iptables 学习总结--网络防火墙以及动作(六)

最新推荐文章于 2025-05-16 08:33:21 发布
转载 最新推荐文章于 2025-05-16 08:33:21 发布 · 739 阅读 · 0
文章标签:

#iptables

本文详细介绍了如何通过iptables配置网络防火墙,包括检查转发功能状态、设置基础与扩展动作、记录日志信息,并展示了如何实现地址伪装及重定向等高级功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网络防火墙

查看是否已经开启转发功能
0-未开启
1-已开启

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward
0

查看转发链的规则

 iptables -nvL
 iptables -t filter -nvL FORWARD
[root@localhost ~]# iptables -t filter -I FORWARD -j ACCEPT
[root@localhost ~]# iptables -t filter -nvL FORWARD
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

动作

基础动作
ACCEPT
DROP

扩展动作
REJECT –reject-with
–reject-with 后面跟以上参数
88

[root@localhost ~]# iptables -t filter -I INPUT  -s 10.39.0.4 -j REJECT
[root@localhost ~]# iptables -t filter -nvL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       10.39.0.4            0.0.0.0/0            reject-with icmp-port-unreachable
  135  9596 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0
[root@localhost ~]# iptables -t filter -nvxL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 REJECT     all  --  *      *       10.39.0.4            0.0.0.0/0            reject-with icmp-port-unreachable
     156    11112 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

LOG
主要是查看报文的相关属性

[root@localhost ~]# iptables -t filter -nvxL INPUT
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       7      488 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 LOG flags 0 level 4
       0        0 REJECT     all  --  *      *       10.39.0.4            0.0.0.0/0            reject-with icmp-port-unreachable
     256    18024 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

把报文的日志信息重定向到指定文件

 vi /etc/rsyslog.conf
kern.warning /var/log/iptables.log
service rsyslog restart
[root@localhost ~]# iptables -t filter -I INPUT -p tcp --dport 22 -m state --state NEW -j LOG --log-prefix "demo-test-from-in-22"
[root@localhost ~]# iptables -t filter -nvxL INPUT
Chain INPUT (policy ACCEPT 43 packets, 5191 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       1       64 LOG        tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22 state NEW LOG flags 0 level 4 prefix "demo-test-from-in-22"

这样就可以查看日志iptables的报文信息的日志了

登录

➜  github.com ssh root@192.168.1.61
root@192.168.1.61's password:
Last login: Sat Jun  2 13:59:36 2018 from 192.168.1.31
[root@localhost ~]#
cat /var/log/iptables.log | less
...
2018-06-02T18:22:14.422300+08:00 localhost kernel: demo-test-from-in-22IN=enp0s8 OUT= MAC=08:00:27:de:2d:c7:18:65:90:d4:3a:e7:08:00 SRC=192.168.1.31 DST=192.168.1.61 LEN=64 TOS=0x00 PREC=0x00 TTL=64 ID=38288 DF PROTO=TCP SPT=59102 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0

