iptables初步总结

最新推荐文章于 2025-12-08 09:15:53 发布
原创 最新推荐文章于 2025-12-08 09:15:53 发布 · 775 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Linux防火墙iptables的工作原理及应用场景,包括其钩子函数、链表管理、规则配置及扩展选项等内容。

iptables是Linux中的防火墙,在Linux中可以过滤数据包。下面简单的介绍下iptables的应用。

①iptables在Linux中有五个钩子函数(hook function)

PREROUTING:数据包进入了主机,但是还没有被路由的阶段。

INPUT:数据包进入到主机内部。

FORWARD:数据包将由从本主机转发出去。

POSTROUTING:数据包马上由本级发送出去。

OUTPUT:数据包从本主机发送出去。

②iptables在Linux中的四个链

fileter:可以应用在 INPUT FORWARDOUTPUT上面

nat:可以应用在PREROUTINGPOSTROUTING OUTPUT上面

mangle:可以应用在PREROUTINGPOSTROUTING OUTPUT INPUT FORWARD。

raw:可以应用在PREROUTINGOUTPUT上面。

③iptables通用匹配

-s:指定过滤数据包的源地址。

-d:指定过滤数据包的目标地址。

-p:指定过滤的协议类型。

-i:指定过滤的数据包进入的网卡接口。

-o:指定过滤的数据包流出的网卡接口。

-j:对指定的数据包的动作

I:ACCEPT---------接受指定的数据包。

II:DROP----------丢弃指定的数据包。

III:REJECT-------丢弃指定的数据包。

eg:对192.168.5.1访问192.168.5.10的http数据包进行丢弃的操作

iptables –A INPUT –s 192.168.5.1 –d192.168.5.10 –p tcp --dport 80 –j DROP

eg:对192.168.5.1访问192.168.5.10的http数据包进行接受的动作

iptables –A INPUT –s 192.168.5.1 –d192.168.5.10 –p tcp –doprt 80 –j ACCEPT

iptables –A OUTPUT –s 192.168.5.10 –d192.168.5.1 –p tcp –sport 80 –j ACCEPT

在对接受的数据包进行处理的时候,需要注意的是数据包一来一回的双向处理。

对自定义的iptables规则就行保存

service iptables save

iptables –L –nv  --line-numbers //查看自定义的防火墙规则。

④管理规则

-A:添加一条规则,添加的位置在规则的末尾。

-I:添加一条规则,如果省略添加的位置,默认的添加的位置在规则的最上方。

-D:删除一条规则。

-R:对某条指定的规则进行修改。

对链进行管理:

-F:清空一条链上面的所有的规则。

-P:更改制定链的默认规则。

-N:自定义一条新的空链。

-X:删除一个自定义的空链。

 

 

⑤扩展选项使用

eg:对于http的服务请求,192.168.5.1服务器段进行连接状态的控制

iptables –A INPUT  -d 192.168.5.1 –p tcp –dport 80 –m state–state NEW,ESTABLISHED –j ACCEPT

iptables –A OUTPUT –s 192.168.5.1 –p tcp–sport 80 –m state –state ESTABLISHED –j ACCEPT

//服务器对于INPUT服务器的NEW和ESTABLISHED状态的报文给予响应,对于OUTPUTon服务器的报文只响应ESTABLISHED类型的报文。

eg:多端口的相应

iptables –A INPUT –d 192.168.5.1 –p tcp –m–multiport –destination-ports 21,22,80 –m state –state NEW,ESTABLISHED –jACCEPT

//在INPUT链上给予21,22,80端口并且是NEW或者是ESTABLISHED的报文放行处理。

eg:编写规则,一个IP地址的ssh连接最多可以有三个。当超过三个的时候过5分钟之后在进行连接处理。

iptables –A INPUT –d 192.168.5.1 –p tcp–dport 22 –m connlimit –connlimit-above 3 –j DROP

iptables –A INPUT –d 192.168.5.1 –p tcp–dport 22 –m state –state NEW –m recent –set –name SSH //记录访问ssh的新的连接,记录来源IP地址。

iptables –A INPUT –d 192.168.5.1 –p tcp–dport 22 –m state –state NEW –m recent –update –seconds 300 –hitcount 3 –nameSSH –j DROP //当超过三次之后,300秒内不许连接—seconds和—hitcount 必须和—update一起使用。

eg:在请求http的过程中,如果请求的页面还有H7N9则不允许显示

iptables –A OUTPUT –d 192.168.5.1 –p tcp–dport 80 –m string –algo kmp –string “H7N9” –j DROP

