文档章节

28_02_iptables系列之基本应用及显式扩展

captainliu
 captainliu
发布于 2017/06/01 18:27
字数 698
阅读 14
收藏 0

netfilter :Framework   ,TCP/IP ,工作在内核上
iptables:负责编写规则,并送达到netfilter的某一条链上。
iptable   [ t  TABLE ]  COMMAND  CHAIN  [ num ]  匹配条件  -j  处理动作

匹配条件:

        通用匹配
                -s   
                -d
                -p  { tcp  | udp  |  icmp } 
                -i  :指定数据报文流入接口
                -o:指定数据报文流出接口
        扩展匹配:
                隐含扩展
                        -p    tcp  
                                                --sport      SPORT[ -SPORT ]:源端口
                                                --dport      SPORT[ -SPORT ]:目标端口
                                                --tcp-flags      mask  comp:只检查mask指定的标志位,是逗号分割的标志位列表;comp:此类表中出现在mask中,且必须为1;comp中没出现,而mask中出现的,必须为0;
                                                                        --tcp-flags     SYN  ,FIN,ACK,RST    SYN  ,ACK  == --syn
                                               --syn  

                    -p     icmp

                                --icmp-type
                                                0:  echo-reply
                                                8:  echo-request
                                eg:iptables  -A   OUTPUT  -s   172.16.100.7  -p  icmp  --icmp-type  8  -j  ACCEPT
                                    iptables -A  INPUT     -d  172.16.100.7    -p icmp  --icmp-type  0   -j   ACCEPT

                  -p     udp
                            --sport
                            --dport

                    eg:
               显示扩展 :使用额外的匹配机制
                       -m   EXTESTION  --spe-opt
                        state:状态扩展
                                结合ip_conntrack追踪会话的状态
                                        NEW:新连接请求
                                        ESTABLISHED:已建立的连接
                                        INVALID:非法连接
                                        RELATED:相关联的
                                            eg:  -m  state  --state  NEW  , ESTABLISHED -j  ACCEPT 
保存规则:

                 service  iptables  save  
                        /etc/sysconfig/iptables
                iptables-save  > /etc/sysconfig/iptables.20170605
                iptables-restore  <  /etc/sysconfig/iptables.20170605          

命令:
        管理规则
                -A    附加一条规则:添加在链的尾部
                -i    CHAIN  [ num ]:插入一条规则,插入为对应chain的第num条
                -d    CHAIN  [ num ] :删除指定链中的第num条规则;
                -r   CHAIN  [ num ] :替换指定的规则
        管理链:
                -F [ CHAIN ]:flush,清空指定规则链,如果省略CHAIN,则可以删除对应表中的所有链
                -P  CHAIN  : 设定指定链的默认策略
                -N  : 自定义一个新的空链
                -X:删除一个自定义的空链
                -Z:置零制定链中所有规则的计数器
                -E:重命名一条自定义链

        查看类:
                -L:显示指定表中的规则;
                        -n:以数字形式显示主机地址和端口号;
                        -v:显示详细信息
                        -vv:
                        -x:显示精确值
                        --line-numbers:显示规则号码的

eg:sudo iptables  -L  -n  -v -x

动作(target)
        ACCEPT:放行
        DROP:丢弃
        REJECT:拒绝
        DNAT:目标地址转换
        SNAT:源地址转换
        REDIRECT:端口重定向
        MASQUERAD:地址伪装
        LOG:日志
        MARK:设定标记
        NOTRACK:禁止追踪某个相应的报文
eg:

172.16.100.7  ,sshd  :22/tcp

iptables    -t  filter  -A  INPUT   -s   172.16.0.0/16   -d   172.16.100.7  -p   tcp  --dport  22  -j   ACCEPT
iptables    -t  filter  -A  ONPUT   -s   172.16.100.7   -d   172.16.0.0/16  -p   tcp  --sport  22  -j   ACCEPT
iptables 不是服务,但有服务脚本:服务脚本的主要作用在于生效保存的规则

        装在及移除iptables/netfilter相关的内核模块:

                    iptables_nat  ,  iptables_filter  ,  iptables_mangle ,  iptables_raw   ,   ip_nat  ,   ip_conntrack

ping  请求用的是icmp协议

ip_conntrack:是内核的一个模块,起到连接追踪的功能,能够追踪到哪一个连接和另外一个连接处于什么状态

© 著作权归作者所有

共有 人打赏支持
captainliu
粉丝 10
博文 106
码字总数 83678
作品 0
昌平
程序员
iptables从入门到应用

iptables从入门到应用 一、简介 1.1、是什么? iptables是隔离主机以及网络的工具,通过自己设定的规则以及处理动作对数据报文进行检测以及处理。 1.2、发展史 防火墙的发展史就是从墙到链再...

PowerMichael
2017/07/30
0
0
linux iptables常用实例

inux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处...

jk409
2016/03/02
40
0
linux开启防火墙端口和查看,开启相关端口号

防火墙开启与关闭(即时生效,重启后失效): $ sudo service iptables start #开启$ sudo service iptables stop #关闭 防火墙开启与关闭(重启后生效): $ sudo chkconfig iptables on$ ...

柳哥
2014/11/27
0
0
iptables防火墙的基本配置

在Internet中,通过架设各种服务器为用户提供各种网络服务,怎样保护这些服务器,过滤恶意的访问、入侵呢?这里主要介绍Linux系统中的防火墙——netfilter和iptables,包括防火墙的结构和匹配...

杨书凡
01/02
0
0
如何定义防火墙的规则iptables

防火墙,位于网络之间的,根据所定义的股则对进出网络的数据包进行匹配,病匹配到包用制定的处理机制进行处理的硬件、软件或者二者的结合 防火墙按照对数据包的获取方式进行分类,可以分为两...

Start-up
2012/11/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

SpringCloud SpringBoot mybatis分布式Web应用的统一异常处理

我们在做Web应用的时候,请求处理过程中发生错误是非常常见的情况。Spring Boot提供了一个默认的映射:/error,当处理中抛出异常之后,会转到该请求中处理,并且该请求有一个全局的错误页面用...

itcloud
18分钟前
0
0
c++ std::bind和std::function

定义于头文件 <functional> std::bind 函数绑定,https://zh.cppreference.com/w/cpp/utility/functional/bind // bind 用例#include <iostream>#include <functional> // 自定义的一......

SibylY
21分钟前
0
0
SecureCRT的安装与破解(过程很详细!!!)

SecureCRT的安装与破解(过程很详细!!!) SecureCRT的安装与破解(过程很详细!!!) 使用SecureCRT可以方便用户在windows环境下对linux主机进行管理,这里为大家讲一下SecureCRT的破解方...

DemonsI
25分钟前
0
0
介绍几款可用的web应用防火墙

目前有两款,基于软件和基于应用程序的web应用防火墙。基于软件的产品布置在Web服务器上,而基于应用程序的产品放置在Web服务器和互联网接口之间。两种类型的防火墙都会在数据传入和传出web...

上树的熊
32分钟前
1
0
用Visual Studio开发以太坊智能合约

区块链和以太坊 自从我熟悉区块链、以太坊和智能合约以来,一直失眠。 我一直在阅读,阅读和阅读,最后我能够使用一些工具,他们建议使用以太坊网站官方客户端应用程序(Ethereum Wallet)也...

geek12345
34分钟前
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部