iptables 四表五链

最新推荐文章于 2025-04-02 16:20:28 发布
最新推荐文章于 2025-04-02 16:20:28 发布
阅读量3.9k 收藏 24
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 企业集群架构学习 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50119948/article/details/121142309

一、什么是iptables

iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作

Netfilter模块:

它是主要的工作模块,位于内核中,在网络层的五个位置(也就是防火墙四表五链中的五链)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个链位置在对应表中的规则:匹配之后,进行相应的处理ACCEPT、DROP等等。

下面这张图很明了的说明了Netfilter和iptables之间的关系
  在这里插入图片描述

二、四表五链(重要)

四表五链:

链就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING);

表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。

2.1. 具体的四表

filter表——过滤数据包
Nat表——用于网络地址转换(IP、端口)
Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS
Raw表——决定数据包是否被状态跟踪机制处理

2.2. 具体的五链

INPUT链——进来的数据包应用此规则链中的策略
OUTPUT链——外出的数据包应用此规则链中的策略
FORWARD链——转发数据包时应用此规则链中的策略
PREROUTING链——对数据包作路由选择前应用此链中的规则(所有的数据包进来的时侯都先由这个链处理)
POSTROUTING链——对数据包作路由选择后应用此链中的规则(所有的数据包出来的时侯都先由这个链处理)

2.3. 四表五链之间的关系

在这里插入图片描述

三、iptables语法参数

3.1.iptables语法格式

iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型]

3.2.iptables常用参数

-P 设置默认策略:iptables
 
-P INPUT (DROP|ACCEPT)
 
-F 清空规则链
 
-L 查看规则链
 
-A 在规则链的末尾加入新规则
 
-I num 在规则链的头部加入新规则
 
-D num 删除某一条规则
 
-s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
 
-d 匹配目标地址
 
-i 网卡名称 匹配从这块网卡流入的数据
 
-o 网卡名称 匹配从这块网卡流出的数据
 
-p 匹配协议,如tcp,udp,icmp
 
--dport num 匹配目标端口号
 
--sport num 匹配来源端口号

回到顶部

四、常用实例

以下例子大家都可以直接进行根据需求更改使用

1. 删除已有规则
在开始创建iptables规则之前,你也许需要删除已有规则。命令如下:
iptables -F
(or)
iptables –flush
查看已有规则
iptables -nL
 
 
2.设置链的默认策略
链的默认政策设置为”ACCEPT”(接受),若要将INPUT,FORWARD,OUTPUT链设置成”DROP”(拒绝),命令如下:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
当INPUT链和OUTPUT链都设置成DROP时,对于每一个防火墙规则,我们都应该定义两个规则。例如:一个传入另一个传出。在下面所有的例子中,由于我们已将DROP设置成INPUT链和OUTPUT链的默认策略,每种情况我们都将制定两条规则。
当然,如果你相信你的内部用户,则可以省略上面的最后一行。例如:默认不丢弃所有出站的数据包。在这种情况下,对于每一个防火墙规则要求,你只需要制定一个规则——只对进站的数据包制定规则。
 
 
3. 阻止指定IP地址
例:丢弃来自IP地址x.x.x.x的包
BLOCK_THIS_IP="x.x.x.x"
iptables -A INPUT -s "$BLOCK_THIS_IP" -j DROP
注:当你在log里发现来自某ip地址的异常记录,可以通过此命令暂时阻止该地址的访问以做更深入分析
例:阻止来自IP地址x.x.x.x eth0 tcp的包
iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP
iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP
 
