netfilter/iptables 指南

最新推荐文章于 2025-09-11 20:16:21 发布
转载 最新推荐文章于 2025-09-11 20:16:21 发布 · 71 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/877567/blog/225102
文章标签:

#网络 #python

本文深入探讨了Linux内核中的netfilter和iptables模块,详细介绍了其历史演变、基本概念、核心组件及其操作方法。通过具体实例展示了如何启用、停用和管理各种表与链,为系统管理员提供了宝贵的实践指导。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

netfilter/iptables

简述历史

  • kernel 2.0.x IPfwadm
  • kernel 2.2.x IPchains
  • kernel 2.4.x Netfilter
  • kernel 3.13.x NFtables

iptables基础

netfilter/iptables 分别是内核态模块和用户态工具,管理员通过iptables给netfilter变更规则

netfilter/iptables 预设的表和链

  • 内置了五个表,分别是 filter, nat, mangle, raw, security 分别对应的内核模块是 /lib/modules/x.x.x/kernel/net/ipv4/netfilter/ 目录下的

<pre> iptable_filter.ko iptable_nat.ko iptable_mangle.ko iptable_raw.ko iptable_security.ko </pre>

  • 预设了五个chain 分别是 POSTROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING 可以用通过 iptable -t table_name -L 来查看,详见 man iptables

iptables 的启用与停用

以 默认的filter为例

<pre> 启用filter表:modprobe iptable_filter 启用filter表:modprobe -r iptable_filter </pre>

命令基本格式

iptables 语法分成三部分:

命令动作条件准则处置方式
iptables-AINPUT -p tcp --dport 22-j ACCEPT
  • iptables的基本操作

<pre> (iptable 命令默认约定 如果 -t 参数不指定 默认是 -t filter ) iptables -t filter -L # 列出filter表所有chain的规则 iptables -t filter -F # 清除所有默认 chain的规则 iptables -t filter -N # 新增自定义的chain iptables -t filter -X # 清除自定义的chain的以及对应的规则 iptables -t filter -P # </pre>

  • 查看规则 iptables-save

<pre> # Generated by iptables-save v1.4.12 on Tue Apr 22 14:55:51 2014 *filter :INPUT ACCEPT [1689:106559] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [1608:154769] -A INPUT -s 192.168.1.0/32 -p tcp -m multiport --dports 80 -j ACCEPT -A INPUT -p tcp -m multiport --dports 80 -j DROP COMMIT # Completed on Tue Apr 22 14:55:51 2014 # Generated by iptables-save v1.4.12 on Tue Apr 22 14:55:51 2014 *raw :PREROUTING ACCEPT [2498:166654] :OUTPUT ACCEPT [2298:219551] COMMIT # Completed on Tue Apr 22 14:55:51 2014 </pre>

