iptables防火墙

最新推荐文章于 2025-07-28 15:58:45 发布
原创 最新推荐文章于 2025-07-28 15:58:45 发布 · 144 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

目录

Linux防火墙

iptables的表、链结构

规则表
表的作用:容纳各种规则链
表的划分一句:防火墙规则作用相似
默认包括4个规则表
raw表:确定是否对该数据包进行状态跟踪
mangele表:为数据包设置标记
nat表:修改数据包中的源、目标IP地址或端口
filter表:确定是否放行该数据包(过滤)
规则链
规则的作用:对数据包进行过滤或处理
链的作用:容纳各种防火墙规则
链的分类依据:处理数据包的不同时机
默认包括5种规则链
INPUT:处理入栈数据包
OUTPUT:处理出站数据包
FORWARD:处理转发数据包
POSTEOUTING链:进行路由选择后出理数据包
PREROUTING链:在进行路由选择前处理数据包

数据包控制的匹配流程

规则表之间的顺序

raw ----> mangle ----> nat ----> filter

规则链之间的顺序

入站:PREROUTING ---->> INPUT
出站:OUTPUT —>> POSTROUTING
转发:PREROUTING —>> FORWARD---->> POSTROUTING

规则链内的匹配顺序

按顺序依次检查,匹配即停止(LOG策略例外)
若找不到相匹配的规则,则按该链的默认策略处理

编辑防火墙规则

语法

iptables -t 表名  选项  链名  条件  -j  控制类型
iptables -t filter -I INPUT -p icmp -j REJECT

控制类型
ACCEPT:允许通过
DROP:直接丢弃,不给任何回应
REJECT:拒绝通过,必要时会给提示
LOG:记录日志信息,然后传给下条规则继续匹配
** 管理选项**
添加新规则:
-A 在链末尾追加规则
-I 在链的开头插入规则
或者:-2 在第二条插入
-3 在第三条
查看规则列表
-L 列出所有规则列表
-n 以数字形式显示地址,端口等信息
-v 详细信息显示规则
–line-numbers 显示规则序号
示例: iptables -L
iptables -n
** 删除,清空规则**
-D 删除链内指定序号或内容的一条规则
-F 清空所有规则
例如: iptables -D OUTPUT 5
iptables -F 清空的是默认的表,也就是filter表
iptables -t nat -F 清空nat表

设置默认策略
-P
** 匹配规则条件**
-p 协议名
-s 源地址
-d 目标地址
-i 入站网卡
-o 出站网卡
** 隐含匹配条件**
端口匹配: --sport源端口 --dport目标
icmp类型匹配:–icmp-type
示例:iptables -A INPUT -s 192.168.10.10 -p udp --dport 53 -j DROP
iptables -A INPUT -p tcp --dport 20:21 -j DROP
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
** 多个端口匹配条件**
多端口匹配:-m multiport --sports 源端口列表
-m multiport --dports 目标
ip范围匹配:-m iprange --src-range ip范围
mac地址匹配:-m mac --mac-source MAC地址
状态匹配:-m state --state 连接状态

示例

查看规则表

[root@localhost ~]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@localhost ~]#

禁止ping别人主机

[root@localhost ~]# iptables -A OUTPUT -p icmp -m iprange --dst-range 192.168.30.1-192.168.30.254 -j DROP


[root@localhost ~]# ping 192.168.30.254
PING 192.168.30.254 (192.168.30.254) 56(84) bytes of data.
ping: sendmsg: 不允许的操作
ping: sendmsg: 不允许的操作
^C
--- 192.168.30.254 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1001ms

[root@localhost ~]# ping 192.168.30.2
PING 192.168.30.2 (192.168.30.2) 56(84) bytes of data.
ping: sendmsg: 不允许的操作
^C
--- 192.168.30.2 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

