文档章节

28_02_iptables系列之基本应用及显式扩展

captainliu
 captainliu
发布于 2017/06/01 18:27
字数 698
阅读 13
收藏 0
点赞 0
评论 0

netfilter :Framework   ,TCP/IP ,工作在内核上
iptables:负责编写规则,并送达到netfilter的某一条链上。
iptable   [ t  TABLE ]  COMMAND  CHAIN  [ num ]  匹配条件  -j  处理动作

匹配条件:

        通用匹配
                -s   
                -d
                -p  { tcp  | udp  |  icmp } 
                -i  :指定数据报文流入接口
                -o:指定数据报文流出接口
        扩展匹配:
                隐含扩展
                        -p    tcp  
                                                --sport      SPORT[ -SPORT ]:源端口
                                                --dport      SPORT[ -SPORT ]:目标端口
                                                --tcp-flags      mask  comp:只检查mask指定的标志位,是逗号分割的标志位列表;comp:此类表中出现在mask中,且必须为1;comp中没出现,而mask中出现的,必须为0;
                                                                        --tcp-flags     SYN  ,FIN,ACK,RST    SYN  ,ACK  == --syn
                                               --syn  

                    -p     icmp

                                --icmp-type
                                                0:  echo-reply
                                                8:  echo-request
                                eg:iptables  -A   OUTPUT  -s   172.16.100.7  -p  icmp  --icmp-type  8  -j  ACCEPT
                                    iptables -A  INPUT     -d  172.16.100.7    -p icmp  --icmp-type  0   -j   ACCEPT

                  -p     udp
                            --sport
                            --dport

                    eg:
               显示扩展 :使用额外的匹配机制
                       -m   EXTESTION  --spe-opt
                        state:状态扩展
                                结合ip_conntrack追踪会话的状态
                                        NEW:新连接请求
                                        ESTABLISHED:已建立的连接
                                        INVALID:非法连接
                                        RELATED:相关联的
                                            eg:  -m  state  --state  NEW  , ESTABLISHED -j  ACCEPT 
保存规则:

                 service  iptables  save  
                        /etc/sysconfig/iptables
                iptables-save  > /etc/sysconfig/iptables.20170605
                iptables-restore  <  /etc/sysconfig/iptables.20170605          

命令:
        管理规则
                -A    附加一条规则:添加在链的尾部
                -i    CHAIN  [ num ]:插入一条规则,插入为对应chain的第num条
                -d    CHAIN  [ num ] :删除指定链中的第num条规则;
                -r   CHAIN  [ num ] :替换指定的规则
        管理链:
                -F [ CHAIN ]:flush,清空指定规则链,如果省略CHAIN,则可以删除对应表中的所有链
                -P  CHAIN  : 设定指定链的默认策略
                -N  : 自定义一个新的空链
                -X:删除一个自定义的空链
                -Z:置零制定链中所有规则的计数器
                -E:重命名一条自定义链

        查看类:
                -L:显示指定表中的规则;
                        -n:以数字形式显示主机地址和端口号;
                        -v:显示详细信息
                        -vv:
                        -x:显示精确值
                        --line-numbers:显示规则号码的

eg:sudo iptables  -L  -n  -v -x

动作(target)
        ACCEPT:放行
        DROP:丢弃
        REJECT:拒绝
        DNAT:目标地址转换
        SNAT:源地址转换
        REDIRECT:端口重定向
        MASQUERAD:地址伪装
        LOG:日志
        MARK:设定标记
        NOTRACK:禁止追踪某个相应的报文
eg:

172.16.100.7  ,sshd  :22/tcp

iptables    -t  filter  -A  INPUT   -s   172.16.0.0/16   -d   172.16.100.7  -p   tcp  --dport  22  -j   ACCEPT
iptables    -t  filter  -A  ONPUT   -s   172.16.100.7   -d   172.16.0.0/16  -p   tcp  --sport  22  -j   ACCEPT
iptables 不是服务,但有服务脚本:服务脚本的主要作用在于生效保存的规则

        装在及移除iptables/netfilter相关的内核模块:

                    iptables_nat  ,  iptables_filter  ,  iptables_mangle ,  iptables_raw   ,   ip_nat  ,   ip_conntrack

ping  请求用的是icmp协议

ip_conntrack:是内核的一个模块,起到连接追踪的功能,能够追踪到哪一个连接和另外一个连接处于什么状态

© 著作权归作者所有

共有 人打赏支持
captainliu
粉丝 10
博文 94
码字总数 83678
作品 0
昌平
程序员
Linux系统中的防火墙的实现:iptables/netfilter

防火墙:包括软件防火墙(基于iptables/netfilter的包过滤防火墙)和硬件防火墙,在主机或网络边缘对经由防火墙的报文以一定条件进行检测过滤的一系列组件。 Linux系统中的防火墙的实现: 利...

花火殊途 ⋅ 05/23 ⋅ 0

iptables从入门到应用

iptables从入门到应用 一、简介 1.1、是什么? iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。 1.2、发展史 防火墙的发展史就是从墙到链再...

PowerMichael ⋅ 2017/07/30 ⋅ 0

linux iptables常用实例

inux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处...

jk409 ⋅ 2016/03/02 ⋅ 0

linux开启防火墙端口和查看,开启相关端口号

防火墙开启与关闭(即时生效,重启后失效): $ sudo service iptables start #开启$ sudo service iptables stop #关闭 防火墙开启与关闭(重启后生效): $ sudo chkconfig iptables on$ ...

