48-iptables实战

原创 已于 2025-09-07 08:52:10 修改 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #linux

于 2025-08-30 20:50:20 首次发布

文章目录

防火墙
  • 硬件:整个企业入口
    • 三层路由:H3C 华为 Cisco
  • 软件:开源软件 网站内部 封ip
    • iptables 写入到Linux内核中 以后服务docker
    • firewall C7
  • 云防火墙
    • 阿里云:安全组
必须熟悉的名词
  • 容器:瓶子 存放东西
  • 表(table):存放链的容器
  • 链(chain):存放规则的容器
  • 规则(policy):准许或拒绝规则
iptables 执行过程

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

  • 三种流量:
    • 找我的流量 —PREROUTING链
    • 我发出去的流量 —POSTROUTING
    • 途经我的流量 —FORWARD
      在这里插入图片描述
      在这里插入图片描述
表与链(面试题)
#- iptables 是四表五链
#- 4表:
	filter表 
	nat表 
	raw表
    mangle表
#- 五链:
	INPUT
	OUTPUT
	FORWARD
	PREROUTING
	POSTROUTING
每个表的说明
  • filter表
    • 防火墙:屏蔽或者准许 端口 ip
filter表 强调:主要和主机自身相关,真正负责主机防火墙功能的(过滤流入流出主机的数据包)filter表表示iptables默认使用的表。这个表定义了三个链。企业工作场景:主机防火墙
input 负责过滤所有目标地址是本机地址的数据包。通俗来说:就是过滤进入主机的数据包
FORWARD 负责转发流经主机的数据包。起转发作用,和NAT关系很大,net.ipv4.ip_forward=0
OUTPUT 处理所有源地址是本地地址的数据包,通俗来讲:就是处理从主机发出去的数据包
  • nat 表
  • 实现NAT功能
    • 实现共享上网(内网服务器上外网)
    • 端口映射和ip映射
nat表 负责网络地址转换的,即来源与目的的IP地址和port的转换。应用:和主机本身无关,一般用于局域网共享上网或者特殊端口的转换服务相关。工作场景:1.用于企业路由(zebra)或者网关(iptables), 共享上网(POSTROUTING)。2.做内部外部IP地址一对一映射(dmz),硬件防火墙映射IP到内部服务器,ftp服务(PREROUTING)。3.WEB 单个端口映射,直接映射80端口(PREROUTING),这个表定义了3个链,nat功能相当于网络的acl控制。和网络交换机acl类似
OUTPUT 和主机放出去的数据包有关,改变主机发出数据包的目的地址。
PREROUTING 在数据包到达防火墙时,进行路由判断之前执行的规则,作用是改变数据包的目的地址、目的端口等
就是收信时,根据规则重写收件人的地址。
例如:把公网xx.xx.xx.xx映射到局域网的yy.yy.yy.yy服务器上
如果是web服务,可以把80端口转换为局域网的服务器9000端口上
10.0.0.61 8080(目的端口)—nat— 10.0.0.7 22
POSTROUTING 在数据包离开防火墙时进行路由判断之后的规则,作用改变数据包源地址、源端口等
写好发件人的地址,要让家人回信时能够有地址可回。
例如:默认笔记本和虚拟机都是局域网地址,在出网的时候被路由器将源地址改为公网地址。
企业应用:局域网共享上网
环境准备及命令
iptables iptables启动或关闭的命令

m01     10.0.0.61   172.16.1.61
web01   10.0.0.7    172.16.1.7

[root@m01 ~]#systemctl stop firewalld
[root@m01 ~]#systemctl disable firewalld
[root@m01 ~]#uname -r				#查看系统版本
3.10.0-1160.el7.x86_64
[root@m01 ~]#yum install -y  iptables-services		#安装iptables

[root@m01 ~]#rpm -ql iptables  #查看配置文件

#防火墙相关模块 加载到内核中(临时的)
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state 


#将防火墙模块加载到内核中(永久) 
cat >>/etc/rc.local<<EOF
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state  
EOF

#查看是否可以使用iptables功能
[root@m01 ~]#lsmod |egrep 'filter|nat|ipt'
nf_nat_ftp             12809  0 
nf_conntrack_ftp       18478  1 nf_nat_ftp
iptable_nat            12875  0 
nf_nat_ipv4            14115  1 iptable_nat
nf_nat                 26583  2 nf_nat_ftp,nf_nat_ipv4
nf_conntrack          139264  6 nf_nat_ftp,nf_nat,xt_state,nf_nat_ipv4,nf_conntrack_ftp,nf_conntrack_ipv4
iptable_filter         12810  0 
ip_tables              27126  2 iptable_filter,iptable_nat
libcrc32c              12644  3 xfs,nf_nat,nf_conntrack


#启动iptables并加入开机自启
[root@m01 ~]#systemctl start iptables
[root@m01 ~]#systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.
iptables命令