 
4. 允许所有SSH的连接请求
例:允许所有来自外部的SSH连接请求,即只允许进入eth0接口,并且目标端口为22的数据包
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
 5<
最低0.47元/天 解锁文章
iptables(原理最强篇)
xuetengbo111的博客
11-30 2529
这里写目录标题一、什么是iptables二、的原理三、iptables语法参数 一、什么是iptables iptables是Linux的防火墙管理工具而已,真正实现防火墙功能的是Netfilter,我们配置了iptables规则后Netfilter通过这些规则来进行防火墙过滤等操作 Netfilter模块: 它是主要的工作模块,位于内核中,在网络层的个位置(也就是防火墙中的)注册了一些钩子函数,用来抓取数据包;把数据包的信息拿出来匹配各个各个位置在对应中的规则:匹配之后,进行相应
iptables入门讲解(
wyyylqy的博客
05-12 664
iptables 是 Linux 系统中基于 Netfilter 框架的网络流量控制工具,通过用户定义的规则管理数据包。它包含个规则个规则分别为 raw(控制连接跟踪)、mangle(修改数据包头部信息)、nat(网络地址转换)和 filter(核心过滤功能)。包括 PREROUTING(路由前处理)、INPUT(入站数据包处理)、FORWARD(转发数据包处理)、OUTPUT(出站数据包处理)和 POSTROUTING(路由后处理)。
iptables里的
jin861625788的专栏
09-02 920
iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。      iptables包含4个,5个。其中是按照对数据包的操作区分的,是按照不同的Hook点来区分的,实际上是netfilter的两个维度。      4个:filter,nat,mangle,raw,默
Iptables
Jack_chao_的博客
07-20 2252
iptables只是防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。iptables具体是如何去过滤各种规则的呢?请看下面的正常的访问流程图。
iptables
热门推荐
echo_bright_的博客
07-20 2万+
如下是具有双网卡的Linux服务器,数据入口网卡是eth0,数据出口网卡是eth1: 而Linux**防火墙**的工作区域为下图中的绿色阴影部分(防火墙的概念这里不赘述): Linux系统中防火墙功能的两大角色:iptables和netfilter。iptables是Linux系统下应用层内置控制防火墙的工具,netfilter则是防火墙功能的具体实现,是内核空间的功能模块。所谓的ip...
Linux防火墙——iptables()
zcien的博客
02-12 2641
Linux防火墙iptables()详解
Linux iptables相关规则说明
李姓门徒
02-24 1236
在k8s环境中经常使用iptables规则进行负载均衡、路由转发和NAT等操作,本文针对iptables的实现原理和相关常用方法进行整理和讨论。
iptables口诀
最新发布
06-20
### iptables的口诀记忆方法 iptables 是 Linux 系统中用于配置防火墙规则的强大工具,其核心概念围绕“”展开。以下是关于的记忆口诀及详细说明: #### **一、功能概述** iptables ...
iptables
fengqingyundan2012的博客
03-08 365
iptables概念 iptables只是Linux防火墙的管理工具而已。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。 概念 filter——过滤数据包Nat——用于网络地址转换(IP、端口)Mangle——修改数据包的服务类型、TTL、并且可以配置路由实现QOSRaw——决定数据包是否被状态跟踪机制处理
iptables
kakaka666的博客
06-04 1581
对数据包做路由选择之后,将应用此中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给。当数据包到达防火墙时,如果对应的内有规则存在,将按照顺序依次从。:出流量,其实就是防火墙本机向外的地址发送数据包,首先被。做处理,确认通过之后,便可以交给服务器端来进行响应。来进行处理是否需要通过或直接丢弃,最后将交给。:如果是外边的数据包到达防火墙后,要先通过。:如果是外边的数据包到达防火墙后,要先通过。,其内包括:prerouting。做相关处理,随后进行路由选择,
iptables——
guanghui92luo的专栏
12-21 1328
