詳述iptables五種鏈接

一乳讥、初識(shí)防火墻

Firewall:防火墻,隔離工具知残;工作于主機(jī)或網(wǎng)絡(luò)邊緣靠瞎,對(duì)于進(jìn)出本主機(jī)或本網(wǎng)絡(luò)的報(bào)文根據(jù)事先定義的檢查規(guī)則作匹配檢測,對(duì)于能夠被規(guī)則匹配到的報(bào)文作出相應(yīng)處理的組件求妹;
防火墻類型分為: 主機(jī)防火墻 和網(wǎng)絡(luò)防火墻
實(shí)現(xiàn)方法分為:軟件防火墻(軟件邏輯)和硬件防火墻(硬件和軟件邏輯)

二乏盐、iptables五種鏈接

內(nèi)置規(guī)則鏈邏輯圖.png
iptables五種鏈接分別是prerouting、input 制恍、output 父能、forward 、postrouting
  • prerouting:流入的數(shù)據(jù)包進(jìn)入路由表之前净神。
  • input :通過路由表判斷后目的地址是本機(jī)何吝,然后進(jìn)入本機(jī)內(nèi)部資源溉委。
  • output :由本機(jī)產(chǎn)生的數(shù)據(jù)向外轉(zhuǎn)發(fā)
  • forward :通過路由表判斷目的地址是本機(jī),然后通過路由轉(zhuǎn)發(fā)到其他地方爱榕。
  • postrouting:傳出的數(shù)據(jù)包到達(dá)網(wǎng)卡出口前瓣喊。
iptables的四張表

現(xiàn)在用的比較多的表是前兩個(gè):

  • 表(功能):

filter:過濾,防火墻黔酥;
nat:network address translation藻三;用于修改源IP或目標(biāo)IP,也可以改端口跪者;
mangle:拆解報(bào)文棵帽,做出修改,并重新封裝起來坑夯;
raw:關(guān)閉nat表上啟用的連接追蹤機(jī)制岖寞;

  • 表(功能)和鏈對(duì)應(yīng)關(guān)系:

raw:PREROUTING, OUTPUT
mangle:PREROUTING柜蜈,INPUT仗谆,F(xiàn)ORWARD,OUTPUT淑履,POSTROUTING
nat:PREROUTING隶垮,[INPUT,]OUTPUT秘噪,POSTROUTING
filter:INPUT狸吞,F(xiàn)ORWARD,OUTPUT

  • 處理優(yōu)先級(jí):raw-->mangle-->nat-->filter
  • 報(bào)文流向:

流入本機(jī):PREROUTING --> INPUT
由本機(jī)流出:OUTPUT --> POSTROUTING
轉(zhuǎn)發(fā):PREROUTING --> FORWARD --> POSTROUTING

處理流程.png

三指煎、iptables規(guī)則

1蹋偏、添加規(guī)則時(shí)的考量點(diǎn):

(1) 要實(shí)現(xiàn)哪種功能:判斷添加到哪個(gè)表上;
(2) 報(bào)文流經(jīng)的路徑:判斷添加到哪個(gè)鏈上至壤;

2威始、鏈的規(guī)則

鏈上的規(guī)則次序,即為檢查的次序像街;因此黎棠,隱含一定的應(yīng)用法則:

(1) 同類規(guī)則(訪問同一應(yīng)用),匹配范圍小的放上面镰绎;
(2) 不同類的規(guī)則(訪問不同應(yīng)用)脓斩,匹配到報(bào)文頻率較大的放在上面;
(3) 將那些可由一條規(guī)則描述的多個(gè)規(guī)則合并起來畴栖;
(4) 設(shè)置默認(rèn)策略随静;

3、匹配規(guī)則:

組成部分:根據(jù)規(guī)則匹配條件來嘗試匹配報(bào)文吗讶,一旦匹配成功燎猛,就由規(guī)則定義的處理動(dòng)作作出處理叼丑;

匹配條件:
基本匹配條件:內(nèi)建
擴(kuò)展匹配條件:由擴(kuò)展模塊定義;

4扛门、處理動(dòng)作:

基本處理動(dòng)作:內(nèi)建
擴(kuò)展處理動(dòng)作:由擴(kuò)展模塊定義;
自定義處理機(jī)制:自定義鏈

四纵寝、iptables命令:

高度模塊化论寨,由諸多擴(kuò)展模塊實(shí)現(xiàn)其檢查條件或處理動(dòng)作的定義;

/usr/lib64/xtables/
適用IPv6報(bào)文:libip6t_
適用IPv4報(bào)文:libipt_, libxt_

規(guī)則格式:
iptables [-t table] COMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options]

