文档章节

28_02_iptables系列之基本应用及显式扩展

captainliu
 captainliu
发布于 2017/06/01 18:27
字数 698
阅读 16
收藏 0

netfilter :Framework   ,TCP/IP ,工作在内核上
iptables:负责编写规则,并送达到netfilter的某一条链上。
iptable   [ t  TABLE ]  COMMAND  CHAIN  [ num ]  匹配条件  -j  处理动作

匹配条件:

        通用匹配
                -s   
                -d
                -p  { tcp  | udp  |  icmp } 
                -i  :指定数据报文流入接口
                -o:指定数据报文流出接口
        扩展匹配:
                隐含扩展
                        -p    tcp  
                                                --sport      SPORT[ -SPORT ]:源端口
                                                --dport      SPORT[ -SPORT ]:目标端口
                                                --tcp-flags      mask  comp:只检查mask指定的标志位,是逗号分割的标志位列表;comp:此类表中出现在mask中,且必须为1;comp中没出现,而mask中出现的,必须为0;
                                                                        --tcp-flags     SYN  ,FIN,ACK,RST    SYN  ,ACK  == --syn
                                               --syn  

                    -p     icmp

                                --icmp-type
                                                0:  echo-reply
                                                8:  echo-request
                                eg:iptables  -A   OUTPUT  -s   172.16.100.7  -p  icmp  --icmp-type  8  -j  ACCEPT
                                    iptables -A  INPUT     -d  172.16.100.7    -p icmp  --icmp-type  0   -j   ACCEPT

                  -p     udp
                            --sport
                            --dport

                    eg:
               显示扩展 :使用额外的匹配机制
                       -m   EXTESTION  --spe-opt
                        state:状态扩展
                                结合ip_conntrack追踪会话的状态
                                        NEW:新连接请求
                                        ESTABLISHED:已建立的连接
                                        INVALID:非法连接
                                        RELATED:相关联的
                                            eg:  -m  state  --state  NEW  , ESTABLISHED -j  ACCEPT 
保存规则:

                 service  iptables  save  
                        /etc/sysconfig/iptables
                iptables-save  > /etc/sysconfig/iptables.20170605
                iptables-restore  <  /etc/sysconfig/iptables.20170605          

命令:
        管理规则
                -A    附加一条规则:添加在链的尾部
                -i    CHAIN  [ num ]:插入一条规则,插入为对应chain的第num条
                -d    CHAIN  [ num ] :删除指定链中的第num条规则;
                -r   CHAIN  [ num ] :替换指定的规则
        管理链:
                -F [ CHAIN ]:flush,清空指定规则链,如果省略CHAIN,则可以删除对应表中的所有链
                -P  CHAIN  : 设定指定链的默认策略
                -N  : 自定义一个新的空链
                -X:删除一个自定义的空链
                -Z:置零制定链中所有规则的计数器
                -E:重命名一条自定义链

        查看类:
                -L:显示指定表中的规则;
                        -n:以数字形式显示主机地址和端口号;
                        -v:显示详细信息
                        -vv:
                        -x:显示精确值
                        --line-numbers:显示规则号码的

eg:sudo iptables  -L  -n  -v -x

动作(target)
        ACCEPT:放行
        DROP:丢弃
        REJECT:拒绝
        DNAT:目标地址转换
        SNAT:源地址转换
        REDIRECT:端口重定向
        MASQUERAD:地址伪装
        LOG:日志
        MARK:设定标记
        NOTRACK:禁止追踪某个相应的报文
eg:

172.16.100.7  ,sshd  :22/tcp

iptables    -t  filter  -A  INPUT   -s   172.16.0.0/16   -d   172.16.100.7  -p   tcp  --dport  22  -j   ACCEPT
iptables    -t  filter  -A  ONPUT   -s   172.16.100.7   -d   172.16.0.0/16  -p   tcp  --sport  22  -j   ACCEPT
iptables 不是服务,但有服务脚本:服务脚本的主要作用在于生效保存的规则

        装在及移除iptables/netfilter相关的内核模块:

                    iptables_nat  ,  iptables_filter  ,  iptables_mangle ,  iptables_raw   ,   ip_nat  ,   ip_conntrack

ping  请求用的是icmp协议

ip_conntrack:是内核的一个模块,起到连接追踪的功能,能够追踪到哪一个连接和另外一个连接处于什么状态

© 著作权归作者所有

共有 人打赏支持
captainliu
粉丝 11
博文 106
码字总数 83678
作品 0
昌平
程序员
私信 提问
iptables从入门到应用

iptables从入门到应用 一、简介 1.1、是什么? iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。 1.2、发展史 防火墙的发展史就是从墙到链再...

PowerMichael
2017/07/30
0
0
linux iptables常用实例

inux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处...

jk409
2016/03/02
40
0
linux开启防火墙端口和查看,开启相关端口号

防火墙开启与关闭(即时生效,重启后失效): $ sudo service iptables start #开启$ sudo service iptables stop #关闭 防火墙开启与关闭(重启后生效): $ sudo chkconfig iptables on$ ...

柳哥
2014/11/27
0
0
iptables防火墙的基本配置

在Internet中,通过架设各种服务器为用户提供各种网络服务,怎样保护这些服务器,过滤恶意的访问、入侵呢?这里主要介绍Linux系统中的防火墙——netfilter和iptables,包括防火墙的结构和匹配...

杨书凡
01/02
0
0
linux下iptables配置

什么是 ufw 在 Ubuntu 系统下,可以使用 ufw 打开/关闭 防火墙。ufw( Uncomplicated Firewall),是Canonical公司使用python开发的 iptables 的易用版。ufw实质还是使用的 iptables,只是简化...

音视频直播技术专家
08/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

Eureka Server启用 https服务指北

文章共 591字,阅读大约需要 2分钟 ! 概 述 在我的前文《Eureka Server 开启Spring Security Basic认证》中已经给 Eureka Server 开启了最基本的鉴权措施,本文则让 HTTPS加持于 Eureka Ser...

CodeSheep
16分钟前
2
0
OSChina 周二乱弹 —— 其实我在地板也睡不着

Osc乱弹歌单(2018)请戳(这里) 【今日歌曲】 @witt-z :分享歌词: 阴天 在不开灯的房间,当所有思绪都一点一点沉淀。 分享莫文蔚的单曲《阴天》: 《阴天》- 莫文蔚 手机党少年们想听歌,...

小小编辑
38分钟前
76
5
微服务分布式事务实现

https://www.processon.com/view/link/5b2144d7e4b001a14d3d2d30

WALK_MAN
今天
3
0
《大漠烟尘》读书笔记及读后感文章3700字

《大漠烟尘》读书笔记及读后感文章3700字: 在这个浮躁的社会里,你有多久没有好好读完一本书了? 我们总觉得自己和别人不一样,所以当看到别人身上的问题时,很少有“反求诸己”,反思自己。...

原创小博客
今天
4
0
大数据教程(9.5)用MR实现sql中的jion逻辑

上一篇博客讲解了使用jar -jar的方式来运行提交MR程序,以及通过修改YarnRunner的源码来实现MR的windows开发环境提交到集群的方式。本篇博主将分享sql中常见的join操作。 一、需求 订单数据表...

em_aaron
今天
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部