IPTABLE:Linux下的网络防火墙

已于 2024-11-08 16:36:58 修改
阅读量2.8k 收藏 18
点赞数 22
CC 4.0 BY-SA版权
文章标签: linux 网络
于 2024-11-08 16:36:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42175752/article/details/143629816

IPTABLE:Linux下的网络防火墙

引言

在Linux系统中,IPtable是一种强大的网络防火墙工具,广泛应用于各种网络环境中。它不仅可以实现基本的包过滤功能,还能进行网络地址转换(NAT)、数据包记录、流量统计等高级功能。本文将详细介绍IPtable的定义、架构、原理、应用场景以及常见的命令体系,帮助读者更好地理解和使用这一工具。

一、IPtable定义

IPTABLE是一种网络防火墙,在LINUX下使用,RedHat9.0版本以上自带。它可以实现NAT转换,做上网代理。IPtable位于/sbin/iptables,是Linux防火墙的管理工具,而真正实现防火墙功能的是Netfilter,它是Linux内核中实现包过滤的内部结构。

防火墙(firewall)一词本是建筑用语,本意是为了保护建筑物不受火灾侵害的,后来被借鉴到了网络通信领域中,表示保护局域网或主机不受网络攻击的侵害。防火墙工作在主机或者网络边缘,对于进出的数据报文按照事先定义好的规则进行检查、监控,一旦符合标准,就按照事先定义好的规则处理动作。

二、IPtable架构

IPtable的架构基于Linux内核中的Netfilter子系统,Netfilter提供了数据包过滤、网络地址转换、数据包修改和数据跟踪等功能。IPtable则是控制Netfilter的工具,它将复杂的规则组织成易于管理的方式,方便管理员进行分组测试、启动或关闭某组规则。

1. Netfilter子系统

Netfilter是Linux内核中负责网络数据包处理的子系统,它提供了以下四个表:

  • Filter表:用于包过滤,包含INPUT、FORWARD、OUTPUT三个链。
  • NAT表:用于网络地址转换(IP、端口),包含PREROUTING、POSTROUTING、OUTPUT三个链。
  • Mangle表:用于修改数据包的服务类型、TTL等,包含PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD五个链。
  • Raw表:用于决定数据包是否被状态跟踪机制处理,包含OUTPUT、PREROUTING两个链。

这些表具有一定的优先级:raw -> mangle -> nat -> filter。当数据包经过内核时,会按照这些表的优先级顺序进行检查和处理。

2. 规则链与规则表

IPtable中定义了五个规则链,分别对应数据包经过内核的五个关键地方,称为钩子函数:

  • PREROUTING:在数据包进行路由选择前应用此链中的规则。
  • INPUT:进入防火墙主机的数据包应用此链中的策略。
  • FORWARD:转发数据包时应用此链中的策略。
  • OUTPUT:防火墙主机向外部地址发送的数据包应用此链中的策略。
  • POSTROUTING:在数据包进行路由选择后应用此链中的规则。

每个钩子函数中可以定义多条规则,每当数据包到达一个钩子函数时,IPtable就会从该钩子函数中的第一条规则开始检查,看数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理数据包;否则IPtable将继续检查下一条规则。如果该数据包不符合钩子函数中任一条规则,IPtable就会根据该函数预先定义的默认策略来处理数据包。

三、IPtable原理

IPtable的原理在于对经过内核的数据包进行过滤和处理。数据包在内核空间中处理时,会根据预设的规则链和规则表进行检查和决策。

1. 数据包处理流程

当主机收到一个数据包后,数据包先在内核空间中处理。若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理;若发现目的不是自身,则会将包丢弃或进行转发。

IPtable在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数。IPtable这款用户空间的软件可以在这五处地方写规则,对经过的数据包进行处理。

具体的数据包处理流程如下:

  • 入站流程
    • 数据包到达防火墙后,首先被PREROUTING链处理(是否修改数据包地址等)。
    • 然后进行路由选择(判断数据包发往何处)。
    • 如果数据包的目标地址是防火墙本机(如Internet用户访问网关的Web服务端口),则内核将其传递给INPUT链进行处理(决定是否允许通过等)。
  • 出站流程
    • 防火墙本机向外部地址发送的数据包(如在防火墙主机中测试公网DNS服务时),首先被OUTPUT链处理。
    • 然后进行路由选择。
    • 再交给POSTROUTING链(是否修改数据包的地址等)进行处理。
  • 转发流程
    • 来自外界的数据包到达防火墙后,首先被PREROUTING链处理。
    • 然后进行路由选择。
    • 如果数据包的目标地址是其他的外部地址(如局域网用户通过网关访问QQ服务器),则内核将其传递给FORWARD链进行处理(允许转发、拦截、丢弃)。
    • 最后交给POSTROUTING链(是否修改数据包的地址等)进行处理。
2. 规则匹配与动作

IPtable中定义有表,分别表示提供的功能,有filter表(实现包过滤)、nat表(实现网络地址转换)、mangle表(实现包修改)、raw表(实现数据跟踪)。当数据包到达一个钩子函数时,IPtable会从该钩子函数中的第一条规则开始检查,看数据包是否满足规则所定义的条件。规则一般的定义为“如果数据包头符合这样的条件,就这样处理数据包”。

IPtable中常见的动作有:

  • ACCEPT:允许数据包通过。
  • DROP:直接丢弃数据包,不给出任何回应。
  • REJECT:拒绝数据包通过,必要时会给出提示。
  • LOG:记录日志信息,然后传给下一条规则继续匹配。

如果数据包满足某条规则的条件,IPtable就会根据该条规则所定义的动作处理数据包;否则,IPtable将继续检查下一条规则。如果该数据包不符合钩子函数中任一条规则,IPtable就会根据该函数预先定义的默认策略来处理数据包。

四、IPtable应用场景

IPtable广泛应用于各种网络环境中,可以实现多种网络功能。以下是一些常见的应用场景:

1. 网关服务器安全策略

目标:网关服务器系统自生安全策略,只对内网用户开放特定端口(如sshd服务)。

配置步骤:

  1. 清空filter表和nat表。
  2. 设置默认策略(INPUT链默
最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux网络防火墙工具iptables
云计算稿手的博客
05-23 1100
防火墙工具iptables。
Linux系统iptables防火墙实战指南
qq_24442273的博客
10-21 783
3、如果所有的规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,则继续向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。1、新增规则,使得本机不能ping通其它主机,其它主机可以ping通本机,本机也可以自己ping通自己,命令如下所示:​​​​​​​。2、如果匹配上了相应的规则,即明确表明是阻止还是通过,此时数据包就不再向下匹配新的规则了。1、防火墙是一层层过滤的,就是按照配置规则的顺序从上到下,从前到后进行过滤的。4、防火墙的默认规则是对应链表的所有规则执行完成后,才会执行的规则。
linux iptable 命令大全
10-15
Linux Iptables命令列表: 用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改 iptables - [RI] chain rule num rule-specification[option] 用iptables - RI 通过规则的顺序指定 iptables -D chain rule num[option] 删除指定规则 iptables -[LFZ] [chain][option] 用iptables -LFZ 链名 [选项] iptables -[NX] chain 用 -NX 指定链 iptables -P chain target[options] 指定链的默认目标 iptables -E old-chain-name new-chain-name -E 旧的链名 新的链名 用新的链名取代旧的链名 说明 Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。 TARGETS 防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。 ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
iptable命令详解
weixin_49840888的博客
08-22 7900
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样 条件的数据包进行处理;会按照规则的顺序进行检查,一旦某个数据包匹配到了某条规则,就不会继续检查后面的规则。通常,更具体的规则(如单个 IP 地址)应该放在前面,而更宽泛的规则(如整个子网)放在后面。iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载。
二、网络之-iptables
最新发布
weixin_39698240的博客
06-11 1010
iptables 是 Linux 系统中的一个用户空间工具,用于配置内核提供的 netfilter 防火墙功能。它允许系统管理员定义规则,控制进出 Linux 系统的网络流量。
Linux iptables 命令(防火墙
mayue_web的博客
03-28 1694
Linux iptables命令详解Linuxiptables 超详细教程和使用示例iptables 是 Linux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。iptables 是集成在 Linux 内核中的包过滤防火墙系统。
防火墙iptables
m0_71593537的博客
08-20 2953
由软件包iptables提供的命令行工具,工作在用户空间,用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包和netfilter的适配性好#查看有没有安装 iptables --version。
Linux——Iptables防火墙
Lemon__ing的博客
04-17 1657
严重的情况,我们又不经常遇见;编写 iptables 规则时使用“-s 源地址”或“-d 目标地址”的形式指定,用来检查数据包的源地址(--source)或目标地址(--destination)。编写 iptables 规则时使用“-1 接口名”和“-0 接口名”的形式,用于检査数据包从防火墙的哪-个接口进入或发出,分别对应入站网卡(--in-interface)、出站网卡(--out-interface)例如,若要丢弃从外网接口(ens33)访问防火墙本机且源地址为私有地址的数据包,可以执行以下操作。
Linux防火墙------iptables(基础概述)
下雨天的放羊娃的博客
05-25 815
目录一.iptables概述1.netfilter/iptables关系2.四表五链2.1 四表2.2 五链2.3 表链结构示意图2.4 规则链之间的匹配顺序3.数据包过滤的匹配流程二.iptables的配置1.iptables的安装2.iptables防火墙的配置方法3.iptables命令行4.常用的控制类型5.常用管理选项5.1 添加新的规则5.2 查看规则列表5.3 设置默认策略5.4 删除规则5.5 清空规则:6.规则的匹配6.1 通用匹配6.2 隐含匹配6.3 显式匹配 一.iptables概述
Linux iptable
cai454692590的博客
07-22 979
命令 vi /etc/sysconfig/iptables service iptables restart service iptables save iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Linux 防火墙 iptables
weixin_67033761的博客
06-04 1095
1
iptables防火墙
jcrhl321的博客
05-01 1900
一、iptables防火墙概述 Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 netfilter: 位于linux内核中的防火墙功能体系 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: 属于“用户态”(User Space, 又称为用户空间) 的防火墙管理体系 是一种用来管理Linux防火墙..
Linux系统:iptables 防火墙
十七拾的博客
02-18 3342
本文详细介绍了Linux防火墙iptables工具,详细阐释了iptables的五表五链、及其相关操作,希望对你有帮助!
Linux 防火墙iptables
m0_59579177的博客
05-12 312
一、iptable概述 Linux系统的防火墙: IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 主要工作在网络层,针对 IP 数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络防火墙) netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables 组成。 1.1 netfilter/iptables关系 netfilter : 属于“内核态”( .
Linux下的iptables详解
zhaoyi40233的博客
11-01 2029
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。
linux运维-iptables
ma_jia_min的博客
06-01 468
iptables 1.iptables(linux的数据包过滤软件)基础概念:     会根据数据包的分析资料“比对”预先定义的规则内容,若数据包与规则内容相同则进行动作,否则就继续下一条规则的比对。     当一个网络数据包要进入主机之前,会先经过Netfilter进行检查,那就是iptables的规则。检查通过则接受(ACCEPT)进入本机获取资源,如果检查不通过,则可能予以丢弃(D
Linuxiptables防火墙
ruocheng6的博客
02-16 603
1、Linux防火墙基础 iptables的表、链结构 数据包控制的匹配流程 2、编写防火墙规则 基本语法、控制类型 添加、查看、删除规则 规则的匹配条件 1、Linux防火墙基础 (1)Linux包过滤防火墙概述 ■netfilter ●位于Linux内核中的包过滤功能体系 ●称为Linux防火墙的“内核态” ■iptables ●位于/sbin/iptables,用来管理防火墙规则的工具 ●称为Linux防火墙的“用户态” —上述2种称呼都可以表示Linux防火墙(此防.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CloudJourney

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值