//注意方向是OUTPUT方向。

⑥nat:

DNAT:目标地址转换

SNAT:源地址转换

eg:访问外网时,将192.168.5.0/24地址转化为172.16.10.1

iptables –A POSTROUTING –s 192.168.5.0/24 –jSNAT –to-source 172.16.10.1

iptables –A POSTROUTING –s 192.168.5.0/24 –jSNAT MASQUERADE //如果需要转化的地址是一个动态变化的地址,那么可以使用MASQUERADE来进行自动的转换。

eg:当访问外放的服务器172.16.10.1的时候转换到内网的192.168.5.1进行访问

iptables –A PREROUTING –d 172.16.10.1 –p tcp–dport 80 –j DNAT –to-destination 192.168.5.1

同样可以进行端口映射

iptables –A PREROUTING –d 172.16.10.1 –p tcp–dport 80 –j DNAT –to-destination 192.168.5.1:8080

⑦在打开了iptables的过程中。利用lsmod|grepip 可以查看加载了那些模块。在Linux6.4系统中,在/proc/sys/net/nf_conntrack_max可以查看iptables允许的最大的连接数量。如果一个服务器非常繁忙的话,当连接数量超过了配置文件的数量的时候,那么就会有大量的请求被丢弃。在/proc/net/nf_conntrack中记录了当前连接的状态信息。这些状态信息也可以利用iptstate来查看。

 

