iptables 实现主机防火墙(四表五链)
一. 综述iptables
iptables 实际上就是一种包过滤型防火墙。就是通过书写一些接受哪些包,拒绝哪些包的规则,实现数据包的过滤。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
iptables由两部分组成:
1.framework:netfilter hooks function钩子函数,实现网络过滤器的基本框架。
2.rule utils:iptables 规则管理工具
总体说来,iptables就是由“四表五链”组成。
四表:
- filter:过滤,防火墙
- nat :network address translation 网络地址转换
- mangle:拆解报文,作出修改,封装报文
- raw: 关闭nat表上启用的链接追踪机制
五链:
- PREROUTING 数据包进入路由之前
- INPUT 目的地址为本机
- FORWARD 实现转发
- OUTPUT 原地址为本机,向外发送
POSTROUTING 发送到网卡之前
iptables中表与链的对应关系,其实就是一个表中包含哪几个链
二. iptables命令常用方法
iptables [-p table] 链管理 chain
-t table : filter,nat,mangle,raw (默认为 filter)
链管理:
- -F : 清空规则链
- -N:创建新的自定义规则链
- -X : drop 删除用户自定义的规则链
- -P : Policy 为指定链设置默认策略;iptables -t filter -P FORWARD DROP
- -E:重命令自定义链
规则管理:
- -A:蒋新规则添加到指定的链上
- -I:将新规则插入到指定的位置
- -D:删除链上的指定规则
- -R:替代指定链上的规则
查看:
- -L:列表,列出指定链上的指定的规则
-n -v –line-numbers -x 等参数
匹配条件:
基本匹配:
-s 原地址IP
-d 目的IP
-p 协议{tcp|udp|icmp}
-i 数据报文的流入接口
-o 数据报文的流出接口
扩展匹配:-m match_name
–dport PORT:目标端口,可以是单个端口
–sport PORT:源端口
-p udp|tcp|icmp
–icmp-type
0 : echo-reply
8 : echo-request
目标:
-j TARGET:jump至指定的TARGET
- ACCEPT 接受
- DROP 丢弃
- REJECT 拒绝访问
- RETURN 返回调用链
iptables 实现主机防火墙(四表五链)相关推荐
- Linux--firewalld防火墙基础(firewalld和iptables的关系,四表五链,netfilter与iptables的关系,iptables语法与参数,firewalld网络区域)
文章目录 前言 一:Firewalld,iptables概述 1.1:Firewalld简介 1.2:iptables简介 二:Firewalld和iptables的关系 2.1:netfilter ...
- Linux系统管理(3)——防火墙 iptables基本原理 四表五链 NetFilter 概述
Linux防火墙主要就行工作的部分在内核,这个模块叫NetFilter:我们平时配置的iptables是给我们的一个配置界面,我们通过iptables配置规则,配置之后,NetFilter通过这些规则 ...
- Firewalld,iptables概述(netfilter和Firewalld,iptables三者之间的关系,四表五链,Firewalld防火墙的配置方发,SNAT,DNAT了解)
文章目录 Firewalld,iptables概述 Firewalld了解 iptables了解 Firewalld和iptables的关系 netfilter Firewalld.iptables ...
- 云小课 | 守护网络安全不是问题,iptables的四表五链为你开启“八卦阵”
摘要:担心网络基本安全?iptables八卦阵为您守护!本文带您一起了解iptables的相关知识. 网络世界就和现实世界一样,总是会有些不怀好意的"人"出现,扫扫你的端口啊,探测 ...
- iptables总结--理解四表五链/snat/dnat/redirect/synproxy/性能
1. iptables四表五链 四表五链: 链就是位置:共有五个 进路由(PREROUTING).进系统(INPUT) .转发(FORWARD).出系统(OUTPUT).出路由(POSTROUTING ...
- iptables四表五链
本文收录于微信公众号「 LinuxOK 」,ID为:Linux_ok,关注公众号第一时间获取更多技术学习文章. 如下是具有双网卡的Linux服务器,数据入口网卡是eth0,数据出口网卡是eth1: 而 ...
- TCP三次握手、tcp和udp对比、四表五链
(1)简述TCP的三次握手 第一次握手:客户端请求建立连接时,会将标志位SYN置为1,随机产生一个值seq=J,并将该数据包发送给服务器,客户端进入SYN_SENT状态,等待服务器确认. 第二次握手: ...
- 使用iptables实现主机防火墙隔离
#打开主机防火墙 iptables -P -INPUT DROP #集群内部 iptables -A INPUT -s $ip -j ACCEPT #外部系统访问限制 iptables -A INPU ...
- Iptables与Firewalld防火墙
转载来自:http://www.linuxprobe.com/chapter-08.html tcp,udp都是网络传输协议,承载数据包传输的.tcp是可靠传输,有3次握手机制保证数据传输的可靠性.如 ...
- RH254-第二十六节-iptables和firewalld防火墙
防火墙管理工具 保证数据的安全性是继可用性之后最为重要的一项工作,防火墙技术作为公网与内网之间的保护屏障,起着至关重要的作用.面对同学们普遍不了解在红帽RHEL7系统中新旧两款防火墙的差异,认识在红帽 ...
最新文章
- 信息系统管理工程师考前复习笔记三
- datatables ajax刷新数据
- 学习笔记(十七)——redis(CRUD)
- OpenCV YOLO DNN(yolo_object_detection)
- Oracle行列转换的思考与总结
- 考研复习安排——第一阶段末
- [译] 如何在东南亚拓展您的应用业务
- Python基础6:深浅拷贝
- SolidWorks转3DMAX再到Unity3D的转换模型及单位设置
- 一个据说可以让瑞星ravmond.exe崩溃的网站
- 谷歌云计算技术基础架构,谷歌卷积神经网络
- SNS网店软文推广法
- Redis——过期时间/过期回收策略
- VS 报错error C3872: “0xa0”: 此字符不允许在标识符中使用
- 安卓混淆-微信混淆同款
- vue 文档.PDF无法预览解决方法
- yun2win发布即时通讯云IM,做最安全的即时通讯云!
- 北京电台“广播三下乡” 徐德亮演唱传统曲艺
- 三维计算机动画,三维计算机动画的设计
- 使用 Jquery AjaxUpload 上传图片
热门文章
- R语言使用epiDisplay包的roc.from.table函数可视化临床诊断表格数据对应的ROC曲线并输出新的诊断表(diagnostic table)、输出灵敏度、1-特异度、AUC值等
- vuecli3代码压缩混淆使用uglifyjs压缩JS
- 水晶报表html,水晶报表教程:手把手教你制作基本报表
- 00002__失恋卖茶女
- linux .cache目录,关于linux系统下的cache Memory
- Entity Framework Core系列教程-1
- cocos creator--DragonBones 骨骼动画入门
- STC15F104W 使用 315/433 MHz 超再生模块发送/接收数据
- 音箱后面接口 COM 8欧 70V 100V
- 小程序源码:收款码三合一制作