【LinuxShell】linux防火墙之iptables防火墙

原创 已于 2023-05-22 14:22:34 修改 · 907 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #linux #服务器

于 2023-05-17 17:36:15 首次发布
iptables是Linux系统的防火墙,由netfilter和iptables组成,工作在网络层,用于IP数据包的过滤。它有四表(raw、mangle、nat、filter)和五链(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),不同链处理不同阶段的数据包。文章详细介绍了iptables的规则结构、匹配流程、用法,包括添加、查看、删除规则以及规则的匹配条件,强调了其在网络安全中的重要性。

文章目录

引言:在工作时我们必不可少的需要接触到防火墙,通过本章内容的学习,我们熟悉防火墙的四表五链以及它们的作用,熟悉入站、转发、出站的数据流向,确保数据的正确性和安全性熟悉

一、iptables防火墙

1.iptables防火墙概述

  Linux 系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和 iptables组成。
  主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。

2.netfilter和iptables

  netfilter/iptables:IP信息包过滤系统,实际上由俩个组件netfilter和iptables组成,主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。

netfilter和iptables的关系

  netfilter:属于"内核态”(Kernel space,又称为内核空间)的防火墙功能体系。
是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。

  iptables:属于"用户态”(User space,又称为用户空间)的防火墙管理体系。
是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于 /sbin/iptables文件下。

  netfilter/iptables后期简称为iptables。iptables是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。

二、iptables的表、链结构

1.iptables的四表五链结构介绍

  iptables的作用是为包过滤机制的实现提供规则,通过各种不同的规则,告诉netfilter对来自某些源,前往某些目的或具有某些协议特征的数据包应该如何处理,为了更加方便的组织和管理防火墙规则; iptables采用了表和链的分层结构。

  所以它会对请求的数据包的包头数据进行分析,根据我们预先设定的规则进行匹配来决定是否可以进入主机

  其中,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。

2.四表五链的作用

四表

规则表名 作用 规则链
raw表 确定是否对该数据包进行状态跟踪。 包含两个规则链:OUTPUT、PREROUTING
mangle表 修改数据包内容,用来做流量整形的,给数据包设置标记。 包含五个规则链:INPUTOUVTPOTFORWMARD、``PREROUTINGPOSTROUTNG`。
nat表 负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。 包含三个规则链:OUTPUTPREROUTINGPOSTROUTING
filter表 filter表:负责过滤数据包,确定是否放行该数据包(过滤)。 包含三个规则链:INPUTFORWARDOUTPUT

  在iptables 的四个规则表中,mangle表和 raw表的应用相对较少。

五链

规则链名 作用
INPUT 处理入站数据包,匹配目标IP为本机的数据包。
OUTPUT 处理出站数据包,一般不在此链上做配置。
FORWARD 处理转发数据包,匹配流经本机的数据包。
PREROUTNG 在进行路由选择前处理数据包,用来修改目的地址,用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
POSTROUTTNG 在进行路由选择后处理数据包,用来修改源地址,用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网

3.数据包控制的匹配流程

默认表、链结构示意图

在这里插入图片描述

优先顺序:

  规则表应用顺序:raw——mangle——nat——filter

规则链之间的匹配顺序

主机型防火墙

  入站数据(来自外界的数据包,且目标地址是防火墙本机): PREROUTING—>INPUT—>本机的应用程序。

  出站数据(从防火墙本机向外部地址发送的数据包)∶本机的应用程序—>OUTPUT —> POSTROUTING。

网络型防火墙

  转发数据(需要经过防火墙转发的数据包):PREROUTING—>FORWARD —> POSTROUTING。

规则链内的匹配顺序

  自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)。

  若在该链内找不到相匹配的规则,则按该链的默认策略处理(未修改的状况下,默认策略为允许)。

三、iptables用法

  Centos 7默认使用firewalld防火墙,没有安装 iptables,若想使用iptables防火墙,必须先关闭firewalld防火墙,再安装 iptables。

###关闭firewalld防火墙
systemctl stop firewalld
systemctl disable firewalld
###安装iptables防火墙
yum install iptables iptables-services.x86_64
##启动iptables
systemctl start iptables.service
###设置iptables开机自启
systemctl enable iptables.service

1.基本语法

命令格式

iptables [-t 表名] 管理选项 [链名] [匹配条件] [-j 控制类型]

  表名、链名用来指定iptables命令所操作的表和链,未指定表名时将默认使用filter表。

    管理选项:表示iptables规则的操作方式,如插入、增加、删除、查看等。

    匹配条件:用来指定要处理的数据包的特征,不符合指定条件的数据包将不会处理。

    控制类型:指的是数据包的处理方式,如允许、拒绝、丢弃等。

注意事项:

  • 不指定表名时,默认指filter表
  • 不指定链名时,默认指表内的所有链
  • 除非设置链的默认策略,否则必须指定匹配条件
  • 控制类型和链名使用大写宁母,其余均为小写

常用的控制类型

  对于防火墙,数据包的控制类型非常关键,直接关系到数据包的放行、封堵及做相应的日志记录等。在 iptables防火墙体系中,最常用的几种控制类型如下。

控制类型 含义
ACCEP 允许数据包通过。
DROP 直接丢弃数据包,不给出任何回应信息。
REJECT 拒绝数据包通过,会给数据发送端一个响应信息。
SNAT 修改数据包的源地址。
DNAT 修改数据包的目的地址。
MASQUERADE 伪装成一个非固定公网工P地址。
LOG /var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则。LOG只是一种辅助动作,并没有真正处理数据包。