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤中,而这些集成在 Linux 内核中。在信息包过滤中,规则被分组放在我们所谓的(chain)中。
iptables防火墙(
m0_74848517的博客
02-05 1468
mangle =>PREROUTING POSTROUTING INPUT OUTPUT FORWARD。转发:PREROUTING===>FORWARD===>POSTROUTING。IP范围匹配:-m iprange --src-range IP范围。多端口匹配:-m multiport --sports 源端口列。MAC地址匹配:-m mac --mac-source MAC地址。状态匹配:-m state --state 连接状态。
iptables
wangboyujiayou的博客
05-25 200
(按顺序) : raw(生的):有限级最高,设置raw时一般是为了不再让iptables做数据包的接跟踪处理,提高性能 mangle(碾压):用于对特定数据包的修改 nat(转换):用于nat功能(端口映射,地址映射等) filter(过滤):一般的过滤功能 : PREROUTING(预路由):数据包进入路由之前 INPUT(入站):通过路由后目的地为本机 FORWARD(转发):通过路由后,目的地不为本机 OUTPUT(出站):由本机产生,向外转发 POSTROUTIONG(已路由):发送
iptables
oo00ool1l1的博客
04-02 338
FORWARD :FORWARD 用于处理通过本地系统进行转发的数据流量。以上是 iptables的简要说明。INPUT :INPUT 用于处理进入本地系统的数据流量,即接收到的数据包将首先经过 INPUT iptables 是 Linux 系统上用于定义防火墙规则的工具,它通过来进行配置。OUTPUT :OUTPUT 用于处理从本地系统发送出去的数据流量。PREROUTING :PREROUTING 用于在数据包路由之前修改数据包。
iptables45
精诚所至
02-25 407
iptables 其实关于iptables的使用网上的资料和教程也比较多,主要是要理解其中的路由前和路由后每个所处的位置和作用,明白了也就简单了,以下是我转载的觉得写的比较详细的一篇博客,有时间我将写一篇关于这些的实质性的配置例子。 一、netfilter和iptables说明: 1、 netfilter/iptables IP 信息包...
iptables的作用
01-11
### iptables 功能解释 #### raw raw 主要用于处理连接跟踪机制。通过该可以决定哪些数据包不被内核中的连接追踪机制记录,从而提高性能并减少资源消耗[^1]。 #### mangle mangle 用于修改 IP 报头字段以及 TCP/UDP 的一些选项。此允许更改诸如 TTL、TOS 字段等参数,并能设置特定标记供后续规则使用。它适用于需要精细控制网络流量特性的场景下。 #### nat nat 负责地址转换工作,在 NAT(Network Address Translation)过程中发挥重要作用。具体来说,它可以实现 SNAT(源地址转换)、DNAT(目的地址转换),使得局域网内的主机能够访问外部互联网或让外界请求映射到指定服务器上。 #### filter filter 是最常用的格之一,主要用来执行基本的数据包过滤操作。这包括允许或拒绝某些类型的通信流进入或离开系统,基于协议类型、端口号等多种条件来制定安全策略。 --- ### 及其作用说明 #### PREROUTING 位于数据包刚到达接口之前的位置,此时还没有进行路由决策。PREROUTING 主要应用于 nat 和 mangle 中,前者可在此阶段改变目标地址;后者可用于调整报文优先级或其他特性[^2]。 #### INPUT 当接收到的数据包目的地为本地机器时,则会经过 INPUT 。在这里可以根据设定的安全政策进一步筛选入站流量,判断是否放行至更高层次的应用程序层处理。 #### FORWARD 仅存在于多网卡环境中启用IP转发的情况下。如果一台设备配置有两个及以上物理网络接口并且开启了相应的转发服务,那么不属于本机而是需继续传输给其他节点的数据包将会穿过这个条接受审查[^3]。 #### OUTPUT 针对由本机产生的向外发送的数据包而言,OUTPUT 是最后一个检查点。同样地,这里也可以施加各种形式的限制措施以确保发出的信息符合预期标准。 #### POSTROUTING 作为最后一道工序,POSTROUTING 出现在即将离开发送者前一刻。在这个环节里通常会对源地址做最后修正(SNAT),保证回应路径正确无误。 ```bash # 示例命令展示如何查看当前iptables规则 sudo iptables -L -v -n ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值