linux系统防火墙追加篇——iptables

最新推荐文章于 2025-05-16 10:16:29 发布
最新推荐文章于 2025-05-16 10:16:29 发布
阅读量470 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: 防火墙 iptables 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42446031/article/details/88895222

在前面我们已经学习过了系统的防火墙,我们讲过redhat7以上的防火墙软件有两个,分别是firewalld和iptables,上一片我们讲的是firewalld,具体可见firewalld,那么今天我们来了解一下另一个防火墙软件iptables

iptables?

IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。
虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。
netfilter 组件也称为内核空间(kernelspace),是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。
iptables 组件是一种工具,也称为用户空间(userspace),它使插入、修改和除去信息包过滤表中的规则变得容易。除非您正在使用 Red Hat Linux 7.1 或更高版本,否则需要下载该工具并安装使用它。

iptables过滤规则的四表五链

在iptables中对于内外信息的规律时有一定的规则的,对于不同的需求有不同的规则结构,而我们常将这种规则结构称为“四表五链”
在这里插入图片描述

raw表

raw 有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能。

filter表

filter 主要和自身有关,主要负责防火墙功能 过滤本机流入流出的数据包是默认使用的表
input 负责过滤所有目标地址是本机地址的数据包,就是过滤进入主机的数据包
forward 负责转发流经主机但不进入本机的数据包,和NAT关系很大
output 负责处理源地址的数据包,就是对本机发出的数据包

NAT表

NAT 负责网络地址转换,即来源于目的IP地址和端口的转换,一般用于共享上网或特殊端口的转换服务
snat 源地址转换
dnat 目标地址转换
pnat 目标端口转换