初步带你理解netfilter/iptables防火墙,超详细介绍!
渡渡甲的博客
09-21 1111
iptables防火墙 文章目录iptables防火墙前言1. iptables 防火墙1.1 iptables 概述1.2 netfilter/iptables关系2. iptables 的表、链结构2.1 ptables的四表五链结构介绍2.2 数据包过滤的匹配流程3. 编写防火墙规则3.1 iptabes 安装3.2 iptables 基本语法、数据包控制类型3.2.1 iptables 防火墙的配置方法:3.2.2 iptables 命令行配置方法∶3.2.3 数据包的常见控制类型3.3 添加、
iptables使用总结
懒人日志
03-17 1万+
iptables为linux的防火墙提供支持,而android也支持使用iptables创建防火墙。该功能需要ROOT支持。iptables是个好东西,但是各种规则对于刚上手的朋友来说很不友好,一开始会 摸不着头脑。傻东经过一段时间的研究,终于摸着点门道,不敢私藏,更怕 忘记,因此写下此文,与大家分享。本文中的内容是终端下输的命令,不是/etc/sysconfig/iptables中的内容。第一页
iptables总结--理解四表五链/snat/dnat/redirect/synproxy/性能
网络安全研究
11-04 4318
1. iptables四表五链 四表五链: 链就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING); 表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。 1.1 四表 filter表——过滤数据包 Nat表——用于网络地址转换(IP、端口) Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS Raw表——决定数据包是否
iptables 学习总结--匹配条件(四)
纵横四海的博客
06-02 1425
1.指定多个源地址(多个IP之间用,隔开) iptables -t filter -A INPUT -s 192.168.1.111,192.168.1.110 -j ACCEPT 查看结果 [root@localhost ~]# iptables -t filter -vnxL INPUT Chain INPUT (policy ACCEPT 57 packets, 3972 bytes)...
iptables学习心得
u012749168的博客
10-17 2194
iptables: 防火墙分为网络层防火墙和应用层防火墙,网络层防火墙主要针对源地址和目标地址来进行检查。应用层防火墙几乎可以实现所有的检测。七层防火墙虽然更加安全,但是却带来了效率的降低。所以,在不同的场合选择不同的防火墙。 iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的
iptables-总结
sirius
01-13 310
ubuntu下获取内核源码: sudo apt install linux-source下载内核源码到/usr/src目录下 .tar.bz2格式解压为tar -jxvf xx.tar.bz2 iptables命令说明 以下大部分内容总结来源于:http://www.zsythink.net/archives/tag/iptables 每一节前附原博客连接,此处文总结用于温故 =1ipta...
iptables 防火墙(二)
m0_74860678的博客
07-01 1411
SNAT策略的典型应用环境局域网主机共享单个公网IP地址接入InternetSNAT策略的原理源地址转换,Source Network Address Translation修改数据包的源地址开启路由转发,未设置地址转换的情况正常情况下,作为网关的 Linux 服务器必须打开路由转发,才能沟通多个网络。未使用地址转换策略时,从局域网 PC(如 192.168.1.234)访问 Internet 的数据包经过网关转发后其源 IP 地址保持不变,
iptables详解(4):iptables匹配条件总结之一
码灵的博客
11-23 531
经过前文的总结,我们已经能够熟练的管理规则了,但是我们使用过的"匹配条件"少得可怜,之前的示例中,我们只使用过一种匹配条件,就是将"源地址"作为匹配条件。 那么这篇文章中,我们就来了解一下更多的匹配条件,以及匹配条件的更多用法。 注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你无法连接到远程主机中。 匹配条件的更多用法 还是从我们最常用的"源地址"说起吧,我们知道,使用-s选项作为匹配条件,可以匹配报文的...
iptables详解
JL-LOVE
10-23 2232
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件...
【网络】iptables 1 概念
m0_45406092的博客
04-30 414
文章目录Netfilteriptables表的概念表的顺序匹配条件匹配规则 Netfilter 在linux操作系统中,Netfilter组件是集成在linux内核中扩展各种网络服务的结构化底层框架,在内核级提供防火墙功能。内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook fun...
iptables学习笔记.pdf
10-08
### iptables学习笔记知识点概述 ...以上是对iptables学习笔记中提到的关键概念和流程的详细总结。这些知识点是理解并有效配置iptables的基础,能够帮助用户更好地控制网络流量、实现网络安全策略。
2、Linux 防火墙:iptables 的全面指南
rnn9storyteller的博客
11-17 6
本文深入探讨了Linux防火墙工具iptables的全面应用,涵盖其基本原理、表链结构、匹配条件与目标动作,并详细介绍了如何利用iptables防御网络层、传输层和应用层攻击。文章还系统讲解了psad、fwsnort和fwknop等关键安全工具的安装与配置,展示了如何通过日志分析、Snort规则转换和单包授权机制提升系统安全性。同时,结合AfterGlow实现iptables日志的可视化,帮助管理员快速识别潜在威胁,是一份完整的Linux防火墙实践指南。