转载于:https://my.oschina.net/u/877567/blog/225102

嵌入式 iptables静态编译与动态编译
skdkjxy的专栏
09-22 5610
iptables的移植     Linux下支持netfilter机制的配置工具就是iptables,它也就相当与一个应用程序,可以对netfilter进行配置(包过滤规则,NAT等等)。所以要实现netfilteriptables)就要从两方面来着手:1)内核支持netfilter;2)用户层的iptables配置命令。 1)        编译内核,支持netfilter  在
go-nfqueue:c绑定免费API,用于golang与netfilter的队列子系统进行通信
05-08
进场 这是go-nfqueue ,它是用编写的。 它为基于netfilter的队列子系统提供了无绑定的API。 礼遇 该软件包直接从内核处理信息,因此需要特殊的特权。 您可以通过调整CAP_NET_ADMIN功能来提供此特权。 setcap 'cap_net_admin=+ep' /your/executable 有关文档和更多示例,请查看。 要求 的Go版本
Netfilteriptables命令详解,从入门到精通
meihualing的专栏
05-09 3398
iptables命令详解
[Linux用户空间编程-5]:用IPTable实现NAT功能_iptable nat
2401_86402190的博客
09-10 802
在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改, 更为确切的说,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)恰恰是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的操作。
【Linux】iptables的内核模块问题大坑!
热门推荐
zclinux的博客
11-23 4万+
系统环境 CentOS 6.5 今天本来可以平静的度过一天,正品味着下午茶的美好,突然接到防火墙iptables的报警。 进入到服务器中,执行下面的命令查看,结果报错 /etc/init.d/iptables restart iptables: Applying firewall rules: iptables-restore v1.4.7: iptables-restore: un......
iptables 与 ip6tables 命令依赖的内核模块
龙瑜的博客
12-14 4273
--show-depends List the dependencies of a module (or alias), including the module itself. This produces a (possibly empty) set of module filenames, one per line, each starting with "insmod" and is typically used by distribution...
FATAL: Module iptable_nat not found解决办法
scaleqiao的专栏
06-25 9340
当你在系统中执行modprobe iptable_nat,系统报错FATAL: Module iptable_nat not found时,说明你的内核中没有编译这个模块,你需要重新编译内核。这里介绍一下Centos下使用make menuconfig如何添加NAT相关模块。 1)依次进入Networking support -> Networking options -> Network pa
iptable配置nat
weixin_34405925的博客
10-09 872
网络环境: #dtcenter服务器 :eth0:192.168.133.200(可达IP) eth1:内网IP - 12.2.0.200 #mysql服务器:内网IP - 12.1.0.7 #0.0.0.0 -> 192.168.133.200:63306 <-> (12.2.2.200->12.1.0.7:3306) iptables -t nat -A PRER...
iptables 高级学习笔记
系统运维
12-23 238
iptables 是与最新的 2.6.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux系统上更好地控制 IP 信息包过滤和防火墙配置。netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决...
Netfilter,iptable与NAT
yazhouren的专栏
06-25 952
原文地址:http://blog.chinaunix.net/uid-26517122-id-4271711.html 前言 研究Netfilte已经有一段时间了,Netfilter的内核源码也大致看了一遍。这里打算写出来和大家一起分享一下,欢迎大家和我一起探讨。 本系列博文采用的linux内核版本是2.6.32。 Natfilter 是集成到linux内核协议栈中的一套防
iptable设置NAT
髅髅的专栏
07-27 1925
  iptables -A INPUT -i eth1 -j ACCEPT#这一行是让NAT 主机可接收来自内网LAN的数据包echo "1" > /proc/sys/net/ipv4/ip_forward#这一行则是让linux具有router的功能(如果出现bash: /proc/sys/net/ipv4/ip_forward: Permission denied错误 可以现bash 在执行)
[Linux用户空间编程-5]:用IPTable实现NAT功能
文火冰糖(王文兵)的博客
03-11 2725
作者主页(文火冰糖的硅基工坊):文火冰糖(王文兵)的博客_文火冰糖的硅基工坊_优快云博客 本文网址: 目录 前言: 第1章 NAT功能概述 1.1 什么是NAT 1.2 为什么要进行NAT 1.3 NAT的类型 第2章 IP Table概述 2.1 IP Table概述 2.2. Iptable的链和表结构 2.3 五个链(chain) 2.4四个表(table) 2.5详细的数据包流程 2.5 IP Table操作命令处理流程 第3章 IP Table对Nat的支持命...
初探BSD的ipfw防火墙
系统运维
03-17 2349
使用Mac OS X已经半年多了,很炫是真的,很悬也不假!Mac有太多太多的特性值得让你花大量的时间仔细琢磨,用起来让你自豪的找不着北,最终你会深信自己是一个很时尚的人...我承认自己很土,也不是什么果粉,更不是什么达人,因此我除了使用Mac最基本的功能外,几乎没有去深究其它。突然间,我发现Mac居然是一个BSD,虽然这个事实我早就知道,但是也只有在我在命令行敲入man ipfw的时候,我才真的想...
Netfilter使用说明
hannick的专栏
11-21 997
深入Linux网络核心堆栈:http://blog.xdnice.com/user5/34412/archives/2007/64045.shtmlhttp://www.huihoo.org/joyfire.net/5-1.html#I432 
【计算机网络 | 第12篇】网络应用原理
在代码与逻辑的星河里,捡拾技术的微光
09-10 848
本文带你了解网络应用原理及其发展历程
打印机已联网,但打印机显示“未连接”,解决方案
qq_40230540的博客
09-08 458
在弹出来的窗口中,选择 “Standard TCP/IP Port”,然后点击 “新端口” (New Port…在 “打印机名或IP地址” 栏中,输入您刚才从打印机配置页上找到的IP地址(例如192.168.1.105)。找到您的打印机图标,右键点击它,选择 “打印机属性” (注意不是单纯的“属性”)。打印机已联网,电脑未正确指向打印机的IP地址,也会显示“未连接”,查看方式改为“大图标”或“小图标”,找到并点击 “设备和打印机”。如果无法重启,可以先选择 “停止”,等待几秒后,再选择 “启动”。
华为交换机VLAN技术基础1(VLAN划分及跨交换机相同VLAN的通信技术)
最新发布
sdszoe4922的博客
09-11 314
伊拉克战争(25国家)----GPS导航问题【全球四大:GPS,北斗,伽利略,格林纳斯】,印度洋大海啸(非常严重)-----新加坡安然无患;SAS非典疫情--------PC1和PC3属于同一VLAN 10,但目前还是不能通信(原因是SW1和SW2的链路还没有配置为trunk,目前的链路只允许VLAN1的数据通过)将接口添加到指定的VLAN中:步骤(先进入接口模式,然后修改链路类型为会话模式,添加该接口进入默认的VLAN中)我们就是做通信(数据通信),专业于通信安全(网络和信息安全)。(全网可以直接通信)
Linux Netfilter/Iptables防火墙技术详解与搭建指南
Iptables则是在Netfilter之上的一层用户空间接口,它提供了一个命令行工具,使得管理员能够方便地定义和管理防火墙规则,执行诸如拒绝或允许特定类型的网络流量等操作。 包过滤是Netfilter的基础技术之一,它根据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值