详解为何iptables规则中端口和网络协议类型必须同时出现

最新推荐文章于 2024-06-21 11:24:56 发布
原创 最新推荐文章于 2024-06-21 11:24:56 发布 · 2.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了在iptables规则中同时使用协议类型(-p)和端口号(-dport/sport)的原因,通过解释网络OSI模型中传输层和网络层的作用,以及数据包处理过程,帮助读者理解这些参数的重要性。
一般在增加一条iptables规则的时候我们都会使用如下的形式:
iptables -A INPUT -s 10.72.11.12 -p tcp --sport 1234 -d 10.72.137.159 --dport 80 -j DROP
而-p和-sport/dport必须同时使用,这是为什么呢?
查询相关资料后,我总结如下:
根据网络OSI参考模型,协议类型和端口号同属于传输层。而传输层的下层是网络层,使用IP进行通讯。
可以说端口是传输层的地址,IP是网络层的地址
我们平时在使用网络的时候都会同时使用多个应用,这时IP所属的网络层再将收到的数据包向上层(传输层)提交的时候,就需要根据IP数据包头部的协议类型字段决定应该将包交给哪个协议处理;而接收到数据包的协议又会根据数据包中的端口决定将数据提交给端口所属的应该程序来处理数据。
我们使用TCP/IP协议来进行数据传输的过程中,需要根据以下五项来决定是否是同一个应用程序的数据包:
来源IP,目的IP,协议类型,来源端口,目的端口
如果这五项内容一致,就说明IP收致分组数据是同一个应用请求的数据。否则数据就是其他应用请求的。
所以,我们在添加iptables规则的时候,才会同时使用协议类型(-p)和端口号(-dport/sport)。只有这样添加的规则,iptables才会知道,我们要对哪个应用程序的通讯进行放行或者禁行的操作。

更多Linux方面的资料请访问:http://www.aminglinux.com/bbs/?fromuid=4297
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables)
qq_51577576的博客
04-10 521
[ 常用工具篇 ] CentOS 上的防火墙操作详解(firewalld/iptables) 在CentOS系统中,防火墙是保护系统安全的第一道防线。掌握防火墙的配置是每个Linux系统管理员必备的技能。CentOS提供了两种主要的防火墙解决方案:传统的iptables较新的firewalld。本文将全面介绍这两种防火墙工具,包括它们的对比、基本概念、常用操作实际配置示例。
iptables-TCP协议UDP协议
m0_57633272的博客
05-04 2561
文章目录 1.iptables 2.传输层 1.iptables iptables 是一个防火墙工具 Linux内核中有一个用户空间(user space)内核空间(kernel space),iptables工作在用户空间,在内核空间中相对应的是netfilter,iptables给netfilter传递参数,之后netfilter会对传输进来的数据进行过滤,然后通知应用程序取数据 ...
iptables全面详解(图文并茂含命令指南)
程序人生
08-04 5万+
iptables原理详解及操作指南
iptables防火墙
elsery
02-29 1044
需要开80端口,指定IP局域网 下面三行的意思: 先关闭所有的80端口 开启ip段192.168.1.0/24端的80口 开启ip段211.123.16.123/24端ip段的80口 # iptables -I INPUT -p tcp –dport 80 -j DROP # iptables -I INPUT -s 192.168.1.0/24 -p tcp –dport 80 -
iptables(4)规则匹配条件(源、目、协议、接口、端口)
最新发布
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1798
上篇文章中我们介绍的规则是匹配源地址,通过-s参数指定源地址,那我们从源地址开始逐步介绍。图中我指定的源地址是单个IP地址一次指定多个源IP地址通过“,”隔开多个地址,可以一次性指定多个源地址,但是指定了多个不连续的源地址后,在iptables列表中会列出多行显示。注意逗号两侧都没有空格,多个IP之间通过逗号隔开一次性指定一个网段直接使用网段信息,来设置源地址段,那么该条规则就会匹配源地址是这个网段来的所有数据反向匹配(条件取反)!
Iptables常用配置常用协议端口
weixin_34293141的博客
03-20 575
由于在服务器部署时,为了方便部署,把本机的iptables都关上了,然后还手欠的保存了设置,再想找回来是不可能了,那就重新设置一些适合我的防火墙策略吧!如果你使用远程连接到你的服务器,那么ssh端口是不可少的,不要把自己关在外面!ssh默认端口号是22,可以通过/etc/sshd/sshd.conf来修改iptables -I INPUT -p tcp --dport 22 ...
精选资源
详解Linux iptables 命令
01-20
iptables 是 Linux 管理员用来设置 IPv4 数据包过滤条件 NAT 的命令行工具。iptables 工具运行在用户态,主要是设置各种规则。而 netfilter 则运行在内核态,执行那些设置好的规则。 查看 iptables 的链规则 ...
精选资源
详解Android 利用Iptables实现网络黑白名单(防火墙)
01-05
为了使读此简笔的人对Iptables有一个简单的了解,此处强行百度了一波概念,如果想深入的了解Iptables的各种配置规则内核对其的管理运行机制请自行www.baidu.com,这些并不是本简笔的目的所在。 闲言少叙,开始正文...
详解iptables网络规则与策略配置
本文将详细介绍iptables 的工作原理、主要链路(PREROUTING, INPUT, FORWARD, POSTROUTING)以及它们在防火墙策略中的作用,同时涵盖了基本的命令行操作规则管理。 1. **iptables 基础结构** - iptables 的工作...
iptables基础知识详解
热门推荐
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -> Tables -&g...
iptables详解
海边顽石的专栏
03-10 1万+
iptables简介        netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向网络地址转换(NAT)等功能。   iptables基础        规则(rules)其实就是网络管理员预定义的条件,规则一般的定义
Iptables 指南 1.1.19
leopard_ray的专栏
05-23 2346
Iptables 指南 1.1.19Oskar Andreasson     oan@frozentux.net     Copyright © 2001-2003 by Oskar Andreasson本文在符合 GNU Free Documentation 许可版本1.1的条件下,可以拷贝、分发、更改,但必须保留绪言 所有的章节,如印刷成书,封
iptables详解(图文)
Linux的成长历程
11-13 7万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
iptables开放22、80端口,以及允许本机访问本机所有端口协议
weixin_34174132的博客
06-13 1193
为什么80%的码农都做不了架构师?>>> ...
iptables命令
m0_57730097的博客
12-06 1624
#### 选项 iptables -h 获取帮助 iptables -V 显示版本信息 iptables -L 列出链详细信息,可指定链 iptables -vL 显示更详细链信息 iptables -vnL 显示更详细链信息,并以数字化显示 iptables -vnL --line-number 列出信息时,显示规则序号 iptables -F 清除所有规则,不包括默认规则,可指定链 iptables -D 链名 规则序号 删除指定规则 iptables -I...
Linux笔记-iptables开放指定端口,开放ICMP协议,其他端口禁止访问
IT1995的博客
03-27 1万+
下面实现3个规则: ①对所有的地址开放本机的tcp(80、22、10~21)端口的访问。 ②运行对所有地址开放本机的基于ICMP协议的数据包访问。 ③其他未允许的端口则禁止访问。 #查看本机开放的端口 netstat -luntp [root@bogon ~]# netstat -luntp Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值