的迭代式软件设计:面向智能网联汽车的高效开发流程与跨领域实践
12-22
内容概要:本文系统介绍了敏捷开发在汽车电子架构设计中的应用背景、核心理念及其相较于传统瀑布式开发的优势。文章从传统开发流程存在的问题切入,阐述了敏捷开发兴起的原因,并深入解析《敏捷软件开发宣言》提出的四大价值观:个体和互动高于流程和工具、工作的软件高于详尽的文档、客户合作高于合同谈判、响应变化高于遵循计划。重点强调敏捷开发以迭代为核心实践方式,通过小步快跑、持续交付可运行软件、频繁获取反馈来应对需求变化,提升开发效率与客户价值。同时展示了敏捷开发在互联网和汽车行业的广泛应用,如苹果、谷歌、博世、奔驰等企业的成功实践,证明其在智能化转型中的普适性和有效性。; 适合人群:从事汽车电子、嵌入式系统开发的工程师,以及对敏捷开发感兴趣的项目经理、产品经理和技术管理者;具备一定软件开发背景,希望提升开发效率和团队协作能力的专业人士。; 使用场景及目标:①理解敏捷开发相对于传统瀑布模型的核心优势;②掌握敏捷开发四大价值观的内涵及其在实际项目中的体现;③借鉴行业领先企业的敏捷转型经验,推动团队或组织的敏捷实践;④应用于智能汽车、车联网等快速迭代系统的开发流程优化。; 阅读建议:此资源侧重理念与实践结合,建议读者结合自身开发流程进行对照反思,在团队中推动敏捷思想的落地,注重沟通协作机制建设,并从小范围试点开始逐步实施迭代开发。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值