柳哥 ⋅ 2014/11/27 ⋅ 0

iptables防火墙的基本配置

在Internet中,通过架设各种服务器为用户提供各种网络服务,怎样保护这些服务器,过滤恶意的访问、入侵呢?这里主要介绍Linux系统中的防火墙——netfilter和iptables,包括防火墙的结构和匹配...

杨书凡 ⋅ 01/02 ⋅ 0

如何定义防火墙的规则iptables

防火墙,位于网络之间的,根据所定义的股则对进出网络的数据包进行匹配,病匹配到包用制定的处理机制进行处理的硬件、软件或者二者的结合 防火墙按照对数据包的获取方式进行分类,可以分为两...

Start-up ⋅ 2012/11/08 ⋅ 0

开源技术微讲堂:Kubernetes 系列

Kubernetes (通常称为K8s) 是一个开源系统,它可以被用于自动部署,扩展和管理容器化应用程序,提供跨主机集群的自动部署、扩展以及运行应用程序容器的平台。Kubernetes 以其先进的理念、活跃...

developerWorks中国 ⋅ 2017/12/11 ⋅ 0

iptables原理及应用

IPTABLES 基于内核的防火墙,里面有raw,mangle,net,filter四个表,它们的优先级依次降低,也就是raw最高,匹配的时候是从raw开始的。 1, iptables有四张表 raw,mangle,net,filter 2,规则...

xiaobing002 ⋅ 2014/08/20 ⋅ 0

iptables命令结构之匹配扩展

规则定义(分组匹配条件)扩展(被称为匹配扩展)根据协议和状态将匹配添加到前面描述的匹配中。每种协议扩展都保存在一个模块中,在能够使用该匹配扩展之前,必须将该模块加载到内核中。加载...

柳哥 ⋅ 2014/11/27 ⋅ 0

[5] Window PowerShell DSC 学习系列----如何生成一个DSC MOF文件?

在前面的四个章节,笔者介绍了一些PowerShell基础的知识,包括PowerShell DSC的基本架构,DSC的资源以及配置格式,已经在PowerShell DSC 如何安装扩展的DSC Module和resource;还有一些基本的...

chancein007 ⋅ 2017/01/23 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

熊掌号收录比例对于网站原创数据排名的影响[图]

从去年下半年开始,我在写博客了,因为我觉得业余写写博客也还是很不错的,但是从2017年下半年开始,百度已经推出了原创保护功能和熊掌号平台,为此,我也提交了不少以前的老数据,而这些历史...

原创小博客 ⋅ 58分钟前 ⋅ 0

LVM讲解、磁盘故障小案例

LVM LVM就是动态卷管理,可以将多个硬盘和硬盘分区做成一个逻辑卷,并把这个逻辑卷作为一个整体来统一管理,动态对分区进行扩缩空间大小,安全快捷方便管理。 1.新建分区,更改类型为8e 即L...

蛋黄Yolks ⋅ 今天 ⋅ 0

Hadoop Yarn调度器的选择和使用

一、引言 Yarn在Hadoop的生态系统中担任了资源管理和任务调度的角色。在讨论其构造器之前先简单了解一下Yarn的架构。 上图是Yarn的基本架构,其中ResourceManager是整个架构的核心组件,它负...

p柯西 ⋅ 今天 ⋅ 0

uWSGI + Django @ Ubuntu

创建 Django App Project 创建后, 可以看到路径下有一个wsgi.py的问题 uWSGI运行 直接命令行运行 利用如下命令, 可直接访问 uwsgi --http :8080 --wsgi-file dj/wsgi.py 配置文件 & 运行 [u...

袁祾 ⋅ 今天 ⋅ 0

JVM堆的理解

在JVM中,我们经常提到的就是堆了,堆确实很重要,其实,除了堆之外,还有几个重要的模块,看下图: 大 多数情况下,我们并不需要关心JVM的底层,但是如果了解它的话,对于我们系统调优是非常...

不羁之后 ⋅ 昨天 ⋅ 0

推荐:并发情况下:Java HashMap 形成死循环的原因

在淘宝内网里看到同事发了贴说了一个CPU被100%的线上故障,并且这个事发生了很多次,原因是在Java语言在并发情况下使用HashMap造成Race Condition,从而导致死循环。这个事情我4、5年前也经历...

码代码的小司机 ⋅ 昨天 ⋅ 1

聊聊spring cloud gateway的RetryGatewayFilter

序 本文主要研究一下spring cloud gateway的RetryGatewayFilter GatewayAutoConfiguration spring-cloud-gateway-core-2.0.0.RC2-sources.jar!/org/springframework/cloud/gateway/config/G......

go4it ⋅ 昨天 ⋅ 0

创建新用户和授予MySQL中的权限教程

导读 MySQL是一个开源数据库管理软件,可帮助用户存储,组织和以后检索数据。 它有多种选项来授予特定用户在表和数据库中的细微的权限 - 本教程将简要介绍一些选项。 如何创建新用户 在MySQL...

问题终结者 ⋅ 昨天 ⋅ 0

android -------- 颜色的半透明效果配置

最近有朋友问我 Android 背景颜色的半透明效果配置,我网上看资料,总结了一下, 开发中也是常常遇到的,所以来写篇博客 常用的颜色值格式有: RGB ARGB RRGGBB AARRGGBB 这4种 透明度 透明度...

切切歆语 ⋅ 昨天 ⋅ 0

CentOS开机启动subversion

建立自启动脚本: vim /etc/init.d/subversion 输入如下内容: #!/bin/bash## subversion startup script for the server## chkconfig: 2345 90 10# description: start the subve......

随风而飘 ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部