iptable防火墙

最新推荐文章于 2025-04-17 15:50:28 发布
最新推荐文章于 2025-04-17 15:50:28 发布
阅读量240 收藏
点赞数
分类专栏: 操作系统 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/timoraty/article/details/115005277
版权
本文详细介绍了iptables防火墙的基础知识,包括OSI7层模型、TCP/IP连接过程和服务器端口。iptables是一种基于包过滤的防火墙工具,主要工作在OSI模型的二三四层。文章讲解了iptables的工作流程,以及表与链的关系,如Filter、NAT、Mangle和Raw表及其对应的链。此外,还提到了iptables的常用命令,帮助读者理解和配置iptables防火墙。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IPtables防火墙

基础

安全优化

  • 尽可能不给服务器配置外网ip。可以通过代理转发或者通过防火墙映射
  • 并发不是特别大情况在外网ip的环境要开启iptables防火墙

OSI7层模型以及不同层对应的协议

TCP/IP三次握手四次断开的过程

常用的服务器端口

简介

Iptables

  • 基于包过滤的防火墙工具,可以对流入和流出服务器的数据包进行很精细的控制
  • 主要工作在OSI七层的二三四层,重新编译内核可以支持七层控制

工作流程

iptables会对请求的数据包的包头数据进行分析,并根据我们预先设定的规则进行匹配来决定是否可以进入主机。

Client请求数据->IPtables Filter->获取主机Service

  • 接收到请求数据后防火墙开始逐层过滤(从上到下,从左到右)
  • 如果匹配上规则(明确表明是阻止还是通过),则不再匹配新规则
  • 若匹配不上,则继续向下匹配规则
  • 所一直匹配不上,则匹配默认规则,得到明确的阻止和通过

表与链

关系

  • 表table>链chain>规则policy

  • iptables包含四张表

  • 表是链的容器,每个表中包含若干链

  • 链式规则的容器,真正的过滤规则是属于链里面的

    表\链InputForwardOutputPreroutingPostrouting
    Filter11100
    Nat00111
    Mangle11111

各表和链详解

  • Filter:真正的防火墙功能,对filter表的控制是我们实现本机防火墙功能的重要手段,特别是对INPUT链的控制

    • INPUT:过滤进入主机的数据包
    • FORWORD:转发流经主机的数据包,和NAT关系很大
    • OUTPUT:处从主机出去的数据包

  • NAT表:负责网络地址转换,即来源与目的ip地址和port的转换(相当于网络交换机acl)。主要应用于局域网共享上网或者特殊的端口和IP转换服务器,做地址一对一映射(dmz)通过iptables防火墙映射ip到内部服务器,ftp服务

    • OUTPUT:和主机发送出去的数据包有关,改变主机发出数据包的目标地址
    • PREPOUTING:在数据包到达防火墙进行路由判断之前执行的规则,作用是改变数据包的目的地址、目的端口等【大概就是收信的时候重写收件人的地址】把ip:123.23.3.23->10.0.0.1 端口 80->9000
    • POSTPOUTING:在数据包离开防火墙进行路由判断之后执行的规则,作用是改变数据包的源地址、源端口(把pre改了的地址改回来)等【大概是寄信的时候,写好发件人的地址】

