浅析Linux防火墙(iptables)

最新推荐文章于 2024-11-27 21:28:17 发布
最新推荐文章于 2024-11-27 21:28:17 发布
阅读量697 收藏 1
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 防火墙 文章标签: linux 运维 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51613313/article/details/111867508
本文深入探讨了Linux防火墙iptables,介绍了iptables与netfilter的关系、四表五链的概念及顺序,以及SNAT和DNAT的应用。同时,讨论了iptables的安装、规则配置和匹配方式,最后讲解了防火墙规则的备份与还原。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

iptables

前言

防火墙的存在涉及到服务器的安全问题,但为何在实际工作中经常要关闭防火墙呢?
首先,软件级的防火墙在吞吐量上有着上限。因为防火墙需要在服务器上进行文件的配置,这就会占用系统的内存,从而造成性能上的浪费。因此,软件级防火墙逐渐被硬件级防火墙所替代。但存在即合理,我们还需要对软件级防火墙有一定的了解。

一、iptables概述

  • Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。
  • 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。

二、netfilter/iptables的关系

  • netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。
  • iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。是一种用来管理Linux防火墙的命令程序,它使插入、修改和删除数据包过滤表中的规则变得容易,通常位于==/sbin/ iptables==目录下。
  • netfilter/iptables后期简称为iptables。iptables 是基于内核的防火墙,其中内置了raw、mangle、 nat和filter四个规则表。表中所有规则配置后,立即生效,不需要重启服务。

三、四表五链

规则表的作用:容纳各种规则链
规则链的作用:容纳各种防火墙规则
(表里有链,链里有规则)
在这里插入图片描述

3.1 四表

  • raw表:确定是否对该数据包进行状态跟踪。包含两个规则链(OUTPUT、 PREROUTING)
  • mangle表:修改数据包内容,用来做流量整形的,给数据包设置标记。包含五个规则链(INPUT、 OUTPUT、 FORWARD、 PREROUTING、POSTROUTING)
  • nat表:负责网络地址转换,用来修改数据包中的源、目标IP地址或端口。包含三个规则链(OUTPUT、 PREROUTING、 POSTROUTING)
  • filter表:负责过滤数据包,确定是否放行该数据包(过滤)。包含三个规则链(INPUT、 FORWARD、 OUTPUT)
    在iptables 的四个规则表中,mangle 表和raw表的应用相对较少

3.2 五链

  • INPUT:处理入站数据包,匹配目标IP为本机的数据包。
  • OUTPUT:处理出站数据包,一般不在此链上做配置
  • FORWARD:处理转发数据包,匹配流经本机的数据包。
  • PREROUTING链:在进行路由选择前处理数据包,用来修改目的地址用来做DNAT。相当于把内网服务器的IP和端口映射到路由器的外网IP和端口上。
  • POSTROUTING链:在进行路由选择后处理数据包,用来修改源地址用来做SNAT。相当于内网通过路由器NAT转换功能实现内网主机通过一个公网IP地址上网。

3.3 数据包到达防火墙时,规则表之间的优先顺序

raw > mangle > nat > filter
示意图:
在这里插入图片描述

3.4 规则链之间的匹配顺序

主机型防火墙:

  • 入站数据(来自外界的数据包,且目标地址是防火墙本机) :PREROUTING > INPUT >本机的应用程序
    -出站数据(从防火墙本机向外部地址发送的数据包):本机的应用程序 > OUTPUT > POSTROUTING
    网络型防火墙:
    -转发数据(需要经过防火墙转发的数据包) :PREROUTING > FORWARD > POSTROUTING