-t table:raw, mangle, nat, [filter]#表
rule-specification = [matches...] [target] #規(guī)則格式爽茴,matches匹配條件葬凳,target處理動(dòng)作
match = -m matchname [per-match-options] #指明一個(gè)匹配模塊 定義它的選項(xiàng)和值
target = -j targetname [per-target-options]#指明一個(gè)處理動(dòng)作的擴(kuò)展 并定義它的選項(xiàng)

  • 查詢filter表有三個(gè)鏈
[root@bogon ~]# iptables -t filter -L#查詢filter表有三個(gè)鏈
Chain INPUT (policy ACCEPT)    #指明那個(gè)表(默認(rèn)法則+黑名單)
target     prot    opt    source      destination #(執(zhí)行動(dòng)作-端口-選擇-原地址-目標(biāo)地址)        
ACCEPT     all  --  anywhere   anywhere  #(允許-所有端口-任意地址-任意地址)
Chain FORWARD (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)
  • 查詢mangle表有五個(gè)鏈
[root@bogon ~]# iptables -t mangle -L#查詢mangle表有五個(gè)鏈
Chain PREROUTING (policy ACCEPT)
Chain INPUT (policy ACCEPT)
Chain FORWARD (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)
Chain POSTROUTING (policy ACCEPT)
  • 查詢nat表有四個(gè)鏈
[root@bogon ~]# iptables -t nat -L#查詢nat表有四個(gè)鏈
Chain PREROUTING (policy ACCEPT)
Chain INPUT (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)
Chain POSTROUTING (policy ACCEPT)
  • 查詢r(jià)aw表有兩個(gè)鏈
[root@bogon ~]# iptables -t raw -L#查詢r(jià)aw表有兩個(gè)鏈
Chain PREROUTING (policy ACCEPT)
Chain OUTPUT (policy ACCEPT)

五、鏈管理:

  • 1室奏、 -N:new, 自定義一條新的規(guī)則鏈火焰;
[root@bogon ~]# iptables -N in_web_rules#只能調(diào)用內(nèi)建鏈
  • 2、 -X: delete胧沫,刪除自定義的規(guī)則鏈昌简;
[root@bogon ~]# iptables -X in_web_rules#注意:僅能刪除 用戶自定義的 引用計(jì)數(shù)為0的 空的 鏈;
  • 3绒怨、 -P:Policy纯赎,設(shè)置默認(rèn)策略;對(duì)filter表中的鏈而言南蹂,其默認(rèn)策略有:

    ACCEPT:接受(內(nèi)建)
    DROP:丟棄(內(nèi)建)
    REJECT:拒絕(擴(kuò)展)

[root@bogon ~]# iptables -P FORWARD DROP或ACCEPT#關(guān)閉或打開轉(zhuǎn)發(fā)報(bào)文
[root@bogon ~]# iptables -vnL#查詢狀態(tài)
  • 4犬金、 -E:重命名自定義鏈;引用計(jì)數(shù)不為0的自定義鏈不能夠被重命名六剥,也不能被刪除晚顷;
[root@bogon ~]# iptables -E in_web_rules in_web

六、規(guī)則管理:

  • 1疗疟、-A:append该默,追加;
  • 2秃嗜、-I:insert, 插入权均,要指明位置,省略時(shí)表示第一條锅锨;
  • 3叽赊、-D:delete,刪除必搞;

(1) 指明規(guī)則序號(hào)必指;
(2) 指明規(guī)則本身;

  • 4恕洲、-R:replace塔橡,替換指定鏈上的指定規(guī)則梅割;

  • 5、-F:flush葛家,清空指定的規(guī)則鏈户辞;

[root@bogon ~]# iptables -F IN_public#清空指定的規(guī)則
  • 6、-Z:zero癞谒,置零底燎;

iptables的每條規(guī)則都有兩個(gè)計(jì)數(shù)器:
(1) 匹配到的報(bào)文的個(gè)數(shù);
(2) 匹配到的所有報(bào)文的大小之和弹砚;

[root@bogon ~]# iptables -Z INPUT_ZONES 1#把這個(gè)鏈第一條規(guī)則置零
  • 7双仍、查看:

-L:list, 列出指定鏈上的所有規(guī)則;
-n:numberic桌吃,以數(shù)字格式顯示地址和端口號(hào)朱沃;
-v:verbose,詳細(xì)信息茅诱;
-vv, -vvv
-x:exactly逗物,顯示計(jì)數(shù)器結(jié)果的精確值;
--line-numbers:顯示規(guī)則的序號(hào)瑟俭;

