iptables防火墙

已于 2024-02-01 17:06:17 修改
阅读量366 收藏 5
点赞数 3
文章标签: 网络 服务器 运维
于 2024-02-01 14:40:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Mr_Black0_0/article/details/135972282
版权
本文详细解释了iptables的各个表(如filter、nat等)、链(如INPUT、OUTPUT、FORWARD等)以及管理选项、匹配条件和动作。通过实例介绍了如何创建、修改和应用规则来控制网络数据包的进出。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

iptables  [-t 表名]  管理选项  [链名]  [匹配条件]  [-j 控制类型]

1. 表:

  • filter:过滤规则表,根据预定义的规则过滤符合条件的数据包,默认表

  • nat:network address translation 地址转换规则表

  • mangle:修改数据标记位规则表

  • raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度

  • security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现

2. 链:

  • INPUT: 处理入站数据包,匹配目标IP为本机的数据包。

  • OUTPUT: 处理出站数据包,一般不在此链上做配置。

  • FORWARD: 处理转发数据包,匹配流经本机的数据包。

  • PREROUTING链: 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。

  • POSTROUTING链: 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

3. 规则:

  • 规则定义了如何处理特定的数据包。
  • 每个规则都包含匹配条件和对匹配数据包的动作。

4.管理选项

Command 描述示例命令
-AAppend - 在指定链的末尾添加规则iptables -A INPUT -p tcp --dport 22 -j ACCEPT
-DDelete - 删除指定链上的规则iptables -D INPUT -s 192.168.1.2 -j DROP
-IInsert - 在指定链的指定位置插入规则iptables -I INPUT 3 -p udp --dport 53 -j ACCEPT
-PPolicy - 设置指定链的默认策略iptables -P INPUT DROP
-FFlush - 清空指定链上的所有规则iptables -F INPUT
-LList - 列出指定链上的所有规则iptables -L INPUT
-NNew Chain - 创建一个新的用户自定义链iptables -N MYCHAIN
-XDelete Chain - 删除指定的用户自定义链iptables -X MYCHAIN
-ZZero Counters - 将指定链上的计数器归零iptables -Z INPUT
-tTable - 指定要操作的表,如 filter、nat、mangle 等iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

5.匹配条件

Parameter 说明示例命令
-s, --source指定源 IP 地址iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
-d, --destination指定目标 IP 地址iptables -A OUTPUT -d 8.8.8.8 -j ACCEPT
-p, --protocol指定协议(如 tcp、udp、icmp)iptables -A INPUT -p tcp --dport 80 -j ACCEPT
--sport指定源端口iptables -A OUTPUT --sport 1024:65535 -j ACCEPT
--dport指定目标端口iptables -A INPUT --dport 22 -j ACCEPT
-i, --in-interface指定输入接口iptables -A INPUT -i eth0 -j ACCEPT
-o, --out-interface指定输出接口iptables -A OUTPUT -o eth0 -j ACCEPT
--state指定连接状态iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-j, --jump指定要采取的动作(ACCEPT、DROP、REJECT 等)iptables -A INPUT -j DROP
-m, --match加载扩展模块iptables -A INPUT -m comment --comment "Allow SSH"

6. 动作:

ACCEPT允许通过iptables -A INPUT -p tcp --dport 22 -j ACCEPT
DROP丢弃(拒绝)数据包iptables -A INPUT -p tcp --dport 80 -j DROP
REJECT拒绝数据包,并给发送者一个拒绝的响应iptables -A INPUT -p udp --dport 53 -j REJECT
LOG记录数据包到系统日志iptables -A INPUT -p tcp --dport 22 -j LOG --log-level 4 --log-prefix "SSH traffic: "
RETURN结束当前链的处理,返回到上一级链iptables -A INPUT -p icmp -j RETURN

7. 基本用法:

  • 查看规则:sudo iptables -L
  • 清空规则:sudo iptables -F
  • 允许特定 IP 地址:sudo iptables -A INPUT -s <IP 地址> -j ACCEPT
  • 拒绝特定端口:sudo iptables -A INPUT -p tcp --dport <端口号> -j DROP

