文档章节

28_02_iptables系列之基本应用及显式扩展

captainliu
 captainliu
发布于 2017/06/01 18:27
字数 698
阅读 15
收藏 0

netfilter :Framework   ,TCP/IP ,工作在内核上
iptables:负责编写规则,并送达到netfilter的某一条链上。
iptable   [ t  TABLE ]  COMMAND  CHAIN  [ num ]  匹配条件  -j  处理动作

匹配条件:

        通用匹配
                -s   
                -d
                -p  { tcp  | udp  |  icmp } 
                -i  :指定数据报文流入接口
                -o:指定数据报文流出接口
        扩展匹配:
                隐含扩展
                        -p    tcp  
                                                --sport      SPORT[ -SPORT ]:源端口
                                                --dport      SPORT[ -SPORT ]:目标端口
                                                --tcp-flags      mask  comp:只检查mask指定的标志位,是逗号分割的标志位列表;comp:此类表中出现在mask中,且必须为1;comp中没出现,而mask中出现的,必须为0;
                                                                        --tcp-flags     SYN  ,FIN,ACK,RST    SYN  ,ACK  == --syn
                                               --syn  

                    -p     icmp

                                --icmp-type
                                                0:  echo-reply
                                                8:  echo-request
                                eg:iptables  -A   OUTPUT  -s   172.16.100.7  -p  icmp  --icmp-type  8  -j  ACCEPT
                                    iptables -A  INPUT     -d  172.16.100.7    -p icmp  --icmp-type  0   -j   ACCEPT

                  -p     udp
                            --sport
                            --dport

                    eg:
               显示扩展 :使用额外的匹配机制
                       -m   EXTESTION  --spe-opt
                        state:状态扩展
                                结合ip_conntrack追踪会话的状态
                                        NEW:新连接请求
                                        ESTABLISHED:已建立的连接
                                        INVALID:非法连接
                                        RELATED:相关联的
                                            eg:  -m  state  --state  NEW  , ESTABLISHED -j  ACCEPT 
保存规则:

                 service  iptables  save  
                        /etc/sysconfig/iptables
                iptables-save  > /etc/sysconfig/iptables.20170605
                iptables-restore  <  /etc/sysconfig/iptables.20170605          

命令:
        管理规则
                -A    附加一条规则:添加在链的尾部
                -i    CHAIN  [ num ]:插入一条规则,插入为对应chain的第num条
                -d    CHAIN  [ num ] :删除指定链中的第num条规则;
                -r   CHAIN  [ num ] :替换指定的规则
        管理链:
                -F [ CHAIN ]:flush,清空指定规则链,如果省略CHAIN,则可以删除对应表中的所有链
                -P  CHAIN  : 设定指定链的默认策略
                -N  : 自定义一个新的空链
                -X:删除一个自定义的空链
                -Z:置零制定链中所有规则的计数器
                -E:重命名一条自定义链

        查看类:
                -L:显示指定表中的规则;
                        -n:以数字形式显示主机地址和端口号;
                        -v:显示详细信息
                        -vv:
                        -x:显示精确值
                        --line-numbers:显示规则号码的

eg:sudo iptables  -L  -n  -v -x

动作(target)
        ACCEPT:放行
        DROP:丢弃
        REJECT:拒绝
        DNAT:目标地址转换
        SNAT:源地址转换
        REDIRECT:端口重定向
        MASQUERAD:地址伪装
        LOG:日志
        MARK:设定标记
        NOTRACK:禁止追踪某个相应的报文
eg:

172.16.100.7  ,sshd  :22/tcp

iptables    -t  filter  -A  INPUT   -s   172.16.0.0/16   -d   172.16.100.7  -p   tcp  --dport  22  -j   ACCEPT
iptables    -t  filter  -A  ONPUT   -s   172.16.100.7   -d   172.16.0.0/16  -p   tcp  --sport  22  -j   ACCEPT
iptables 不是服务,但有服务脚本:服务脚本的主要作用在于生效保存的规则

        装在及移除iptables/netfilter相关的内核模块:

                    iptables_nat  ,  iptables_filter  ,  iptables_mangle ,  iptables_raw   ,   ip_nat  ,   ip_conntrack

ping  请求用的是icmp协议

ip_conntrack:是内核的一个模块,起到连接追踪的功能,能够追踪到哪一个连接和另外一个连接处于什么状态

© 著作权归作者所有

共有 人打赏支持
captainliu
粉丝 10
博文 106
码字总数 83678
作品 0
昌平
程序员
iptables从入门到应用

iptables从入门到应用 一、简介 1.1、是什么? iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。 1.2、发展史 防火墙的发展史就是从墙到链再...

PowerMichael
2017/07/30
0
0
linux iptables常用实例

inux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处...

jk409
2016/03/02
40
0
linux开启防火墙端口和查看,开启相关端口号

防火墙开启与关闭(即时生效,重启后失效): $ sudo service iptables start #开启$ sudo service iptables stop #关闭 防火墙开启与关闭(重启后生效): $ sudo chkconfig iptables on$ ...

柳哥
2014/11/27
0
0
linux下iptables配置

什么是 ufw 在 Ubuntu 系统下,可以使用 ufw 打开/关闭 防火墙。ufw( Uncomplicated Firewall),是Canonical公司使用python开发的 iptables 的易用版。ufw实质还是使用的 iptables,只是简化...

音视频直播技术专家
08/08
0
0
如何定义防火墙的规则iptables

防火墙,位于网络之间的,根据所定义的股则对进出网络的数据包进行匹配,病匹配到包用制定的处理机制进行处理的硬件、软件或者二者的结合 防火墙按照对数据包的获取方式进行分类,可以分为两...

Start-up
2012/11/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

wordpress 汉化

在 wp-config.php 添加 define('WPLANG','zh_CN'); 在后台,更新 now ,即可。

james_laughing
9分钟前
0
0
Android JNI开发系列(十一) JNI 访问父类的构造方法和父类实例方法

JNI 访问父类的构造方法和父类实例方法 构造方法和父类实例方法 先看一段Java代码, Java package org.professor.jni.animal;import android.util.Log;public class Animal {protecte...

蔡小鹏
15分钟前
0
0
腾讯投资最高1.75亿美元正式进军菲律宾移动支付市场

菲律宾长途电话公司(PLDT)公司今日宣布,中国互联网巨头腾讯和私募股权公司KKR将获得该公司旗下金融科技公司Voyager Innovations的少数股权。 PLDT在一份声明中称:“腾讯和KKR最多将分别收...

linuxCool
42分钟前
2
0
正则介绍及grep/egrep用法

10月16日任务 9.1 正则介绍_grep上 9.2 grep中 9.3 grep下 扩展 把一个目录下,过滤所有*.php文档中含有eval的行 grep -r --include="*.php" 'eval' /data 正则介绍 正则就是一串有规律的字符...

hhpuppy
53分钟前
1
0
J2Cache 中使用 Lettuce 替代 Jedis 管理 Redis 连接

一直以来 J2Cache 都是使用 Jedis 连接 Redis 服务的。Jedis 是一个很老牌的 Redis 的 Java 开发包,使用很稳定,作者维护很勤勉,社区上能搜到的文章也非常非常多。算是使用范围最广的 Redi...

红薯
今天
15
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部