Linux之iptables(四)iptables数据包命中规则后的执行动作

最新推荐文章于 2023-08-04 14:45:35 发布
最新推荐文章于 2023-08-04 14:45:35 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: MY网络基础知识 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq1319713925/article/details/105488467
版权
本文深入解析了iptables中的SNAT和DNAT规则,阐述了如何通过这两个动作实现源地址和目标地址的转换,以及在不同链中配置的具体方法。同时,介绍了如何启用Linux的IP转发功能,以确保网络数据的正确路由。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

如图:4  便是iptables数据包命中规则后的执行动作,用-j选项来指定,后跟具体的动作。

常用的动作:

1.ACCEPT,DROP,REJECT

常用语filter表,用于配置黑白名单

2.SNAT,DNAT

常用于nat表,用于配置nat转换

3.当然还有其他的动作,如LOG,MASQUERADE,REDIRECT等。。。

这些不常用,自己作为开发也不搞运维,了解就好。这里主要总结

SNAT,DNAT两个动作。因为经常开发过程需要配置网络通畅,要么找其他人配置网络设备比较麻烦,要么自己配置代理转发,自己解决,多爽~~~

 

SNAT&DNAT的概念我不详细解释,

iptables -t nat -A POSTROUTING -p tcp --dport 10443 -j SNAT --to-source 172.29.50.12
# 将流过本机的,目标端口为10443的数据包,转换它的源IP为172.29.50.12
# 注意,根据iptables(1)数据流向,可知,改变源IP只能在数据出去的时候改变,也就是配置SNAT只能在POSTROUTING链中配置,在prerouting中配置会报错。


iptables -t nat -A PREROUTING  -p tcp --dport 10443 -j DNAT --to-destination 10.29.4.71:10443
# 将流过本机的,目标端口为10443的数据包转换他的目标IP为10.29.4.71,且转换目标端口为10443.这里加了个:10443就是在转换IP的同时转换目标端口。
# 同理,改变目标IP也只能在PREROUTING ;链中,在postrouting,中配置也会报错。





注意:
想要Linux主机能够转发目标ip非本机的ip,需要配置ipforward。
打开系统的IP转发功能
echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
不用重启,立即生效
sysctl -p

记住语法即可,

 

 

