iptables 规则工作原理

于 2025-08-05 16:30:01 发布
阅读量298 收藏 1
点赞数 12
CC 4.0 BY-SA版权
分类专栏: 运维 linux 文章标签: 网络 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jkzyx123/article/details/149940503

我们来系统地讲解下 iptables 规则的生效原理,包括 匹配顺序、优先级、DROP 和 REJECT 的区别 等方面。

一、iptables 匹配规则的生效原理(顺序决定一切)

1. iptables 的规则是顺序匹配、先匹配先执行、匹配后就停止

  • 每个 iptables 表(如 filter, nat, mangle)中有若干链(chain),如 INPUT, OUTPUT, FORWARD

  • 每条链里可以添加多条规则,它们是有顺序的,从上到下依次检查。

  • 一旦有一条规则匹配成功(匹配了条件,比如 IP、端口、协议等),并执行了某个动作(ACCEPT、DROP、REJECT等)后,就不会再往下执行链中的其他规则。

举例:
iptables -A INPUT -p tcp --dport 80 -j DROP 
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j ACCEPT

  • 虽然第二条规则允许 192.168.1.100 访问 80 端口,但由于第一条 DROP 已经匹配了所有访问 80 端口的请求(包括来自 192.168.1.100 的),所以第二条规则永远不会执行。

  • 结论:先 DROP,后 ACCEPT 的话,ACCEPT 永远无效。

如果你想“有条件地允许”,应该先写 ACCEPT,再写 DROP。

# 正确写法:先允许特定 IP,再阻止所有其他
iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

二、DROP 和 REJECT 的区别

比较项DROPREJECT
行为直接丢弃数据包,不回复任何信息丢弃数据包,并返回拒绝信息(如 ICMP 或 TCP RST)
对客户端表现客户端会一直等待超时客户端立即收到连接被拒绝的反馈
安全隐蔽性更隐蔽,攻击者无法确定端口是否存在不隐蔽,攻击者知道端口拒绝连接
推荐用途更安全,对不明来源的 IP 做防御用于明确拒绝某些连接或做调试用

示例:

  • DROP:就像对方敲门你不理他,对方不知道你家有没有人。

  • REJECT:你直接告诉对方“别敲了,我不让你进”。

三、规则插入方式 -A vs -I

命令说明
-A追加规则(append),加到链尾部
-I插入规则(insert),默认加在链开头或指定位置

所以如果你用 -A 添加规则,要特别注意顺序是否会让后续规则失效。

四、默认策略(默认行为)

可以为每个链设置默认策略,如:

iptables -P INPUT DROP

  • 如果某个数据包没有被任何规则匹配到,那就走默认策略。

  • 常见的做法:默认 DROP,添加具体的 ACCEPT 规则。

五、小结

场景行为说明
同端口,先 DROP 后 ACCEPTDROP 生效,ACCEPT 无效
同端口,先 ACCEPT 后 DROP只要满足 ACCEPT 条件就不会被 DROP 拦截
DROP vs REJECTDROP 更隐蔽;REJECT 更明确但易暴露服务
没有匹配规则看链的默认策略,如默认 DROP 就会直接丢弃
IPTABLES原理
m0_45857447的博客
12-08 1373
iptables是linux系统下的防火墙软件,是netfilter机制的一部分,通过iptables可以操纵linux对网络访问进行精细的控制,例如丢掉特定地址来源的数据包。 iptables就是客户端代理,用于管理防火墙,真正的防火墙是netfilter。 - “安全框架” - Netfilter 位于在内核中 Netfilter - 内核空间;是真正去实现软件防火墙功能 IPtables - 用户空间;是一个用户空间的客户端代理软件 在用户空间中使用IPtables工具,将安全策略执...
深入理解 iptables:原理、架构与常见操作
CloudJourney的博客
06-24 1317
它是Linux系统中非常核心的网络安全组件,几乎所有的Linux发行版本都支持iptables的功能。在核心空间,iptables从底层实现了数据包过滤的各种功能,比如NAT、状态检测以及高级的数据包的匹配策略等。通过深入了解iptables的原理、架构和常见操作,我们能够更好地配置和管理Linux系统的网络安全。而在Linux系统中,iptables则是一款功能强大的防火墙工具,它允许用户配置复杂的包过滤规则,以保护系统免受未经授权的访问。向iptables的特定链中添加规则,可以使用。
iptables防火墙工作原理
huakai_sun的博客
03-27 1831
简介:iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制,iptables防火墙基于内核编码实现,具有非常稳定的性能和高效率;    iptables属于“用户态”的防火墙管理体系。 规则表...
Linux笔记-iptables规则原理和组成
IT1995的博客
03-24 603
Netfilter Netfilter:是Linux操作系统内核层内部的一个数据包处理模块。 Hook point:数据包在Netfilter中的挂载点(PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING)。 用通俗的话解释下:数据包通过网卡,走到操作系统内核后,就会进入Netfilter中这5个挂载点。 可以在这5个挂载点进行Hook,修改数据包。 Netfilter与iptables iptables规则组成 组成部分:四张表 + 五条链
Iptables 防火墙的工作原理
rubys007的博客
03-19 1324
设置防火墙是保护任何现代操作系统的必要步骤。大多数 Linux 发行版都附带了几种不同的防火墙工具,您可以使用这些工具来配置防火墙。在本指南中,我们将介绍iptables防火墙。Iptables 是大多数 Linux 发行版默认包含的标准防火墙。它是一个命令行接口,用于操作 Linux 网络堆栈的内核级 netfilter 钩子。它通过将通过网络接口的每个数据包与一组规则进行匹配来决定要执行的操作。在本指南中,您将了解 Iptables工作原理
Iptables工作原理使用详解
花落花开,春去秋来!
12-13 7571
Iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低的硬件配置下跑得非常好。IPtables是linux2.4及2.6内核中集成的服务。其功能与安全性比其老一辈ipfwa
Iptables工作原理及命令
wwl012345的博客
06-04 690
一、防火墙的概念 防火墙(firewall)是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户以及非法数据包进入内部网络。 二、防火墙的分类 1.包过滤型防火墙:包过滤型防火墙工作在OSI参考模型的网络层。包过滤型防火墙主要是根据数据包的源地址、目的地址、端口号和协议类型等标志来确定是否让数据包通过...
linux iptables 原理,Iptables原理及使用
weixin_36255893的博客
05-14 600
什么是iptablesiptables是Linux系统下常用的防火墙软件,是Linuxnetfilter机制的一部分,通过iptables可以操纵linux对网络访问进行精细的控,例如丢掉特定地址来源的数据包。Iptables工作原理在Linux系统中,iptables是用于操作Linux内核netfilter系统的用户接口,在Linux系统中,当外部网络的数据包进入内核后,会通过Linux系统预...
iptables工作原理iptables命令行使用介绍
热门推荐
粥同学的学习笔记
02-07 1万+
iptables详解iptables原理技能 iptables原理 技能 最需要掌握的技能就是查看iptables规则来进行trouble shoot了。掌握iptables的根本在于掌握数据包在四表五链的流转过程。 查看iptables规则最实用的命令是: iptables-save #该条命令会将iptables规则输出到标准输出,其输出的形式和当初添加的形式是一样的,这样就让熟悉iptabl...
一图解释iptables原理
晴空的博客
11-28 1064
一图解释iptables原理。有助于快速了解iptables原理,设置规则。附有对应的实例。实操更易理解
Linux iptables规则原理和基础
01-09
 iptables是Linux下功能强大的应用层防火墙工具,但了解其规则原理和基础后,配置起来也非常简单。  什么是Netfilter?  说到iptables必然提到Netfilter,iptables是应用层的,其实质是一个定义规则的配置工具...
Iptables防火墙原理
小胡子
08-13 622
一、IPTABLES概念 iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。从设备上分类,防火墙分为软件防火墙、硬件防火墙、芯片级防火墙。从技术上分类,防火墙分为数据包过滤型防火墙、应用代理型防火墙。这是因为四层模型的每一层都可以应用防火墙。 防火墙的发展史就是从墙到链再到表的过程,也即是从简单到复杂的过程。为什么规则越来越...
iptables的四表五链与NAT工作原理
tinychen
02-25 2637
本文主要介绍了iptables的基本工作原理和四表五链等基本概念以及NAT的工作原理。 1、iptables简介 我们先来看一下netfilter官网对iptables的描述: iptables is the userspace command line program used to configure the Linux 2.4.x and later packet filtering ruleset. It is targeted towards system administrators. Si
HCIP笔记(第四章)
panshiyangmaye的博客
08-03 850
描述区域内的MA网络(广播网络、NBMA网络)链路的路由器及掩码信息仅在区域内部传输只有DR才会产生type2_LSA[R1]dis ospf lsdb network 查看Type2 LSA的具体信息Summary LSA(聚合LSA)在整个OSPF区域内,描述其他区域的链路信息以子网形式传播,类似直接传递路由只有ABR会产生type3_LSA[R1]dis ospf lsdb summary 查看Type3 LSA的具体信息描述ASBR的信息只有ABR才会产生TYPE4 LSA。
组播 | 不同 VLAN 间数据转发实现逻辑 / 实验
u013669912的博客
07-31 1151
……
WebSocket断线重连机制:保障实时通信的高可用性
2401_82591622的博客
08-02 1092
​​速度​​(快速恢复) vs ​​节制​​(避免压垮服务端)​​通用性​​(覆盖多场景) vs ​​定制化​​(适配业务需求)​​自动化​​(无缝恢复) vs ​​可控性​​(允许用户干预)​​终极建议​关键系统采用​​双心跳​​(协议层+应用层)结合​​指数退避​​ + ​​网络状态监听​​服务端实现​​会话无感迁移​​(如Redis存储Session)正如分布式系统名言:“不是考虑连接会不会断,而是何时断健壮的重连机制,正是实时应用的“生命线”。
网络muduo库的实现(1)
IKUN2333的博客
08-04 610
网络库实现的核心目标muduo 网络库成功的原因将解决的问题控制在一个范围内,不追求大而全。
【笔记】ROS1|5 ARP攻击Turtlebot3汉堡Burger并解析移动报文【旧文转载】
最新发布
shandianchengzi的博客
08-04 546
本文介绍了如何使用ARP攻击技术干扰Turtlebot3汉堡机器人的ROS通信。作者首先讲解了ARP协议的基本原理和攻击依据,然后通过实验演示了如何利用arpspoof工具实施ARP欺骗攻击,包括干扰普通主机上网和小车与控制机的通信。文章提供了详细的实验步骤和思考题,并建议读者在虚拟机环境下进行实践。实验结果显示,通过持续发送虚假ARP响应包可以成功劫持网络通信,开启IP转发后虽能恢复但会降低网速。最后作者还演示了如何解析被攻击机器人的移动控制报文。
socket编程-UDP(2)-设计翻译系统
Mr_Xuhhh的博客
08-01 275
实现一个简单的英译汉的网络字典。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值