mangle表

最低0.47元/天 解锁文章

200万优质内容无限畅学
iptables(3)规则管理(新增、插入、修改、删除、保存)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-20 4068
上一文章中,我们已经介绍了怎样使用iptables命令查看规则,那么这文章我们就来介绍一下,怎样管理规则,即对iptables进行”增、删、改”操作。注意:在进行iptables实验时,请务必在个人的测试机上进行,不要再有任何业务的机器上进行测试。在进行测试前,为保障我们环境的纯粹性,我们需要将iptables清空,以便进行后续的各项实验测试。可以通过一下命令清空防火墙规则。
Linux——iptables防火墙
nwp0611的博客
06-01 1624
Linux系统防火墙:IP信息包过滤系统,它实际上由两个net filter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
Linux系统iptables
yangye2424637628的博客
07-31 2835
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作。
iptables防火墙
最新发布
king05yh的博客
05-16 1441
编写 iptables 规则时使用“-i 接口名”和“-o 接口名”的形式,用于检査数据包从防火墙的哪-个接口进入或发出,分别对应入站网卡(–in-interface)、出站网卡(–out-interface)例如,若要丢弃从外网接口(ens160)访问防火墙本机且源地址为私有地址的数据包,可以执行以下操作。链内的过滤遵循“匹配即停止”的原则,一旦找到一条相匹配的规则(使用 LOG 日志操作的规则除外),则不再检査本链内后续的其他规则。而决定是否过滤或处理数据包的各种规则,则是按先后顺序存放在各规则链中。
linux iptables新增和保存
黄啊码
09-22 6875
Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 方法一,过滤一些IP访问本服务器 要封停一个IP,使用下面这条命令:  代码如下 复制代码 iptables -I INPUT -s ***.***.***.*** -j DROP 要解封一个IP,使用下面这条命
linux防火墙——iptables
gua_da的博客
02-20 1009
iptables学习
Linux进阶iptables详细教程:概念&作用与使用方法
热门推荐
qq_39241682的博客
04-09 1万+
Linux系统中,iptables是一种非常重要的防火墙工具,它可以帮助我们管理网络流量,保护系统安全。本教程将详细介绍iptables的概念、作用以及使用方法,帮助您更好地理解和掌握这一强大的工具。iptablesLinux系统中的一个用户空间工具,用于配置内核提供的IPv4和IPv6包过滤功能。它允许系统管理员根据预定义的规则对网络流量进行控制,从而实现对系统的保护。本教程详细介绍了iptables的概念、作用以及使用方法,希望能帮助您更好地理解和掌握这一强大的Linux防火墙工具。
Linuxiptables防火墙
A6985HG的博客
07-30 2276
在当今的互联网当中,许多企业会通过架设个各种应用系统来为用户提供各种的网络服务,比如web网站、FTP服务器、数据库系统等等。那么如何来保护这些服务器,过滤企业不需要的访问甚至是恶意入侵呢??下文会详细的解决这个问题~~Linux防火墙体系主要工作在网络层,针对 TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙,(或称为网络层防火墙)。Linux系统防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,也因此获得广泛的应用。。
Linux防火墙-Netfilter和iptables
flytalei的博客
07-11 847
防火墙(FireWall ) :隔离功能,工作在网络或主机边缘,对进出网络或主机的数据包基于一定的规则检查,并在匹配某规则时由规则定义的行为进行处理的一组功能的组件,基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略,会将希望外网访问的主机放在DMZ(demilitarized zone)网络中.
防火墙——iptables防火墙
.銀河狙擊手的博客
01-16 1615
目录 一: iptables 概述 1.1 iptables 的组成和工作位置 1.2 netfiler 和 iptables 的关系 1.3 四表五链 1.3.1 四表 1.3.2 五链 1.3.3 规则表的匹配顺序 1.3.4 规则链之间的匹配顺序 二: 编写防火墙规则 2.1 安装iptables防火墙 2.2 iptables 的配置方法 2.2.1 命令行配置格式 2.2.2 常用控制类型 2.2.3 常用管理选项 2.2.4匹配条件 2.2.5 添加,查看,删
iptables】增加规则和删除规则
m0_56573171的博客
12-28 6797
看来顺序很重要,如果报文已经被前面的规则匹配到,iptables则会对报文执行对应的动作,即使后面的规则也能匹配到当前报文,很有可能也没有机会再对报文执行相应的动作了,就以上图为例,报文先被第一条规则匹配到了,于是当前报文被”放行”了,因为报文已经被放行了,所以,即使上图中的第二条规则即使能够匹配到刚才”放行”的报文,也没有机会再对刚才的报文进行丢弃操作了。-F选项为flush之意,即冲刷指定的链,即删除指定链中的所有规则,但是注意,此操作相当于删除操作,在没有保存iptables规则的情况下,请慎用。
linux iptables 脚本,Linux实用iptables脚本
weixin_35792040的博客
05-05 325
有一段时间木有回来写博客了,最近比较忙又或者是本人不是太习惯写作,这次趁着空闲特上来写一次博客,这次回来主要是这段时间要弄一些基本的防御,能抵御轻量级的***,所以特写个iptables的脚本,如有不好的地方,见谅,不废话了,直接上代码:#!/bin/bash##适用于Web等服务的Linuxiptables防火墙脚本。#根据网上的一些脚本整理而来###注意1:该脚本需要根据实际情况修改后...
Iptables防火墙访问策略
杨柳升
09-25 868
IPTABLES 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在linux内核中.数据包过滤表中,规则被分组放在我们所谓的链(chain)中. iptables5个链 INPUT:入站规则 OUTPUT:出站规则 FORWARD:转发规则 PREROUTING:路由前规则 POSTROUTING:路由后规则 过滤匹配流程 规则链内匹...
(转)iptables常用命令
fonter
07-01 118
常用命令列表: 命令 -A, --append 范例 iptables -A INPUT ... 说明 新增规则到某个规则炼中,该规则将会成为规则炼中的最后一条规则。 命令 -D, --delete 范例 iptables -D INPUT --dport 80 -j DROP iptables -D INPUT 1 说明 从某个规则炼中删除一条规则,可以输入完整规则,或直接指...
iptables 基础知识与命令速查
2402_83140078的博客
05-07 1486
当一条链中的规则数量非常多时,有针对 httpd ,也有针对 sshd 的,这样我们维护 iptables 规则就非常痛苦。而自定义链,就是用 iptables 链的方式,来实现 “规则” 分组的功能。使用如下命令来新建自定义链而此时还没有其他链引用 IN_WEB ,因此会显示引用自定义链,就是把该链当成和 ACCEPT、REJECT 一样的动作就行。意思是:匹配上的报文全部发往这些链中。若想把 IN_WEB 的链名改成 WEB ,可以使用-E参数若想删除自定义链,可以使用-X命令。
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4287
本文主要内容是Linux iptables防火墙的基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
iptables mangle使用
qq_41167620的博客
01-02 673
通过mangle对报文添加标记,路由规则根据mark值控制匹配路由。
LINUXIPTABLES配置详解
eagle89的专栏
04-08 3695
LINUXIPTABLES配置详解
Linux中阶—常用配置iptables(一)
亓荼的博客
04-17 2815
防火墙是整个数据包进入主机前的第一道关卡。防火墙主要通过Netfilter与TCPwrappers两个机制(来源于linux 内核)来管理
linux防火墙策略
01-07
### Linux防火墙策略配置 #### 使用 `iptables` 进行基本配置 对于传统的 `iptables` 工具而言,其提供了强大的命令行接口用于定义网络流量规则。每条规则可以指定允许或拒绝特定类型的流量。 要查看当前的 `iptables` 规则集: ```bash sudo iptables -L -v ``` 为了创建一条新的入站规则以接受来自特定IP地址的数据包,可执行如下命令[^1]: ```bash sudo iptables -A INPUT -s 192.0.2.42 -j ACCEPT ``` 此操作会追加(`-A`)一条针对输入链(`INPUT`)的新规则到现有列表末端;该规则匹配源自给定 IP 地址 (`-s`) 的所有数据包并将其接收 (`-j ACCEPT`)。 如果希望阻止除上述已许可连接外的所有其他传入请求,则需添加另一项指令来实现这一目的: ```bash sudo iptables -A INPUT -j DROP ``` 这将在最后的位置加入一项丢弃任何未被先前规则明确接纳之流入通信量的动作。 #### 利用 `firewalld` 实现更灵活控制 相比之下,在较新版本的 CentOS 和 Fedora 发行版上,默认采用的是更为现代化的服务——`firewalld` 。它不仅支持动态更新而无需重启服务本身,还引入了区域(zone)的概念以便于分类管理不同信任级别的网络环境[^2]。 启动与启用 `firewalld` 服务可以通过下面两条命令完成: ```bash sudo systemctl start firewalld sudo systemctl enable firewalld ``` 假设想要开放 HTTP (80/tcp) 访问权限,只需运行下列语句即可生效: ```bash sudo firewall-cmd --zone=public --add-service=http --permanent sudo firewall-cmd --reload ``` 这里指定了公共区作为应用对象(`--zone=public`),并通过永久性方式(`--permanent`)向其中添加 Web 浏览器访问所需的服务类型(`http`)。之后重新加载配置使更改立即起作用。 #### 包过滤机制概述 无论是通过 `iptables` 还是 `firewalld` ,底层都依赖于包过滤技术来进行细粒度的安全防护措施实施。这种类型的防火墙依据预设条件筛选进出系统的每一个 TCP/IP 数据报文片段,从而有效抵御潜在威胁入侵风险[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值