Linux conntrack和iptables技术解析
李姓门徒
03-05 2355
conntrack和iptablesLinux操作系统中的两个网络工具,用于网络连接跟踪和流量过滤。 conntrack是一个内核模块,用于在网络连接建立时跟踪和记录连接的信息。它可以记录连接的源地址、目的地址、端口等信息,并且能够在连接关闭后继续跟踪一段时间。通过conntrack,系统管理员可以查看和管理网络连接状态,如查看活动连接、删除连接等。iptables是一个防火墙工具,用于管理和配置Linux操作系统的数据包过滤规则。它可以根据数据包的源地址、目的地址、端口等信息来过滤网络流量,以实现
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
Linuxiptables匹配包状态
车谷的博客
10-13 664
INVALID意味着这个包没有已知的流或连接与之关联,也可能是它包含的数据或包头有问题。 ESTABLISHED意思是包是完全有效的,而且属于一个已建立的连接,这个连接的两端都已经有数据发送。 NEW表示包将要或已经开始建立一个新的连接,或者是这个包和一个还没有在两端都有数据发送的连接有关。 RELATED说明包正在建立一个新的连接,这个连接是和一个已建立的连接相关的。比如,FTP data tr...
linuxiptables命令选项、条件匹配及动作目录说明及案例实训
weixin_34375054的博客
10-24 249
iptables命令选项 -A,--append 在所选择的链的最后添加一条规则 -D,--delete 从所选链中删除规则 -R,--replace 替换规则 -I,--insert 向所选链中插入新规则 -L,...
iptables命令、规则、参数详解
wu瞌睡虫
10-24 4159
(table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
linux规则检查在哪儿,linux – 如何检查iptables中每条规则命中数?
weixin_30978387的博客
05-15 316
我想知道我可以从我使用iptables创建的访问列表中找出访问哪个规则,以及多少次.我的防火墙在iptbales中有超过1000个输入和输出规则;我想找到他们被访问了多少.例如,假设我有以下规则iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPU...
iptables nat表命中率很少问题解析和解决
weixin_33888907的博客
06-26 614
问题背景描述:做一个功能,路由器抓取lan侧client的上下行速率,原先考虑到断网的情况下,来抓取lan client跟路由器,所以在nat表的PREROUTING里设置规则,结果发现对应的规则抓取的包很少。 当时测试方案,在路由器console里,调用tftp 从lan PC down个文件下来,结果,mangle的PREROU...
iptables传输数据包时,当数据包转发时,检索完forward链后还需要再一次路由判断吗
最新发布
03-08
这个问题涉及到Linux网络栈的数据包处理流程,我得仔细回忆一下Netfilter的框架和iptables的工作机制。 首先,Netfilter有五个钩子点,分别是PREROUTING、INPUT、FORWARD、OUTPUT和POSTROUTING。当数据包需要转发时...
kubernetes的Kube-proxy的iptables转发规则
田园园野的博客
06-01 1万+
概念 kube-proxy 实际上并不起一个 proxy 的作用,而是 watch 变更并更新 iptables,也就是说,client 的请求直接通过 iptables 路由。 如果kube-proxy通过iptables 转发。会修改filter和nat表 filter表 filter表通过OUTPUT链规定所有的出报文都要经过KUBE-SERVICES,如果一个Service没有对应的end...
[iptables] 使用libiptc下发iptables规则
hanfs390的博客
05-09 3852
1、库libiptc 什么是libiptc libiptc是用于与netfilter通信的库,netfilter是负责防火墙和数据包过滤的内部内核代码。这段代码和iptables由Paul“Rusty”Russell编写。iptables是使用libiptc调用开发的,以完成工作。 如何获取这些知识 文档参考地址: http://tldp.org/HOWTO/Querying...
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封包需转送处理则检查Postrouting,如果是来自本机封包,则检查OUTPUT以及Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了ACCEPT、REJECT、DROP、REDIRECT和MASQUERADE以外,还多出 LOG、ULOG等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤,一直到堆栈中的规则检查完毕为止。
iptables详解
海边顽石的专栏
03-10 1万+
iptables简介        netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。   iptables基础        规则(rules)其实就是网络管理员预定义的条件,规则一般的定义
iptables全面详解(图文并茂含命令指南)
热门推荐
程序人生
08-04 4万+
iptables原理详解及操作指南
Linuxiptables之防火墙概述及规则匹配+实例(1)
liu_chen_yang的博客
08-09 8419
多端口匹配:-m multiport --sports | --dports 端口列表。多端口匹配:-m multiport --sports | --dports 端口列表。入站: PREROUTING→INPUT。IP范围匹配:-m iprange --src-range IP范围。MAC地址匹配:-m mac --mac-source MAC地址。IP范围匹配:-m iprange --src-range IP范围。MAC地址匹配:-m mac --mac-source MAC地址。......
iptables详解(14):iptables小结之常用套路
ss810540895的博客
10-21 186
如果报文已经被前面的规则匹配到,IPTABLES则会对报文执行对应的动作,通常是ACCEPT或者REJECT,报文被放行或拒绝以后,即使后面的规则也能匹配到刚才放行或拒绝的报文,也没有机会再对报文执行相应的动作了(前面规则动作为LOG时除外),所以,针对相同服务的规则,更严格的规则应该放在前面。如果将sshd的规则放在前面,当报文是访问web服务时,sshd的规则也要白白的验证一遍,由于访问web服务的频率更高,白白耗费的资源就更多。比如,你写了两条规则,一条针对sshd服务,一条针对web服务。
iptables防火墙进阶匹配以及常见扩展规则
weixin_45266856的博客
02-17 569
前文已经总结了iptables中的基本匹配条件,以及简单的扩展匹配条件,此处,我们来认识一些新的常见的扩展模块。
iptables 规则学习
weixin_30731287的博客
07-31 133
iptables一共有 3 张表:mangle,nat,filter mangle 表主要处理 ttl,tos,mark 等信息(进) filter 顾名思义就是过滤器,用作防火墙(出) nat 主要处理 ip、端口转换的信息 input chain1)Chain INPUT (policy ACCEPT) 2)target prot opt source...
Netfilter和iptables命令详解,从入门到精通
meihualing的专栏
05-09 3268
iptables命令详解
Linuxiptables的内核模块问题大坑!
zclinux的博客
11-23 4万+
系统环境 CentOS 6.5 今天本来可以平静的度过一天,正品味着下午茶的美好,突然接到防火墙iptables的报警。 进入到服务器中,执行下面的命令查看,结果报错 /etc/init.d/iptables restart iptables: Applying firewall rules: iptables-restore v1.4.7: iptables-restore: un......
ubuntu iptables执行顺序
01-04
### Ubuntu 中 iptables 规则处理顺序 在 Ubuntu 系统中,iptables规则按照特定的链和表来组织并依次处理数据包。每张表内有多个预定义的链,这些链决定了如何以及何时应用规则。 #### 表及其优先级 Linux 内核中的网络过滤框架 netfilter 支持多种不同的表,其中最常用的包括: - **raw**:用于配置豁免连接跟踪机制的规则[^1] - **mangle**:主要用于修改数据包的内容 - **nat**:用于地址转换(如端口转发) - **filter**:默认情况下用来决定是否允许或拒绝数据包通过 表格按如下顺序被处理: 1. raw 2. mangle (PREROUTING 和 INPUT 链) 3. nat (PREROUTING 链) 4. mangle (FORWARD, OUTPUT 和 POSTROUTING 链) 5. filter (INPUT 和 FORWARD 链) 对于本地产生的流量,则会先经过 OUTPUT 链再进入其他链;而对于外部传入的数据包来说,通常是从 PREROUTING 开始直到到达目标主机的应用层之前都会经历上述过程的一部分或多部分。 #### 连接状态匹配准则 当涉及到已建立连接的状态时,可以利用连接追踪功能让 iptables 更加灵活地管理通信流。例如,在给定的例子中可以看到一条接受 ESTABLISHED 或 RELATED 类型连接请求的规则[^2]: ```bash sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ``` 这条命令确保只有那些属于现有合法对话的新分组才能继续前进到目的地,从而提高了系统的安全性。 #### 实际案例展示 考虑下面这个简单的防火墙设置例子,它展示了不同类型的规则是如何组合在一起工作的: ```bash # 清空已有规则 sudo iptables -F # 设置默认策略为丢弃所有输入流量 sudo iptables -P INPUT DROP # 接受回环接口上的任何流量 sudo iptables -A INPUT -i lo -j ACCEPT # 允许已经存在的或者关联于当前会话的新连接 sudo iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -A INPUT -p tcp --dport ssh -j ACCEPT sudo iptables -A INPUT -p tcp --dport www -j ACCEPT # 所有未命中前面规则数据包都将被阻止 ``` 在这个脚本里,`conntrack` 模块替代了较旧版本中的 `state` 模块,这使得我们可以更精确地控制哪些类型的连接应该被允许访问服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值