  • Mangel表:做一些路由标记

    • 不怎么用

  • Raw表

    • 基本不用
    # 查看表
sudu su

man iptables
```

表和链示意图

​ 【主机服务器防火墙】

​ |---------------------LOCAL PROCESS------ROUTING

​ | |

​ FILTER(INPUT) NAT(OUTPUT)

​ | FILTER(OUTPUT)

​ | |

-NAT(PREROUTING)–FORWARD-----------FLTER(FORWARD)------------NAT(POSTROUTING)

[外部ip和端口映射为内部ip和端口] [局域网上网共享]

常用命令

  • 查看版本号

    iptables -V

  • 查看完整信息

    iptables -h

  • ubuntu中关于防火墙的命令

    #查看防火墙状态
sudo ufw status

#开放防火墙
sudo ufw enable

#关闭防火墙,inactive为关闭
sudo ufw disable

#外来访问默认允许/拒绝
ufw default allow/deny

#允许/拒绝 访问20端口,20后可跟/tcp或/udp,表示tcp或udp封包。
ufw allow/deny 20

#ufw从/etc/services中找到对应service的端口,进行过滤。
ufw allow/deny servicename

#允许自10.0.1.0/10的tcp封包访问本机的25端口。
ufw allow proto tcp from 10.0.1.0/10 to 本机ip port 25

#删除以前定义的"允许/拒绝访问20端口"的规则
ufw delete allow/deny 20

  • 把iptable_filter加载进内核

    sudo modprobe iptable_nat

  • 清除所有规则留下默认规则

    sudo iptables -F

  • 清空用户自定义的链

    sudo iptables -X

  • 清空链的计数器

    sudo iptables -Z

  • 查看iptable的链

    sudo iptables -L

  • 查询ssh端口

    #第一次使用ssh/scp命令时要先安装ssh服务
sudo spt install openssh-server
#查询端口
sudo netstat -lntup|grep ssh

  • 操纵链

    #-t指定表 -A添加规则到指定链的结尾 -p执行协议  --dport表示对客户端来说是目的 -j执行行为(丢弃接受拒绝)
# -I添加规则到指定链的开头
#处理行为 ACCEPT DROP 
sudo iptables -t filter -A IPPUT -p tcp --dport 52113 -j DROP

  • 在 filter 表的 INPUT 链里追加一条规则(作为最后一条规则)匹配所有访问本机 IP 的数据包,匹配到的丢弃

     iptables -t filter -A INPUT -j DROP
iptables防火墙
jcrhl321的博客
05-01 1844
一、iptables防火墙概述 Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 netfilter: 位于linux内核中的防火墙功能体系 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: 属于“用户态”(User Space, 又称为用户空间) 的防火墙管理体系 是一种用来管理Linux防火墙..
iptable防火墙(一)
FateZRK的博客
05-20 789
前言 在因特网中,企业通过架设各种应用系统为用户提供各种网络服务,而如何保护这些服务器,过滤企业不需要的访问防止恶意入侵正式我们所需要学习的。 一、Linux包过滤防火墙 1.包过滤的工作层次 主要是网络层,针对IP数据包。 体现在对包内的IP地址、端口等信息的处理上。 Linux的防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)。Linux系统的防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。
iptables <二>详解配置与举例
weixin_33825683的博客
05-08 222
iptable 二 一.基本格式 1. iptable [-t 表] 命令选项 [连名] 匹配条件 [-j 动作] 2.常用命令选项如下: -A 【append】 在指定的连的结尾添加规则 -D 【delete】删除指定连中的规则,可以按规则号或规则内容匹配 -I 【insert】插入一条新规则,默认是在最前面 -R 【replac...
最全的iptable防火墙详解
08-30
如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些...
iptables教程-linux-iptable防火墙-基本认识.docx
11-29
iptables教程-linux-iptable防火墙-基本认识.docx
iptable防火墙课程设计
01-01