3.5 规则链内的匹配顺序

  • 自上向下按顺序依次进行检查,找到相匹配的规则即停止(LOG策略例外,表示记录相关日志)
  • 若在该链内找不到相匹配的规则,
最低0.47元/天 解锁文章

200万优质内容无限畅学
Linux防火墙iptables
keisena的博客
11-23 320
前言 iptables位于/sbin/iptables,用来管理防火墙规则的工具,被称为Linux防火墙的"用户态" Linux包过滤防火墙 netfilter ​ 位于Linux内核中的包过滤功能体系 ​ 称为Linux防火墙的"内核态" iptables ​ 位于/sbin/iptables,用来管理防火墙规则的工具 ​ 称为Linux防火墙的"用户态" 包过滤的工作层次 ​ 主要是网络层,针对IP数据包 ​ 体现在对包内的IP地址、端口等信息的处理上 iptables的表、链结构 规则链 规则的作用:
防火墙————iptables
鸡汤的博客
05-01 455
防火墙概述 防火墙分为硬件防火墙和软件防火墙,硬件防火墙的效果要于软件防火墙, 而iptables和firewalld两个则都是软件防火墙iptables是Contos5/6的默认防火墙 firewalld是Contos7/8的默认防火墙 概述 ...
关于linux iptables中dport和sport
liuhelong12的博客
12-08 1058
首先先来翻译一下dport和sport的意思: dport:目的端口 sport:来源端口 dport 和sport字面意思来说很好理解,一个是数据要到达的目的端口,一个是数据来源的端口。 但是在使用的时候要分具体情况来对待,这个具体情况就是你的数据包的流动行为方式。(INPUT还是OUTPUT) 例子1:/sbin/iptables -A INPUT -p tcp
IPtables
xlsj雪松的博客
11-02 258
命令格式如下:具体参数介绍:选 项功 能-A添加防火墙规则-D删除防火墙规则-I插入防火墙规则-F清空防火墙规则-L列出添加防火墙规则-R替换防火墙规则-Z清空防火墙数据表统计信息-P设置链默认规则触发动作功 能ACCEPT允许数据包通过DROP丢弃数据包REJECT拒绝数据包通过LOG将数据包信息记录 syslog 曰志DNAT目标地址转换SNAT源地址转换MASQUERADE地址欺骗REDIRECT重定向。
Linux iptables 命令详解
最新发布
tangPHP的博客
11-27 868
iptables是一个在Linux中的管理防火墙规则的命令行工具,它作为Linux内核的netfilter框架的一部分运行,以控制传入和传出的网络流量。Chains。
CentOS防火墙用法浅析
09-30
首先,CentOS 7以前的版本中使用的是iptables作为防火墙工具,而在CentOS 7及以后的版本中,引入了firewalld作为默认的防火墙管理工具。不过,iptables依然可以使用,并且与firewalld工具不冲突。本文主要以iptables...
基于iptables的网桥防火墙的搭建
01-01 8768
基于iptables的网桥防火墙的搭建 目标: 在不改变网络拓补结构的前提下,实现一个防火墙,对经过该防火墙的数据进行过滤。在此,我们主要是想对所有与服务器进行通信的数据进行过滤。结构图如下: 服务器和左边的Internet可以处于同一个局域网,比如网段都为: 192.168.1.0。另外可以增加一个网卡作为管理,这个管理的口可以不必接入Internet中,这样可以达到无法对网桥进行攻
iptables5表5链浅析
m0_65187145的博客
10-08 1070
iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。
Linux网络层收发包流程及Netfilter框架浅析
j简说Linux的博客
11-19 884
在 TCP/IP 协议框架体系的五层网络模型中,每一层负责处理的数据包协议或类型均存在差异,物理层主要负责在物理载体上的数据包传输,如 WiFi,以太网,光纤,电话线等;数据链路层主要负责链路层协议解析(主要为以太网帧,其他类型此处暂不考虑),网络层主要负责 IP 协议(包括 IPv4 和 IPv6)解析,传输层负责传输层协议解析(主要为 TCP,UDP 等),而传输层以上我们均归类为应用层,主要包括各类应用层协议,如我们常用的 HTTP,FTP,SMTP,DNS,DHCP 等。
Linux学习笔记:iptables命令管理
欢迎相互探讨交流知识呀~
08-05 1269