iptables -t filter -I/A INPUT -p tcp --dport 22 -j DROP

固定iptables 哪个表 插入/追加 INPUT链 协议 目的端口 -j 拒绝掉

[root@m01 ~]#iptables -nL			#查看默认的规则
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all
最低0.47元/天 解锁文章
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 5266
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
iptables最常用的规则示例
angou6476的博客
01-24 384
iptablesv1.4.21 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义...
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
2-iptables mangle 规则
Creator_Ly的博客
05-05 3710
QOS的整个流程是:根据各种条件,如IP地址,数据包大小,上行,下行,这个信息在iptables里面都可以捕获到。然在iptables根据这些规则设置对应的mark,设置完mark,tc规则规则里面根据不同的mark执行不同的内容,如队列分配,限制带宽,流量分配算法。 0 数据流向 -i 指定数据包进入 PREROUTING、INPUT、FORWARD链时经由的接口。 -o 指定数据包出去 ...
25iptables常用示例
wuyy0224的博客
06-26 1403
本文将给出25iptables常用规则示例,这些例子为您提供了些基本的模板,您可以根据特定需求对其进行修改调整以达到期望。格式iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]参数-P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num 删除某一条规则 -s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。 -d 匹配目标
LinuxIptables 详解与实战案例
康师傅没有眼泪
07-03 4636
​ netfilter/iptables(简称为iptables)组成 Linux 平台下的网络数据包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。...
Linux--iptables实战
tudoujun123的博客
12-28 1372
什么是包过滤防火墙? 就是过滤数据包的防火墙 什么是包? 在数据传输过程中,并不是一次传输完成的,而是将数据分成若干个包,一点一点的传输的 1.iptables链的四表五链 四表:具备某种功能的集合叫做表。 filter:负责做过滤功能(input output forward) nat:网络地址转换(prerouting input output postrouting) mangle:负责修改数据包内容(prerouting input output postouting forward
linux系统--iptables实战案例
weixin_60047971的博客
06-04 947
root@pc2 yum.repos.d]# mkdir backup [root@pc2 yum.repos.d]# mv Rocky-* backup/ [root@pc2 yum.repos.d]# ls backup local.repo [root@pc2 yum.repos.d]# yum clean all 0 个文件已删除 [root@pc2 yum.repos.d]# yum makecache。配置网关route add -net 0/0 gw 网关/
蓝易云 - iptables实战总结
高性价比服务器就选:蓝易云
12-03 577
需要注意的是,iptables配置可能相当复杂,且错误的设置可能导致网络故障或安全漏洞。在配置iptables之前,建议先备份并了解相关文档和最佳实践,以确保正确且安全地配置防火墙规则。以上是关于iptables实战的一些总结。希望这些信息能够帮助你了解和使用iptables来保护和管理你的Linux系统网络流量。如需更详细的信息,请参考相关的文档和资源。iptables是一个强大的Linux防火墙工具,用于配置和管理网络数据包过滤规则。
iptables实战命令详解
shugyin的专栏
10-25 2296
iptables实战命令详解
iptables 实战】02 iptables常用命令
程序员笔记
10-02 923
既将INPUT链的默认策略设置为了ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了”iptables -F”操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是ACCEPT。注意DROP规则是用的A,append,即在ACCEPT之后,添加一条规则。假设,我想要放行ssh远程连接相关的报文,也想要放行web服务相关的报文,那么,我们在INPUT链中添加如下规则。
iptable中文学习文档
HexBug
09-12 1858
iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rule num[option]删除指定规则iptables -[LFZ] [chain][option]用iptables
yum安装redis
最新发布
2509_94010562的博客
11-25 225
如果你没有配置密码,那这个时候你可以使用了,如果配置了密码,还需要授权密码才能使用。如果没有你所需要的版本,那建议你用二进制压缩包方式安装redis。输入info可查看redis信息。
docker部署mqtt之Mosquitto
阿拉斯攀登
11-24 782
本文详细介绍了在CentOS7.9系统上通过Docker部署MQTT服务的完整流程。主要内容包括:使用Eclipse Mosquitto镜像创建容器,配置持久化存储和端口映射;设置MQTT基础配置,支持匿名访问或密码认证;可选SSL加密配置步骤;以及使用MQTTX工具或命令行进行服务测试的方法。文章还提供了容器管理命令、常见问题排查方案,特别强调了生产环境中启用密码认证和SSL加密的重要性。该方案具有轻量、易维护的特点,适合物联网等需要MQTT通信的场景。
Nginx配置详解与虚拟主机实战指南
dfl2504的博客
11-24 322
Nginx的配置核心在于理解主配置文件的三层结构(全局块、events块、http块),而虚拟主机则是通过server块实现多网站隔离部署的关键技术。实际应用中,基于域名的虚拟主机因灵活性高成为主流选择,配合静态资源缓存、错误页面定制等配置,可大幅提升网站性能与用户体验。建议大家在实践中逐步优化配置,如针对高并发场景调整和,针对静态资源配置CDN或浏览器缓存,针对动态服务配置反向代理与负载均衡。后续将继续分享Nginx反向代理、负载均衡等高级配置技巧,敬请关注!
从零开始搭建个人博客:基于Hexo + GitHub Pages的完整指南
SZHYN的博客
11-25 320
本文详细介绍了如何利用Hexo静态网站生成器和GitHub Pages免费托管服务搭建个人博客。从环境准备(安装Node.js和Git)、Hexo项目初始化、主题选择与定制,到最终部署到GitHub Pages,提供了完整的操作指南。文章还涵盖了进阶功能如自定义域名、添加评论系统和SEO优化,并针对常见问题给出解决方案。这种技术方案具有免费、高效、安全等优势,特别适合技术分享和个人作品展示。通过本文,读者可以快速搭建一个功能完善、可定制的个人博客平台。
K8S 日志收集方案
叱咤少帅的博客
11-24 37
Fluent Bit DaemonSet → Loki → Grafana
告别盲控与延迟:用电设备控制与状态的实时闭环方案
almsound的博客
11-25 429
针对用电设备管理中的实时交互难题,本文提出了一套创新解决方案。
25iptables网络命令实战示例
iptablesLinux系统中一个强大的包过滤防火墙工具,它允许用户对进出系统的网络数据包进行细致的规则配置。本文提供了25iptables的常用示例,旨在帮助读者理解和掌握如何在实际网络环境中应用这些命令,从而精通...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

atomLg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值