iptable防火墙课程设计 本课程设计主要讨论了iptables防火墙的原理、配置、语法和测试方案。iptables是 LINUX操作系统中的一款防火墙软件,通过安装特定的防火墙内核,LINUX操作系统会对接收到的数据包按一定的策略...
"深入探讨iptable防火墙:原理、配置和测试详解"。
三、iptable的相关配置及详细配置过程 管理员可以通过命令行工具来配置iptables规则,具体的配置过程如下: 1. 查看当前iptables规则:使用命令“iptables -L”可以列出当前的iptables规则。 2. 添加规则:使用命令...
IP安全策略包(可以当防火墙用)
02-22
可以当防火墙用。一部份是网上下载别人的,在此基础上,本人结合自己多年的网管经验,又加入了部份个人的心得,希望对广大电脑爱好者有用。 用法:1、点击“开始-运行”,输入 gpedit.msc 2、打开“组策略”窗口,在左侧窗口依次展开“计算机配置-windows设置-安全设置-IP安全策略,在本地机器”。 3、右击右侧窗口,选择“所有任务-导入策略”,然后选择借压缩后的firewall.ipsec 4、如果右侧窗口出现了“常用安全策略禁用不必要的端口”项,则表示导入成功。 5、在已经导入的策略上单击右键指派该策略,确定 OK基本上可以预防常见的木马了。采取这种方法可以避免打开防火墙而造成的系统资源大量占用的弊端 。
DIY自己的IPCop全功能防火墙(硬件配置篇)
06-03
DIY自己的IPCop全功能防火墙(硬件配置篇) 如果各位的家中还有以前淘汰下来的那些老古董机器,像Pentium 90那样的计算机,在486时候那可是宝贝,现在可真的是一文不值了。各位是想把这种老机器放在墙角继续与灰尘为伍,还是愿意拥有一台自己的防火墙/路由器,并且了解一台路由器到底是如何工作的,使用淘汰下来的闲置计算机,自己组建一台防火墙/路由器倒不失为一个好主意,特别是对现在几乎每个家庭都连接到因特网上,如果有一台称手的防火墙产品可供你使用,倒也能更好地保证家庭网络的安全性。而且现在大部分基于Linux的防火墙产品都是免费的,对用户来说,在成本上的花费根本可以忽略不计。当然,如果你是那种懒人,什么事都只想一插上电源就完事,那这篇文章的内容可能不适合于你。
禁止国外IP地址防火墙shell脚本
04-10
禁止国外IP地址防火墙。(centos6/7使用) 包含2个文件。一个是国内(中国)地址集,一个是自动加载脚本。把国内地址和当前机器上连接的地址加入白名单。每次重启机器会自动加载白名单。vos软交换、asterisk、freeswitch放到公网上,容易遭受外网攻击。可以使用该脚本防护,禁止国外地址访问攻击。 执行过程:把2个文件上传到服务器任意目录。执行:chomod +x myiptables.sh && nohup sh myiptables.sh 等待1分钟后,即刻生效。如果自己懂的,可以编辑脚本修改自己的黑白名单。
Linux——Iptables防火墙
最新发布
Lemon__ing的博客
04-17 1332
严重的情况,我们又不经常遇见;编写 iptables 规则时使用“-s 源地址”或“-d 目标地址”的形式指定,用来检查数据包的源地址(--source)或目标地址(--destination)。编写 iptables 规则时使用“-1 接口名”和“-0 接口名”的形式,用于检査数据包从防火墙的哪-个接口进入或发出,分别对应入站网卡(--in-interface)、出站网卡(--out-interface)例如,若要丢弃从外网接口(ens33)访问防火墙本机且源地址为私有地址的数据包,可以执行以下操作。
防火墙iptables
m0_71593537的博客
08-20 2876
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包和netfilter的适配性好#查看有没有安装 iptables --version。
IPTABLE:Linux下的网络防火墙
CloudJourney的博客
11-08 2551
IPTABLE是一种网络防火墙,在LINUX下使用,RedHat9.0版本以上自带。它可以实现NAT转换,做上网代理。IPtable位于/sbin/iptables,是Linux防火墙的管理工具,而真正实现防火墙功能的是Netfilter,它是Linux内核中实现包过滤的内部结构。防火墙(firewall)一词本是建筑用语,本意是为了保护建筑物不受火灾侵害的,后来被借鉴到了网络通信领域中,表示保护局域网或主机不受网络攻击的侵害。
Iptables#Iptables加固服务器安全
kakaops_qing的博客
11-05 1726
Iptables加固服务器安全
Iptables防火墙详细介绍
qq_42158153的博客
10-28 872
一:Linux防火墙基础: Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络层防火墙); Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。 1.Netfilter和iptables的区别: Netfilter: 指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(KernelSpace,又称内核空间)的防火墙功能体系; Iptables:指的是用来管理Linux.
详解iptables防火墙
boyuser的博客
11-16 516
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值