其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。-t:指定需要维护的防火墙规则表 filter、nat、mangle或raw。在不使用 -t 时则默认使用 filter 表。COMMAND:子命令,定义对规则的管理。chain:指明链表。CRETIRIA:匹配参数。ACTION:触发动作。1. filter表——三个链:INPUT、FORWARD、OUTPUT。
iptables 用法
iris_csdn的博客
10-19 400
#所有防火墙规则都放到一个shell脚本里,调整后就执行一遍。 #!/bin/sh #首先先清空所有规则 /sbin/iptables -F #-F: FLASH,清空规则链 #for local /sbin/iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #或者 /sbin/iptables -A INPUT -s 127.0.0.1 -j ACCEPT #for web service(可选,若是入口才需要) /sbin/...
《Centos7——iptables防火墙
weixin_45842014的博客
10-14 385
目录一、 linux防火墙的表、链结构1. 包过滤的工作层次2. 规则表3. 规则链二、 linux防火墙的匹配规则1. 规则表之间的顺序2. 规则链之间的顺序3.规则链内的匹配顺序三、 编写iptables防火墙规则1. 语法构成2. 数据包的常见控制类型 一、 linux防火墙的表、链结构 netfilter: 1. 位于Linux内核中的包过滤功能体系 2. 称为Linux防火墙的“内核态” iptables: 1. 位于/sbin/iptables,用来管理防火墙规则的工具 2. 称为Linux
linux修改upd53端口,Linux下利用iptables快速实现UDP/TCP端口转发
weixin_34856548的博客
05-10 1014
很多时候我们搭建某些服务后,发现本地连接效果不给力,但是我们有一个国内机器,由于国内机器出去走BGP线路,国内机器连接国外效果好,本地连接国内效果也不错,这样我们就可以搭建一个跳板,从国内去连接国外服务器,常见的转发有rinetd、Haproxy、iptables、socat,前面2种只能转发TCP,后面TCP/UDP都可以转发。现阶段服务器本来就包含iptables,为啥还要安装其他的软件来转发...
iptables
Syx834722207的博客
05-31 360
###########iptables###### 1.关闭firewalld火墙,开启iptable systemctl stop firewalld systemctl disable firewald systemctl start iptables systemc    enable iptables 2.iptable          -t        ##指定
iptables 命令
我是谁
08-27 160
iptables -I (写i) insert -p 协议类型 –dport 端口 --destionation-port 简写 -j 目标跳转 --jump target /sbin/iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
使用 iptables 进行端口转发
weixin_30556161的博客
09-09 260
端口转发用来中转国外的虚拟机例如远程桌面 效果非常明显,iptables不仅支持单端口,连端口段也可以转发,同时TCP/UDP均可 特别注明:本地服务器 IP 未必是公网 IP ,像阿里云就是内网 IP ,请用 ipconfig 确认下走流量的网卡 IP 是外网还是内网。 第一步:开启系统的转发功能vi /etc/sysctl.conf将net.ipv4.ip_forward=0修改成n...
使用 iptables 实现端口转发
lizhengyu891231的博客
07-04 1932
使用 iptables 实现端口转发
iptables端口转发命令
weixin_30951743的博客
09-04 141
需求很简单,把本地81端口映射到8080端口上 1. 所有的81请求转发到了8080上. 1 # iptables -t nat -A PREROUTING -p tcp --dport 81 -j REDIRECT --to-ports 8080 如果需要本机也可以访问,则需要配置OUTPUT链: ...
Linux防火墙iptables入门教程
Linux防火墙iptablesLinux系统中用于增强安全性的工具,它是一种基于包过滤的防火墙,适用于内核版本2.4及以上,包括2.6内核。iptables主要涉及filter、nat和mangle三个表,其中filter表是默认表,用于处理输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值