iptables

最新推荐文章于 2024-05-26 20:52:11 发布
最新推荐文章于 2024-05-26 20:52:11 发布
阅读量288 收藏
点赞数 1
文章标签: linux 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52977377/article/details/121549770
版权

1.iptables和netfilter

netfilter是一套数据包过滤框架,通过hook的5个钩子函数来处理IP数据包

ip_tables是真正的内核防火墙模块,通过把自己的函数注入到netfilter的框架中来实现

防火墙功能。

iptables有4个表,raw,mangle, nat,filter

有5个链PREROUTING,INPUT,FORWORD,OUTPUT,POSTING,这5条链就是iptables填到netfilter中的5个钩子函数

其中

PREROUTING OUTPUT的链中的规则可以存放到表raw中

FORWARD,INPUT,OUTPUT的链中的规则可以存放到表filter中

PREROUTING,POSTROUTING,OUTPUT链中的规则可以存放到nat表中

PREROUTING,POSTROUTING,OUTPUT,INPUT,FORWARD链中的规则可以放到mangle表中

 

2.数据包的处理过程

(1)数据包进入IP协议栈先进行IP校验,完成校验以后,数据包被第一个钩子函数PRE_ROUTING处理。

(2)进入路由模块,由其决定该数据包是转发出去还是送给本机。

(3)若该数据包是送给本机的,要经过INPUT处理后传递给本机的上层协议,

若数据包被转发,则它将被钩子函数FORWARD处理,然后还要经钩子函数POST_ROUTING处理后才能传输到网络。

(4)本机进程产生的数据包要先进行OUTPUT处理后,再进行路由选择处理,然后经过钩子函数POST_ROUTING处理后再发向网络。

(5)其中的路由判断是通过数据包的目的地址来判断的。

3.连接跟踪

nat表中还包含了conntrack模块,该模块可以对数据包做的nat变换进行进行缓存,还可以记录连接的状态,对应的状态有如下几个:

INVAILD,表示分组对应的连接是未知的;

ESTABLISHED,表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立;

NEW,表示这个分组需要发起一个连接,或者说,分组对应的连接在两个方向上都没有进行过分组传输;

RELATED,表示分组要发起一个新的连接,但是这个连接和一个现有的连接有关,例如:FTP的数据传输 连接和控制连接之间就是RELATED关系。

而数据包在iptables进行nat转换时,也是先查连接跟踪中的缓存,然后再查nat表。

支持的协议包含TCP、UDP、ICMP、DCCP、SCTP、GRE

   每一个连接在连接跟踪的缓存中都有两条记录,一个是原始方向的称为IP_CT_DIR_ORIGINAL,另外一个是回复方向的称为IP_CT_DIR_REPLY,这样当此条连接的回复报文过来后就可以很快确认数据包属于哪条连接。

  因此,对于主动内网snat一个ip访问出去只需要一条snat规则,回包会通过reply的记录进行翻转变换,或外网dnat访问内网的某个服务时,也只需要一条dnat规则也是这个原因。

