linux:iptables防火墙

最新推荐文章于 2024-10-06 00:45:00 发布
最新推荐文章于 2024-10-06 00:45:00 发布
阅读量200 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ryougi_Shiki_uio/article/details/117890251
本文深入解析Linux系统中的iptables防火墙,涵盖四表五链的概念、规则匹配流程、基本语法、规则添加与删除,以及对源地址、目标地址、端口和接口的规则设置。掌握这些有助于理解并配置Linux网络策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

iptables概述

防火墙分为两类:硬件防火墙+软件防火墙
iptables防火墙对数据包进行过滤,在linux中,防火墙工作在第三层,针对TCP/IP数据包实施过滤和限制。linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和极高的效率,因此获得广泛的应用。在很多安全技术资料中,netfilter和iptables都用来指linux防火墙,netfilter基于内核态工作,iptables基于用户态工作,由iptables告知netfilter过滤放通什么包,然后netfilter进行过滤。

四表五链

规则表用于容纳各种规则链,表依据防火墙规则的作用而划分。
raw表:确定是否对该数据包进行跟踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标ip地址或端口
filter表:确定是否放通该数据包,也就是对该数据包进行过滤
规则链用于容纳各种防火墙的规则,对数据包进行过滤或处理,链依据处理数据包的不同时机而分类。
INPUT:处理自己是目标地址的数据包
OUTPUT:处理自己是源地址的数据包
FORWARD:处理转发数据包
POSTROUTING:在进行路由选择后处理数据包
PREROUTING:在进行路由选择前处理数据包
raw表含有PREROUTING和OUTPUT链
mangle表含有PREROUTING、POSTROUTING、INPUT、OUTPUT和FORWARD链
nat表含有PREROUTING、POSTROUTING、OUTPUT和INPUT链
filter表含有INPUT、OUTPUT和FORWARD链

数据包过滤的匹配流程

规则表之间由raw、mangle、nat、filter按顺序依次匹配。
规则链的匹配顺序:
入站:PREROUTING→INPUT
出站:OUTPUT→POSTROUTING
转发:PREROUTING→FORWARD→POSTROUTING
规则链内按设定的规则依次检查,匹配到即停止,如果找不到匹配的规则,那么按照该链的默认策略进行处理

iptables格式

iptables基础语法构成

iptables -t 表名 选项 链名 条件 -j 控制类型	其中链名和控制类型必须大写
例如:iptables -t filter -A OUTPUT -p tcp -j DORP	在链的末尾添加一条由tcp出去的数据包丢弃的规则		-p 指定什么协议
控制类型包括ACCEPT(允许通过)DROP(直接丢弃,不回复任何信息)REJECT(拒绝通过,但会回复信息)LOG(记录日志,然后给下一条规则匹配)
注意事项:
不指定表名时,默认指filter表
不指定链名默认指表内所有链

添加新的规则

iptables -t filter -A INPUT -p tcp -j ACCEEPT		-A在最后添加
iptables -t filter -A INPUT ! -p icmp -j DROP		丢去除了icmp外的所有数据包,!表示取反
iptables -t filter -I INPUT 2 -p icmp -j ACCEPT		-I在开头添加,如果指定了规则的序号,则实在该序号的规则前添加,序号在链后写上

iptables的选项

-P:指定链的默认规则 	iptables -P OUTPUT REJECT
-D:删除某个规则,不指定规则的序号就是删除链里的所有规则,删除一条规则后,剩余的规则会向前进一位,所以序号会发生变更 	iptables -t nat -R INPUT
-R:修改替换某个规则 	iptables -t nat -R INPUT
-L:查看所有链的规则	iptalbes -t filter -L
-n:将所有字段以数字形式显示
-v:显示更详细的信息,通常和-n -L一起使用
--line-number:显示规则的编号	iptables -t filter -L -n --line-number
-F:清除所有表的所有规则	iptables -F

对源地址和目标地址进行规则设置

iptables -A INPUT -p icmp -s 192.168.214.214 -j DROP -s source对源地址进行设置
iptables -A INPUT -p icmp --s 192.168.214.0/24 -j DROP 对源网段进行设置
iptables -A OUTPUT -p tcp --d 192.168.245.11 -j DROP 对目标地址进行设置

对端口进行规则设置

iptables -A INPUT -p tcp --dport 80 -s 192.168.214.214 -j DROP		指定端口必须指定是tcp还是udp协议