Mr_Black0_0
关注
Linux—iptables防火墙
A6985HG的博客
07-30 2170
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux的防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
iptables 防火墙
Jin_0612_的博客
08-12 1215
iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则,iptables采用了表和链的分层结构所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
iptables防火墙规则
XMYX-0
12-29 1904
iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。用于过滤数据包,决定是否允许或拒绝数据包通过。用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。用于修改数据包的特定字段,如 TTL(生存时间)。用于配置连接跟踪表规则。
linux iptables 防火墙管理
lihui12356的博客
09-11 1143
硬件防火墙 ---------功能强大、性能好、但是成本高软件防火墙 ---------系统防火墙 iptables、firewalld、ufw(ubantu)iptables防火墙 是Linux系统防火墙的一种 Centos7以前版本系统的默认防火墙
iptables防火墙总结
热门推荐
weixin_45190065的博客
08-31 1万+
最全iptables防火墙总结
系统安全之iptables防火墙
EsDeath_99的博客
06-17 1173
Linux系统的防火墙:IP信息包过滤系统,由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包,体现在对IP数据包内的IP地址、端口、协议等信息的处理上。
Linux - iptables防火墙
2401_85983616的博客
09-12 1418
iptables防火墙是Linux系统防火墙的一种,实际上由两个组件netfilter和iptables组成。netfilters与iptables的关系:netfilter:属于“内核态”的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables文件下。
iptables防火墙详解
2401_87322981的博客
12-07 1157
检查iptables状态在开始配置iptables之前,首先要确保iptables服务是否已启动并检查当前的规则。查看iptables服务状态此命令会显示iptables服务是否正在运行。查看当前iptables规则此命令列出当前生效的iptables规则。若未安装iptables或无配置规则,可能不会显示任何内容。安装iptables如果服务器上未安装iptables,可以使用以下步骤进行安装。下载iptables安装包:通过wget命令下载所需的安装包。安装iptables
iptables 防火墙配置
来日可期的博客
09-15 4837
iptables :包过滤防火墙,是内核防火墙netfilter的管理工具。它可以让系统管理员根据自己的需求定义网络流量的过滤规则,以保护服务器网络免受潜在的安全威胁。
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
美团后端开发一面
weixin_54385104的博客
05-06 596
内存中;单线程多路复用;数据结构优秀,举了sds和跳表例子;
端口安全讲解
rzy41880的博客
05-07 579
‌MAC地址绑定机制‌端口安全通过记录连接到交换机端口的设备MAC地址,仅允许已授权的MAC地址通信。未绑定的设备接入时,系统会根据预设策略阻断或告警。‌安全MAC类型‌‌静态绑定‌:管理员手动配置允许的MAC地址列表;‌动态绑定‌:交换机自动学习首个接入设备的MAC地址并锁定;‌Sticky MAC‌:动态绑定基础上支持断电后保留绑定关系。类型定义特点安全动态MAC地址仅开启端口安全转换的MAC地址。设备重启后表项会丢失,需要重新学习。
wireshark抓包也能被篡改?
ailx10
05-03 459
本身并不能修改数据包,但是tcprewrite 可以修改数据包,然后通过tcpreplay 进行重放,这个时候wireshark抓的包,就是被篡改后的了。ailx10网络安全优秀回答者互联网行业 安全攻防员去咨询步骤一:安装 libpcap-dev步骤二:下载源代码,并编译安装步骤三:准备pcap包,以访问知乎的pcap包为例,记住篡改前的信息步骤四:跟着ailx10,开干修改pcap包的源IP地址,从192.168.0.108改成1.1.1.1。
网络安全的原理和基本知识点
mrzyun0811的博客
05-05 326
Python在网络安全防护中具有广泛的应用,通过利用丰富的库和模块,可以实现网络扫描、漏洞检测、渗透测试、恶意软件分析、防火墙规则管理、Web安全防护、安全日志分析和加密通信等功能,帮助提升网络系统的安全性和抵御潜在威胁的能力。网络安全:保护网络系统和数据免受攻击、损坏或未经授权的访问,确保其机密性、完整性和可用性。使用Python解析和分析系统日志、网络流量日志,检测异常活动,及时发现潜在的安全威胁。使用nmap库进行端口扫描和主机发现,识别网络中的开放端口和服务,发现潜在漏洞。
2025-05-07 Unity 网络基础8——UDP同步&异步通信
最新发布
zheliku的博客
05-07 588
创建套接字 Socket。用Bind()方法将套接字与本地地址进行绑定。用和SendTo()方法在套接字上收发消息。用Shutdown()方法释放连接。关闭套接字。
【JavaEE】网络原理之初识(1.0)
mr_yuanshen的博客
04-30 1067
IP地址用于标识主机网络地址。
OSCP - Proving Grounds - NoName
柴郡猫^O^
05-06 249
稍微尝试了一下,发现可能有一些保护或者限制,所以我们采用另一种办法,利用base64编码/解码的方式绕过(ncat是我下载的一个已经编译好的文件,便于在nc没有安装的情况下创建reverse shell)经过试验,haclabs.jpeg包含隐写过的内容,密码是harder,而内容是经过base64编码的superadmin.php,所以我们尝试访问一下。查看一下页面源码,在底端发现了一个passphrase,也许是隐写过的图片的密码,于是我们把图片都下载下来。发现了admin目录。打开就发现了很多图片。
iptables防火墙配置与规则管理详解
iptables防火墙是Linux系统中一个强大的网络包过滤工具,其主要功能包括网络安全保护和网络流量隔离。它通过配置规则来控制进出系统的网络数据包,确保系统的安全性。本文档将详细介绍iptables的安装与配置过程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值