SNAT –伪装源地址
DNAT–伪装目标地址
MASQUERATE–伪装
REDIRECT–重定向

参考:
网络防火墙
snat dnat

Linux学习总结(48)——Linux防火墙iptables与firewalld学习总结
科技D人生
06-26 5645
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。语法iptables(选项)(参数)选项-t<表>:指定要操纵的表;-A:向规则链中添加条目;-D:从规则链中删除条目;-i:向规则链中插入条目;-R:替换规则链中的条目;-L:显示规则链中已有的条目;-F:清楚规则链中已有的条目;-Z:清空规则链中的数...
【LinuxShell】linux防火墙iptables防火墙
一个萌新的博客
05-17 862
iptables防火墙增删改查等操作
iptables语法命令汇总
10-16
iptables语法命令汇总,包括添加、查看、删除、插入、清除语法
防火墙程序使用经验谈(转)
cuankuangzhong6373的博客
02-23 320
由于黑客泛滥,所以为了防止恶意供给,防火墙软件应运而生。但是我们应该能够正确使用防火墙软件,让它真正为我们服务。下面我就防火墙软件的使用中的几点经验介绍给大家。  一、 安全级别  现在大多数防火墙都定义了安全级别,为了给不同需...
iptables详解(12):iptables动作总结之一
aa43795381的博客
01-31 190
前文一直在介绍iptables的匹配条件,并没有对动作进行过总结,那么此处,我们就来总结一下iptables中的动作。 之前的举例中已经用到了一些常用动作,比如ACCEPT、DROP、REJECT等。 其实,"动作"与"匹配条件"一样,也有"基础"与"扩展"之分。 同样,使用扩展动作也需要借助扩展模块,但是,扩展动作可以直接使用,不用像使用"扩展匹配条件"那样指定特定的模块。 ...
Iptables】12 Iptables动作总结之一(基础)
TDXYBS的博客
09-05 1526
12 Iptables动作总结之一(基础) 此前我们已经接触过动作了,如REJECT,DROP,ACCEPT;但是我们却没说其他的动作,并且动作其实还分基础动作和扩展动作的,基础动作包括DROP,ACCEPT;其余的便是扩展动作,但是扩展动作使用时不用指定,这与之前的匹配条件使用扩展模块不同,如我们使用REJECT动作就直接使用就好了 虽说直接使用就好了,但是扩展动作却是有一些常用的选项的,我们先...
iptables 常用处理动作
weixin_30569001的博客
05-23 239
iptables中,-j 参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK。 分别说明如下: ACCEPT将数据包放行,进行完此处理动作后,将不再比对其它规则,直接跳往下一个规则链。 REJECT拦阻该数据包,并传送数据包通知对方,...
Linux技术学习分享- iptables 与 firewalld 防火墙【2.6】
qq_43416206的博客
02-23 653
各种车辆在进入社区时都要登记。再次重申,防火墙策略规则是按照从上到下的顺序匹配的,因此一定要把允许动作放到拒绝动作前面,否则所有的流量就将被拒绝掉,从而导致任何主机都无法访问我们的服务。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某一条策略规则相匹配,则执行相应的处理,反之则丢弃。一般来说,从内网向外网发送的流量一般都是可控且良性的,因此我们使用最多的就是INPUT 规则链,该规则链可以增大黑客人员从外网入侵内网的难度。
Linux-iptables
最新发布
gongwanzhang的博客
05-16 973
Linux iptables是一个强大而灵活的工具,用于配置Linux操作系统上的网络防火墙。它使得系统管理员可以控制数据包的进出,设定规则来决定哪些数据包可以被接受、拒绝或转发。
RH254-第二十-iptables和firewalld防火墙
hubowestlife
08-18 950
防火墙管理工具 保证数据的安全性是继可用性之后最为重要的一项工作,众所周知外部公网相比企业内网更加的“罪恶丛生”,因此防火墙技术作为公网与内网之间的保护屏障,虽然有软件或硬件之分,但主要功能都是依据策略对外部请求进行过滤。防火墙技术能够做到监控每一个数据包并判断是否有相应的匹配策略规则,直到匹配到其中一条策略规则或执行默认策略为止,防火墙策略可以基于来源地址、请求动作或协议等信息来定制,最终
计算机网络防火墙
学习学习再学习
05-31 6756
    最近遇到业务上的需求,需要了解防火墙。首先使用防火墙的目的在于对系统的访问进行控制。防火墙是一种安装在组织结构的内部网络与因特网之间的设备(通常是路由器或者计算机)。它是用于转发某些分组而过滤掉或者不转发其他分组。    例如,防火墙可以过滤掉所有目的地址为特定主机或特定服务器(比如HTTP服务器)的分组,防火墙在组织机构中用来拒绝对特定主机或者特定服务的访问。    防火墙通常分为:分组...