57、深入解析IP过滤与防火墙:iptables技术详解
最新发布
play7的博客
12-08 7
本文深入解析了iptables技术在IP过滤与防火墙中的核心机制,涵盖规则匹配流程、关键函数如ip_rule_match()和ipt_do_table()的工作原理,并详细介绍了iptables的结构体组织,包括ipt_table、ipt_entry、ipt_tcp等,以及钩子注册和数据包过滤的完整流程。通过mermaid流程图直观展示表复制与过滤执行过程,帮助读者全面理解iptables高效过滤的设计精髓,适用于网络管理员和安全专家优化网络安全策略。
5、网络安全:iptables策略测试与网络层攻防解析
gin88的博客
11-20 4
本文深入解析了iptables策略测试方法及网络层攻防技术,涵盖TCP、UDP和ICMP协议的防火墙规则验证,利用Nmap与hping进行安全测试,并探讨了网络层攻击的三类主要形式:头部滥用、网络栈漏洞利用和带宽饱和攻击。文章详细展示了如何通过iptables日志监控IP头部、选项及ICMP数据包,分析IP欺骗与ICMP扫描等攻击手段,并提出包括防火墙配置、入侵检测、流量监控和应急响应在内的综合防御策略。结合实际DDoS攻击案例,强调构建多层次安全体系的重要性,最后通过mermaid流程图呈现攻击防御的完整
winscp普通用户上传文件没有权限解决
热门推荐
xuejinliang的专栏
08-24 4万+
winscp可以利用sftp协议对linux服务器就行连接,如果是利用普通用户进行登陆的话,上传文件的过程中会出现一些permission denied的提示,并且错误的返回码是3,下面说明下解决方法。 1、查看sftp应用程序的路径为止  cat /etc/ssh/sshd_config  | grep sftp Subsystem sftp /usr/libexec/openssh/sf
root用户修改文件(chown,chmod)提示没有权限
xuejinliang的专栏
01-25 2万+
在系统中有时候会出现即使是root用户,但是在使用chmod命令时或者是chown修改文件属性的时候,会提示没有权限。为什么会出现这种情况呢? 在Linux系统中,如果我们想要保持某些文件即使是root用户也不能更改或者删除的话,我们可以使用chattr来进行修改。 example: chattr +I /etc/fstab 这样之后即使是root用户也不能对其进行修改 查看的话 ls
winscp实现跳板机连接
xuejinliang的专栏
09-19 1万+
winscp实现 google-authentication键盘交互式认证&跳板机实现。 普通用户想利用ftp连接,并且实现上传的话,会出现没有权限的提示,这个问题前面已经解决过,但是现在怎么实现google认证加上跳板机呢。 1、建立跳板机连接   填写好跳板机的地址,端口等信息,注意此处的是跳板机的信息。 2、   其中sftp和shell的设置如果不太明白的话,参考我的另外一个
apache记录真实的访问IP地址
xuejinliang的专栏
11-18 9096
apache记录真实IP地址问题:  在做反向代理的过程中,无论是nginx,lvs调度或者是haproxy在反向代理Apache的过程中,Apache或记录访问日志,但是如果默认不设置的话,记录的日志往往是代理服务器的IP地址信息,因为请求确实是从我们的代理服务器转发给我们的。如果我们想要改变的话,可以向下面的那样子做。 ①nginx中 proxy_set_header   X-Real-
查看某个命令是由那个包提供的
xuejinliang的专栏
10-10 6721
在安装命令的过程中,如果利用yum安装的话,通常的话我们直接yum -y install  (command-name)就可以安装上了,但是同样有时候,并没有同名字的rpm包存在。下面简单的介绍下识别的方法: 如果我们的系统中没有netstat这个命令,所以yum -y install netstat,肯定是安装不上的 [root@node3 xuejinliang]# yum -y inst
Error response from daemon: driver failed programming external connectivity on endpoint plat-admin-ui (7ed389a99a4b18dfc63fab2fb71b5cb8f47964916fd721a6f6ac0f7ba3fcb288): (iptables failed: iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 20002 -j DNAT --to-destination 172.24.0.2:80 ! -i br-c731b8b147e6: iptables: No chain/target/match by that name.
11-14
<think> 首先,用户的问题是基于引用内容,询问如何解决Docker中的特定错误:"iptables: No chain/target/match by that name",这与Docker的编程外部连接性错误相关。引用提供了几个可能的解决方案。 关键错误信息:"iptables: No chain/target/match by that name",这通常发生在Docker尝试管理iptables规则时。 从引用中提取解决方案: - 引用[1]和[3]提到问题可能是iptables规则没有正确设置或意外删除。 - 引用[2]建议: 1. 检查防火墙配置:使用 `iptables -L` 查看。 2. 重启Docker服务:`service docker restart`。 - 引用[4]提到错误:"Failed to Setup IP tables: Unable to enable SKIP DNAT rule",并建议检查iptables规则。 