  防火墙规则的"匹配即停止"对于LOG操作来说是一个特例,因为LOG只是一种辅助动作,并没有真正处理数据包。注:控制类型需要大写。

2.添加、查看、删除规则

常用的管理选项

管理选项 含义
-A 在指定链的末尾追加( --append)一条新的规则
-I 在指定链的开头插入(–insert)一条新的规则,未指定序号时默认作为第一条规则
-R 修改、替换(–replace)指定链中的某一条规则,可指定规则
最低0.47元/天 解锁文章
Linux防火墙Iptables_查看本机的iptables,经典Linux运维开发教程
2401_83620690的博客
04-15 1531
先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年最新Linux运维全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。 既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上运维知识点,真正体系化!由于文件比较多,这里只是将部分目录截图出来,全套包含大厂
防火墙iptables
zmac111的博客
05-24 452
iptables一、基本概述四表五链二、数据包的匹配数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序规则链内的匹配顺序三、iptables安装与使用介绍1.安装2.配置方法3.控制类型4.管理选项5.使用iptables四、介绍几种规则的匹配1.通用匹配2.隐含匹配3.显式匹配4.状态匹配 一、基本概述 Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。
Linux防火墙Iptables_查看本机的iptables
04-28 927
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?15、讲述一下LVS三种模式的工作过程?10、什么叫CDN?
iptables防火墙
ynyysn的博客
02-17 2246
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
Linux系统:iptables 防火墙
十七拾的博客
02-18 3491
本文详细介绍了Linux防火墙iptables工具,详细阐释了iptables的五表五链、及其相关操作,希望对你有帮助!
shell之iptables 防火墙
Ggggggggggu的博客
07-12 720
在 Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢? Linux 系统中的防火墙——netfilter 和 iptables,包括防火墙的结构和匹配流程,以及如何编写防火墙规则。Linux防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具
精选资源
一键配置CentOS iptables防火墙的Shell脚本分享
01-10
手里几台VPS配置iptables太繁琐,看到了朱哥的LNMP脚本里有一个自动配置iptables防火墙的脚本,借来改了一下,给需要的人用; 只提供常用端口的设置,如果你有特殊需求只需自行添加或减少相应的端口即可; 使用方法...
精选资源
Linux教程PPT课件(shell命令、Apache服务器配置、iptables防火墙等等).zip
03-16
Linux具有如下优点: Ø 稳定、免费或者花费少 Ø 安全性高 Ø 多任务,多用户 Ø 耗资源少 Ø 由于内核小,所以它可以支持多种电子产品,如:Android手机、...iptables防火墙; gvim编辑器使用; dns域名服务器等等。
iptables防火墙详解
Linux运维老纪的博客
07-28 1139
iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)这篇文章给大家介绍下iptables防火墙防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的安全组等等。
linux iptables
u013015301的博客
07-12 7419
一、iptables基础 ①规则(rules):网络管理员预定义的条件 ②链(chains): 是数据包传播的路径 ③表(tables):内置3个表filter表,nat表,mangle表分别用于实现包过滤网络地址转换和包重构的功能 ④filter表是系统默认的,INPUT表(进入的包),FORWORD(转发的包),OUTPUT(处理本地生成的包),filter表只能对包进行授受和丢弃的操作。 ⑤...
Linuxiptables防火墙
qq_61657394的博客
02-16 1919
Linuxiptables防火墙
Linux防火墙--IP Tables
weixin_34175509的博客
05-17 237
导读 IP Table已经集成在Linux 2.4及以上版本的内核中,同Windows下的众多“傻瓜”防火墙不同的是,IP Table需要用户自己定制相关规则。下面我就给大家简单介绍一下关于防火墙的基本操作。 防火墙的初始化 废话不多说,先上一张表格: 选项 含义 -F 清除链中所有的规则 -P 为链添加一条默认策略(目标)...
Linux系统iptables
qq_27349729的博客
11-29 1139
防火墙:就是在Linux下用来进行访问控制功能的。通过自定义防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测、过滤。iptables是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于/sbin/iptables目录下。三种报文流向:流入本机:PREROUTING --> INPUT-->用户空间进程流出本机:用户空间进程 -->OUTPUT--> POSTROUTING。
Linux防火墙iptables
我的博客
05-21 1130
1、Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。2、主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
Linux 防火墙iptables
最新发布
2301_80839375的博客
04-17 2024
定义:防火墙是位于网络边界的安全屏障,通过预定义规则控制进出网络的流量。核心功能访问控制:允许或拒绝特定流量(如 IP、端口、协议)。网络地址转换(NAT):隐藏内部网络结构,实现 IP/端口映射。流量监控:记录网络活动,检测异常行为(如 DDoS 攻击)。防御攻击:阻止恶意流量(如 SYN Flood、ICMP 洪水)。
Linux系统防火墙iptables
云计算运维工程师的成长之路
09-16 3363
当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。如果数据包是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后, 任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后发送出去。如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出。
Linux中的防火墙netfilter/iptables 简介
码海小虾米_的博客
05-24 1403
防火墙netfilter/iptables一、Linux防火墙基础1.1 ptables的表、链结构1.1.1 Linux包过滤防火墙概述1.2 数据包控制的匹配流程1.2.1 四表1.2.2 五链1.2.3 四表五链总结1.2.4 规则链之间的匹配顺序1.2.5 规则链内的匹配顺序∶二、编写防火墙规则准备工作:2.1 基本语法、控制类型2.1.1 iptables防火墙的配置方法∶2.1.2 iptables 命令行配置方法∶2.1.3 常用的控制类型∶2.1.4 常用的管理选项∶2.2 添加、查看、删除
Linux系统防火墙IPTables
没有网络安全就没有国家安全
08-23 1037
本篇文章详细讲解Linux防火墙IPTables,包含基础用法和进阶用法
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我的宝贝大唐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值