[root@localhost ~]#
DH23
关注
iptables防火墙详解
Linux运维老纪的博客
07-28 1132
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
iptables 防火墙
2501_91344566的博客
04-17 1329
在 Linux 系统中,iptables 作为一款强大的防火墙工具,因其高度的灵活性和强大的功能,被广泛用于保护服务器免受未经授权的访问和恶意攻击。iptables 不仅能够在网络层对 TCP/IP 数据包进行精细的过滤和限制,还能够通过其复杂的规则系统实现多种网络策略。
linux iptables 防火墙管理
lihui12356的博客
09-11 1325
硬件防火墙 ---------功能强大、性能好、但是成本高软件防火墙 ---------系统防火墙 iptables、firewalld、ufw(ubantu)iptables防火墙 是Linux系统防火墙的一种 Centos7以前版本系统的默认防火墙
iptables防火墙规则
XMYX-0
12-29 2090
iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。用于过滤数据包,决定是否允许或拒绝数据包通过。用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。用于修改数据包的特定字段,如 TTL(生存时间)。用于配置连接跟踪表规则。
Linux—iptables防火墙
A6985HG的博客
07-30 2504
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
iptables 防火墙配置指南
Maomao_op_nger的博客
07-28 1099
iptables配置
系统安全之iptables防火墙
EsDeath_99的博客
06-17 1302
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
iptables防火墙总结
热门推荐
weixin_45190065的博客
08-31 1万+
最全iptables防火墙总结
Linux - iptables防火墙
2401_85983616的博客
09-12 1641
iptables防火墙是Linux系统防火墙的一种,实际上由两个组件netfilter和iptables组成。netfilters与iptables的关系:netfilter:属于“内核态”的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下。
精选资源
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
基于Matlab开发的人脸识别考勤系统_人脸识别考勤系统_人脸扫描分割预处理灰度化尺度归一化特征提取对比人脸库数据_输出姓名性别学号等识别结果_统计每人打卡次数时间_一键导出考勤表.zip
12-22
基于Matlab开发的人脸识别考勤系统_人脸识别考勤系统_人脸扫描分割预处理灰度化尺度归一化特征提取对比人脸库数据_输出姓名性别学号等识别结果_统计每人打卡次数时间_一键导出考勤表.zip
Jill5_KG-RNN_46300_1766321738791.zip
12-22
Jill5_KG-RNN_46300_1766321738791.zip
基于Java的学生选课与成绩管理系统的设计与实现
12-22
本系统旨在构建一套面向高等院校的综合性教务管理平台,涵盖学生、教师及教务处三个核心角色的业务需求。系统设计着重于实现教学流程的规范化与数据处理的自动化,以提升日常教学管理工作的效率与准确性。 在面向学生的功能模块中,系统提供了课程选修服务,学生可依据培养方案选择相应课程,并生成个人专属的课表。成绩查询功能支持学生查阅个人各科目成绩,同时系统可自动计算并展示该课程的全班最高分、平均分、最低分以及学生在班级内的成绩排名。 教师端功能主要围绕课程与成绩管理展开。教师可发起课程设置申请,提交包括课程编码、课程名称、学分学时、课程概述在内的新课程信息,亦可对已开设课程的信息进行更新或撤销。在课程管理方面,教师具备录入所授课程期末考试成绩的权限,并可导出选修该课程的学生名单。 教务处作为管理中枢,拥有课程审批与教学统筹两大核心职能。课程设置审批模块负责处理教师提交的课程申请,管理员可根据教学计划与资源情况进行审核批复。教学安排模块则负责全局管控,包括管理所有学生的选课最终结果、生成包含学号、姓名、课程及成绩的正式成绩单,并能基于选课与成绩数据,统计各门课程的实际选课人数、最高分、最低分、平均分以及成绩合格的学生数量。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
热红外图像温度检测与处理系统_基于MatlabGUI的热红外图像灰度化加噪去噪算法对比温度标定带像素温度提取及可视化软件_用于工业设备故障诊断建筑能耗分析医疗体温筛查电.zip
12-22
热红外图像温度检测与处理系统_基于MatlabGUI的热红外图像灰度化加噪去噪算法对比温度标定带像素温度提取及可视化软件_用于工业设备故障诊断建筑能耗分析医疗体温筛查电.zip
MODWT:基于MATLAB的最大重叠离散小波变换(MODWT)算法的完整实现
最新发布
12-22
最大重叠离散小波变换(MODWT)是传统离散小波变换(DWT)的重要扩展,它通过最大重叠的滑动窗口方式进行多尺度分解,有效克服了DWT的平移敏感性和对数据长度的严格限制。MODWT的核心优势在于其平移不变性和冗余分解特性,能够更精确地捕捉信号的局部特征,同时提供丰富的时频局部化信息。与DWT相比,MODWT对信号长度没有严格要求(无需是2的幂次方),且每个分解层级都包含相同数量的系数,极大方便了多尺度分析与重构。该方法已广泛应用于信号去噪、特征提取、非平稳信号分析等领域,特别适合处理具有复杂时频特性的实时信号。
基于MATLAB实时视频处理与图像分析技术的驾驶员疲劳状态监控预警系统_眼部检测_人脸定位_眼睛状态识别_闭眼频率统计_疲劳驾驶判别_实时监测_报警提示_大巴司机安全驾驶保障_智能.zip
12-22
基于MATLAB实时视频处理与图像分析技术的驾驶员疲劳状态监控预警系统_眼部检测_人脸定位_眼睛状态识别_闭眼频率统计_疲劳驾驶判别_实时监测_报警提示_大巴司机安全驾驶保障_智能.zip
基于APDL的含缺陷管道失效概率计算与可靠性分析程序
12-22
本工作基于ANSYS平台,利用其参数化设计语言APDL开发了两个独立的脚本程序。这些程序的核心功能是执行带缺陷管道的失效概率数值计算。通过调整程序中的输入参数,该计算方法可进一步推广应用于多种工程结构的可靠性评估。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
16kb-check 16kb对齐检测
12-22
检测动态库是否16kb对齐
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值