网络安全学习篇25_防火墙
xiaosi的博客
07-23 719
防火墙的基本概念 ☺防火墙的基本功能 ☺防火墙产品及厂家 ☺区域隔离 ☺防火墙的分类 ☺防火墙的工作模式及部署类型
iptables详解(13):iptables动作总结之二
ss810540895的博客
10-21 450
阅读这篇文章需要站在前文的基础上,如果你在阅读时遇到障碍,请参考之前的文章。前文中,我们已经了解了如下动作今天,我们来认识几个新动作,它们是:在认识它们之前,我们先来聊聊NAT,如果你对NAT的相关概念已经滚瓜烂熟,可以跳过如下场景描述。NAT是Network Address Translation的缩写,译为”网络地址转换”,NAT说白了就是修改报文的IP地址,NAT功能通常会被集成到路由器、防火墙、或独立的NAT设备中。为什么要修改报文的IP地址呢?
iptables操作
weixin_37583747的博客
06-20 975
查看iptablesiptables -t filter -nvL INPUT参数:    -t 指定了查看的表。    -n 表示不进行名称解析。如果不带-n source和destination的0.0.0.0/0会被解析成 anywhere,in和out的*会被解析成any    -v 表示详细信息(verbose),会增加pkts,bytes,in,out信息    -L 表示list信息...
iptables 防火墙操作介绍
whoim_i的博客
01-07 1390
目录Iptables简介4种规则表5种规则链匹配顺序使用iptables语法规则 Iptables简介 IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统,所以它并不是真正的防火墙,可以将它理解为一个代理,我们通过这个代理,将规则对应到安全框架netfilter中。 因此,信息包过滤系统实际由netfilter和iptables两个组件构成。Netfilter...
iptables详解【13】: 动作总结之二
focus_lyh的博客
10-25 404
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下 iptables零基础快速入门系列 概述 阅读这篇文章需要站在前文的基础上,如果你在阅读时遇到障碍,请参考之前的文章。 前文中,我们已经了解了如下动作 ACCEPT、DROP、REJECT、LOG 今天,我们来认识几个新动作,它们是: SNAT、DNAT、MASQUERADE、REDIRECT 在认识它们之前,我们先来聊聊NAT,如果你对NAT的相关概念已经滚瓜烂熟
iptables防火墙常用命令
01-22
### iptables 防火墙常用命令及用法 #### 添加规则 要向 `iptables` 中添加新规则,可以使用 `-A` 参数指定链并附加规则。例如,在 INPUT 链中允许来自特定 IP 地址的流量: ```bash sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT ``` 这条命令会接受来自 `192.168.1.100` 的所有入站连接请求[^1]。 #### 插入规则 如果希望将一条新的规则插入到现有规则列表中的某个位置,则可利用 `-I` 参数加上该位置编号来实现这一点。比如把拒绝所有外部访问 Web 服务端口(假设为80)的新规放在INPUT链的第一位: ```bash sudo iptables -I INPUT 1 -p tcp --dport 80 -j DROP ``` 这将在输入链的第一个位置阻止针对TCP协议第80号目的端口的数据包通过防火墙过滤器。 #### 删除规则 对于不再需要保留的具体规则而言,可以通过两种方式将其移除:一是依据其确切表述;二是按照它所在链条里的顺序索引来操作。下面的例子展示了如何按序号删除OUTPUT表里第二条记录的方法: ```bash sudo iptables -D OUTPUT 2 ``` 此指令将会从输出链中彻底清除掉位于第二个槽位处设定好的策略配置项。 #### 查看当前规则集 为了查看目前生效于各个方向上的全部控制条例集合体——即所谓的“规则库”,只需简单执行如下所示的一串字符即可获得详尽无遗的信息反馈: ```bash sudo iptables -v -n ``` 上述命令提供了关于已加载至内核空间内的各类限定条件及其对应动作之间关系的一个全面概览图景,并且还附带了一些额外统计资料用于辅助理解整个体系结构的工作原理。 #### 清空规则 当想要一次性清零某张表格下辖的所有现存规定事项时,应当采用 `-F` 开关配合相应对象名称来进行批量处理作业活动。这里给出的是有关重置FORWARD链上一切既定方针政策为空白状态的操作指南说明文档片段摘录部分文字内容摘要概述总结提炼精华要点: ```bash sudo iptables -F FORWARD ``` 以上就是一些基本但非常实用有效的管理维护Linux操作系统自带软件定义网络防护机制的核心技能知识点介绍分享交流探讨学习参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值