[root@bogon ~]# iptables -L -n --line-numbers #顯示當(dāng)前表鏈并編號(hào)
[root@bogon ~]# iptables -L -n --line-numbers -v#顯示詳細(xì)信息
[root@bogon ~]# iptables -vnL INPUT#顯示INPUT信息
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末敬察,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子尔当,更是在濱河造成了極大的恐慌莲祸,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,729評(píng)論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件椭迎,死亡現(xiàn)場離奇詭異锐帜,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)畜号,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,226評(píng)論 3 399
  • 文/潘曉璐 我一進(jìn)店門缴阎,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人简软,你說我怎么就攤上這事蛮拔。” “怎么了痹升?”我有些...
    開封第一講書人閱讀 169,461評(píng)論 0 362
  • 文/不壞的土叔 我叫張陵建炫,是天一觀的道長。 經(jīng)常有香客問我疼蛾,道長肛跌,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,135評(píng)論 1 300
  • 正文 為了忘掉前任,我火速辦了婚禮衍慎,結(jié)果婚禮上转唉,老公的妹妹穿的比我還像新娘。我一直安慰自己稳捆,他們只是感情好赠法,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,130評(píng)論 6 398
  • 文/花漫 我一把揭開白布。 她就那樣靜靜地躺著乔夯,像睡著了一般期虾。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上驯嘱,一...
    開封第一講書人閱讀 52,736評(píng)論 1 312
  • 那天,我揣著相機(jī)與錄音喳坠,去河邊找鬼鞠评。 笑死,一個(gè)胖子當(dāng)著我的面吹牛壕鹉,可吹牛的內(nèi)容都是我干的剃幌。 我是一名探鬼主播,決...
    沈念sama閱讀 41,179評(píng)論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼晾浴,長吁一口氣:“原來是場噩夢啊……” “哼负乡!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起脊凰,我...
    開封第一講書人閱讀 40,124評(píng)論 0 277
  • 序言:老撾萬榮一對(duì)情侶失蹤抖棘,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后狸涌,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體切省,經(jīng)...
    沈念sama閱讀 46,657評(píng)論 1 320
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,723評(píng)論 3 342
  • 正文 我和宋清朗相戀三年帕胆,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了朝捆。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 40,872評(píng)論 1 353
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡懒豹,死狀恐怖芙盘,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情脸秽,我是刑警寧澤儒老,帶...
    沈念sama閱讀 36,533評(píng)論 5 351
  • 正文 年R本政府宣布,位于F島的核電站记餐,受9級(jí)特大地震影響贷盲,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,213評(píng)論 3 336
  • 文/蒙蒙 一巩剖、第九天 我趴在偏房一處隱蔽的房頂上張望铝穷。 院中可真熱鬧,春花似錦佳魔、人聲如沸曙聂。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,700評(píng)論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽宁脊。三九已至,卻和暖如春贤姆,著一層夾襖步出監(jiān)牢的瞬間榆苞,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,819評(píng)論 1 274
  • 我被黑心中介騙來泰國打工霞捡, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留坐漏,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 49,304評(píng)論 3 379
  • 正文 我出身青樓碧信,卻偏偏與公主長得像赊琳,于是被迫代替她去往敵國和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子砰碴,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,876評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容

  • 1.安全技術(shù) (1)入侵檢測與管理系統(tǒng)(Intrusion Detection Systems): 特點(diǎn)是不阻斷任...
    尛尛大尹閱讀 2,475評(píng)論 0 2
  • iptabels是與Linux內(nèi)核集成的包過濾防火墻系統(tǒng)躏筏,幾乎所有的linux發(fā)行版本都會(huì)包含iptables的功...
    隨風(fēng)化作雨閱讀 4,774評(píng)論 1 16
  • 1 前言 防火墻(Firewall),就是一個(gè)隔離工具,工作于主機(jī)或者網(wǎng)絡(luò)的邊緣,對(duì)于進(jìn)出本主機(jī)或本網(wǎng)絡(luò)的報(bào)文,根...
    魏鎮(zhèn)坪閱讀 6,990評(píng)論 1 23
  • iptables簡介 netfilter/iptables(簡稱為iptables)組成Linux平臺(tái)下的包過濾防...
    yshenhn閱讀 112,440評(píng)論 2 78
  • 本學(xué)期開學(xué)后,在校領(lǐng)導(dǎo)的倡導(dǎo)下呈枉,八年級(jí)在四清探索中邁出了一小步趁尼。雖然還有很多不足之處,畢竟有了一點(diǎn)小的感悟猖辫。 利用...
    wwj8921閱讀 221評(píng)論 0 1