iptable 详解_iptable详解
weixin_39852688的博客
12-21 1162
查看iptables状态-重启iptables 所在目录 /etc/sysconfig/iptablesservice iptables status 查看iptables状态service iptables restart iptables服务重启service iptables stop iptables服务禁用启动iptablesmodprobeip_tables关闭iptables(关闭命...
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
二)洞悉linux下的Netfilter&iptables:内核中的ip_tables小觑
hanyingzhong的专栏
03-29 774
http://www.2cto.com/Article/201206/136645.html 二)洞悉linux下的Netfilter&iptables:内核中的ip_tables小觑 2012-06-21 13:02:30     我来说两句       收藏  我要投稿 上一篇:http://www.2cto.com/Article/201206/136644.html
IP_TABLES
C365_ShiTu_CEU
05-02 1401
什么是防火墙 防火墙是一套能够在两个或两个以上的网络之间,明显区隔出实体线路联机的软硬件设备组合。被区隔开来的网络,可以透过封包转送技术来相互通讯,透过防火墙的安全管理机制,可以决定哪些数据可以流通,哪些资料无法流通,藉此达到网络安全保护的目的。 防火墙产品可以归类为硬件式防火墙和软件式防火墙,但实际上无论是硬件式或软件式防火墙,它们都需要使用硬件来作为联机介接,也需要使用软件来设定安全政策,严格
ip_tables.h 分析
tianyu的专栏 - Linux site:blog.youkuaiyun.com/wishfly
01-22 2342
ip_tables.h 分析作者:王灏 文章来源:西安交通大学 点击数: 182 更新时间:2004-10-301 /* 2 * 25-Jul-1998 Major changes to allow for ip chain table 3 * 4 * 3-Jan-2000 Named tables to allow packet selection
linux之ip_tables
weixin_33845881的博客
09-23 97
iptables内建表:filter -- 管理本机数据进出nat -- 管理防火墙内部的计算机mangle -- 管理特殊标志 filter的内建链:INPUT: 与进入主机的封包有关OUTPUT: 与主机要发送出的封包有关FORWARD: 将封包传递到防火墙后的主机 nat的内建链:PREROUTING: 进行路由判断前的规则POSTROUTING: 进行路由判断后的...
Linux 防火墙 IPtables 全攻略》.pdf
10-27
Linux防火墙iptables是一种基于内核的防火墙软件,具有网络流量过滤功能。iptables主要通过NetFilter来实现规则的存放和执行,而iptables则运行在用户空间,负责定义规则并将它们传递给NetFilter。iptables中的规则...
iptables-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptablesLinux系统中用于配置和管理防火墙规则的工具。在本次提供的rpm压缩包文件中,包含了iptables及其依赖的rpm安装包。该压缩包的文件名为"iptables-1.4.21-35.el7.x64-86.rpm.tar.gz",解压后会得到一系列rpm...
iptables-services-1.4.21-35.el7.x64-86.rpm.tar.gz
最新发布
01-26
iptables是一种在Linux系统中广泛使用的用于配置和控制防火墙规则的工具,它工作在内核空间的netfilter模块上,是许多Linux发行版中默认的防火墙管理器。iptables-services-1.4.21-35.el7.x86_64.rpm是iptables服务...
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz 是一个包含多种rpm包的压缩文件,用于在Linux系统的RPM包管理系统上安装iptables开发环境所需的文件。iptables是一个用于配置Linux内核防火墙的命令行工具,广泛...
iptable详解
weixin_33742618的博客
01-04 155
查看iptables状态-重启iptables 所在目录 /etc/sysconfig/iptablesservice iptables status 查看iptables状态service iptables restart iptables服务重启service iptables stop iptables服务禁用启动iptables  modprobe ip_table...
防火墙iptables
m0_71593537的博客
08-20 2944
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包和netfilter的适配性好#查看有没有安装 iptables --version。
防火墙之iptables详解
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
10-26 1481
1、iptables 五链四表 1.1、iptables提供的链(chain) 1.2、iptables提供的表(table) 1.3、链和表的关系 1.4、规则匹配执行动作(target) 2、iptables 常用命令 2.1、查看指定表table的规则 2.2、查看指定链chain下指定表table的规则 2.3、常见例子 2.4、清空iptables的所有规则 2.5、增加规则 2.6、删除规则 2.7、修改规则 2.8、保存规则 3、常见命令参数介绍
linux中防火墙的ip tables方式
橙汁Iter的博客
12-13 1233
本篇写的就是防火墙的ip tables的管理方式,在这之前,我们需要了解一下ip tables的定义 一、定义 防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑...
iptables详细讲解及用法
wyf_wyf_001的博客
05-26 2280
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
iptables详解(图文)
热门推荐
Linux的成长历程
11-13 6万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
iptables详解
Careless的博客
09-30 1万+
iptables详解 目录iptables详解iptables 介绍iptables 总览Iptables 解析常用的 iptables 命令SNAT与DNAT iptables 介绍 iptablesLinux 中比较底层的网络服务,它控制了 Linux 系统中的网络操作,在 CentOS 中的 firewalld 和 Ubuntu 中的 ufw 都是在 iptables 之上构建的,只为了简化 iptables 的操作,因此,对于学习了解 iptables 对我们了解 firewalld 和 u
iptables命令使用详解
weixin_46082443的博客
04-08 1351
iptables命令使用详解 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四表五链”及“堵通策略” A.“四表”是指,iptables的功能——filter, nat, mangle, raw. filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的
iptables命令详解和举例(完整版)
09-07 5万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

三少和左眼皮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值