对网卡的接口进行设置

iptables -t filter -A INPUT -i ens33 -j DROP 	-i表示in,当数据包从该网卡进入时丢弃掉
iptables -t filter -A OUTPUT -o ens33 -j DROP	-o表示out,当数据包从该网卡出去时丢弃掉
-o必须和OUTPUT链一起使用
-i必须和INPUT链一起使用
iptables(10)target(REJECT、LOG)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-25 1364
前面文章介绍iptables的匹配条件,并且已经用到了一些常用动作,比如ACCEPT、DROP、REJECT等。
Linuxiptables防火墙
pangdongqiqi的博客
08-01 1103
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中。Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作。
iptables规则的查看和清除
热门推荐
iteye_5722的博客
11-20 1万+
一 iptables查看基本语法 iptables [-t tables] [-L] [-nv] 选项与参数: -t:后面接table,例如nat或filter,若省略,则使用默认的filter -L:列出目前的table的规则 -n:不进行IP与HOSTNAME的反查,显示信息速度回快很多。 -v:列出更多的信息,包括通过该规则的数据包总位数、相关的网络接口等   二 ipta...
防火墙 iptables
CodeStar`
09-15 935
防火墙的设定主要使用的就是 iptables 这个指令而已。而防火墙是系统管理员的主要任务之一, 且对于系统的影响相当的大,因此『只能让 root 使用 iptables 』,不论是设定还是观察防火墙规则。
iptables防火墙
weixin_55609824的博客
05-25 629
目录一.iptables概述1.1 Linux系统的防火墙1.2 netfilter/iptables关系二.四表五链三.iptables 的使用四.iptables 规则五.规则的匹配 一.iptables概述 1.1 Linux系统的防火墙 IP信息包过滤系统,它实际上由两个组件netfilter和 iptables组成。 主要工作在网络层,针对IP数据包。 体现在对包内的IP地址、端口等信息的处理上。 1.2 netfilter/iptables关系 netfilter 属于"内核态”(Ke
linux 修改防火墙配置
bayonet1999的博客
09-17 1645
1.首先介绍一下指令和相关配置文件 启动指令:service iptables start    重启指令:service iptables restart    关闭指令:service iptables stop       然后是相关配置:/etc/sysconfig/iptables    如何操作该配置呢?    vim /etc/sysconfig/iptable
第十八章:iptables防火墙应用1
08-08
第十八章:iptables防火墙应用一、iptables防火墙基础;二、iptables规则编写;三、实战演练;一、iptables防火墙基础;1.概述:保护内
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用。通过学习本节课程,学生将...
Linuxiptables防火墙
A6985HG的博客
07-30 2263
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
Linuxiptables防火墙基础(规则链,规则表,数据包的匹配流程,编写防火墙的规则)
aaa1414124211的博客
10-26 917
本章目录一、Linux防火墙基础1.1 iptables的表、链结构1.2 数据包控制的匹配流程二、编写防火墙规则2.1 基本语法、控制类型2.2 添加、查看、删除规则2.3 规则的匹配条件 一、Linux防火墙基础 1.1 iptables的表、链结构 ▶规则链 ●规则的作用:对数据包进行过滤或处理 ●链的作用:容纳各种防火墙规则 ●链的分类依据:处理数据包的不同时机 ▶默认包括5种规则链 ●INPUT: 处理入站数据包 ●OUTPUT: 处理出站数
【计算机网络】9、iptables 查看, 添加, 删除规则, 查看服务状态
呆呆的猫的博客
05-30 3089
iptables
iptables 防火墙详解
nullopen的博客
12-01 590
netfilter 防火墙table –> chainiptables 的三个表filter 表 ==>过滤包内建 3 个链 ==> INPUT:作用于进入本机的包 OUTPUT:作用于本机送出去的包 FORWARD:作用于与本机无关的包nat 表 ==> 网络地址转换内建 3 个链 ==> OUTPUT:改变本地产生的包的目的地址 PREROUTING:在包刚刚到达防火墙时改变目的地
如何列出和删除 iptables 防火墙规则
最新发布
rubys007的博客
10-06 6057
Iptables 是大多数 Linux 系统中网络安全中起着至关重要作用的防火墙。虽然许多 iptables 教程会教你如何创建防火墙规则来保护你的服务器,但这篇教程将专注于防火墙管理的另一个方面:列出和删除规则。列出规则清除数据包和字节计数器删除规则清空链(删除链中的所有规则)清空所有链和表,删除所有链,并接受所有流量。
Linux网络服务与shell脚本——Linux防火墙(1)
01-01 424
第十一章 Linux防火墙(1) 一、Linux防火墙基础netfilter:内核状态的防火墙,即linux防火墙功能的内核部分itables:用户态防火墙,相当于控制netfilter的软件 1、表、链结构 (1)规则表 ①filter:对数据包进行过滤 ②nat:用于修改数据包的IP地址及端口信息 ③mangle:修改数...
iptables 删除规则
weixin_30556161的博客
07-14 1047
iptables -nL --line-number显示每条规则链的编号 iptables -D FORWARD 2删除FORWARD链的第2条规则,编号由上一条得知。如果删除的是nat表中的链,记得带上-t nat iptables -D INPUT -j REJECT --reject-with icmp-host-prohibited删除规则的...
Linuxiptables命令
个人学习所用博客,记录日常学习的过程。
10-31 1162
5、在配置IPTABLES白名单时,往往会将链的默认策略设置为ACCEPT,通过在链的最后设置REJECT规则实现白名单机制,而不是将链的默认策略设置为DROP,如果将链的默认策略设置为DROP,当链中的规则被清空时,管理员的请求也将会被DROP掉。iptables:运行在用户空间的应用软件,命令行工具,通过其设置规则,来控制netfilter模块,从而实现网络数据包的管理,从而实现防火墙的配置。在没有顺序要求的情况下,不同类别的规则,被匹配次数多、匹配频率高的规则应放在前面。
iptables详解
wdt3385的专栏
12-25 5242
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
iptables规则的删除-怎么删除一条已有的iptables规则
weixin_34111819的博客
09-08 1284
2019独角兽企业重金招聘Python工程师标准>>> ...
iptablesREJECT 与 DROP 对比
weixin_34209851的博客
12-29 4049
前言 在访问国外网站时,F12 看 console,下面两种错误很常见: (1),Failed to load resource: net::ERR_CONNECTION_REFUSED(2),Failed to load resource: net::ERR_CONNECTION_TIMEOUT 不考虑网络状况的情况下,一般是不同的 i...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值