用户需求是解决这个错误,所以我需要提供一个清晰的、结构化的解决方案。 回答结构: 1. **理解问题**:解释错误的原因。 2. **提供解决方案**:逐步指导如何解决。 3. **添加引用**:在相关部分末尾自然添加引用标识。 4. **生成相关问题**:在回答结束后添加相关问题部分。 系统指令要求: - 所有行内数学表达式使用 $...$,但这里没有数学内容,所以不需要。 - 独立公式使用 $$...$$,但这里不需要公式。 - LaTeX语法正确:保持回答中的代码块正确。 - 使用中文回答。 - 生成相关问题:在最后添加。 - 回答结构清晰,逐步解决问题。 用户查询:"我想查找解决Docker编程外部连接性错误及iptables无匹配链/目标/规则错误的方案",所以重点是解决这个错误。 综合引用中的解决方案: - 重启Docker服务:这通常是最简单的第一步。 - 检查iptables规则:使用 `iptables -L` 查看。 - 如果规则缺失,可能需要重置iptables或重新配置Docker。 - 引用[2]提到重启Docker服务。 - 引用[3]提到问题可能与容器启动失败有关。 - 引用[4]建议检查iptables规则。 可能的步骤: 1. 重启Docker服务:`sudo service docker restart` 或 `sudo systemctl restart docker`。 2. 检查iptables规则:`sudo iptables -L` 查看是否正常。 3. 如果问题持续,尝试重置iptables:`sudo iptables -F` (flush rules),但要注意这可能删除所有规则,需要谨慎。 4. 重启系统:有时重启整个系统可以解决问题。 5. 确保Docker的iptables配置正确:Docker默认管理iptables规则,但如果有冲突,可能需要调整。 在回答中,引用相关部分: - 例如,在解释原因时引用[1]。 - 在建议重启Docker时引用[2]。 确保回答真实可靠:基于提供的引用。 最终回答结构: - 引言:解释错误原因。 - 解决方案步骤:逐步列出。 - 结论:确认解决。 - 相关问题:添加一些相关问题。 生成相关问题: 1. 如何防止Docker iptables错误再次发生? 2. Docker网络配置的最佳实践是什么? 3. 除了iptables,还有什么可能导致Docker外部连接失败? 现在,起草回答。 </think>### 解决Docker编程外部连接性错误及iptables "No chain/target/match by that name"错误的方法 当Docker尝试管理网络连接时,如果遇到"iptables: No chain/target/match by that name"错误,通常表示Docker在配置iptables规则时失败。这可能是由于iptables规则被意外删除、Docker服务未正确初始化或系统防火墙配置冲突导致[^1][^3]。以下是基于引用内容的逐步解决方案,帮助您高效修复问题。请按顺序操作,确保操作环境有管理员权限(使用`sudo`)。 #### 步骤1: 重启Docker服务(首选方法) 重启Docker服务是最简单且最有效的初步解决方案,它能强制Docker重新加载iptables规则[^2]。 ```bash sudo systemctl restart docker # 重启Docker服务 ``` - **验证是否解决**:尝试重新启动您的Docker容器(例如 `docker start <容器名>`)。如果错误消失,说明问题已修复。 - **注意事项**:如果重启后问题依旧,请继续下一步。 #### 步骤2: 检查并修复iptables规则 iptables规则缺失是常见原因。使用以下命令检查当前规则: ```bash sudo iptables -L -v # 查看详细的iptables规则链 ``` - **期望输出**:确保`DOCKER`链存在。如果输出中缺少`DOCKER`链或显示"chain not found",则需手动恢复。 - **修复命令**:如果规则缺失,重启iptables服务并刷新规则: ```bash sudo systemctl restart iptables # 重启iptables服务 sudo iptables -F # 刷新所有规则(谨慎操作,可能清除自定义规则) sudo systemctl restart docker # 再次重启Docker ``` 此操作会重置iptables,通常能恢复DOCKER链[^2][^4]。 #### 步骤3: 验证Docker网络配置 确保Docker的网络设置正确,避免与外部连接冲突: ```bash docker network ls # 列出所有Docker网络 docker inspect <网络名> | grep "IPAM" # 检查IP分配 ``` - **常见问题**:如果容器网络子网与宿主机冲突,可能导致连接失败。尝试重建Docker网络: ```bash docker network prune # 清理未使用网络 sudo systemctl restart docker ``` #### 步骤4: 重启系统(最终手段) 如果以上步骤无效,可能是系统级配置错误。重启宿主机以完全重置网络堆栈: ```bash sudo reboot # 重启系统 ``` 重启后,Docker会自动重建iptables规则链[^3]。 #### 验证修复结果 - 测试容器连接:启动一个测试容器(例如 `docker run -it --rm alpine ping google.com`),检查是否能访问外部网络。 - 监控日志:使用 `journalctl -u docker.service` 查看Docker日志,确认无错误输出。 **原因总结**:该错误通常源于iptables规则损坏或Docker服务状态异常。通过重启服务和重置规则,大多数情况下可快速解决[^1][^4]。如果问题复发,建议检查系统防火墙(如firewalld)是否与Docker冲突。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值