iptables简介1及常用命令

本文涉及的产品
云防火墙,500元 1000GB
简介: 第一章:简述iptables是一个用户态工具,用于操作linux内核部分的netfilter模块(包过滤),用来完成防火墙相关的工作。linux的netfilter工作于2层(开启bridge-nf时刻)和3层(ip层),可以对ip包,二层数据链路包进行操作;而市面上还有一种防火墙是应用层防火墙,可以对应用层包进行检查(过滤)。

第一章:简述

iptables是一个用户态工具,用于操作linux内核部分的netfilter模块(包过滤),用来完成防火墙相关的工作。linux的netfilter工作于2层(开启bridge-nf时刻)和3层(ip层),可以对ip包,二层数据链路包进行操作;而市面上还有一种防火墙是应用层防火墙,可以对应用层包进行检查(过滤)。所以linux iptables只能作为一个基础防火墙。


作为用户态工具,iptables是firewalld和iptables(服务)的底层接口。


img_0da4050d69447487d0227dc9082c0f0c.png
图1-1

iptables用户态工具包含了一下详细包:iptables——ip v4 包过滤

ip6table——ip v6

arptables——arp

ebtables——ethnet包过滤,用于bridge

同时iptables也可以作为linux netfilter内核模块的代称在内核里是x_tables实现,在linux3.13以后内核用nftables替代了x_tables实现。x_tables实现的包过滤,也被称为Xtables架构。

1.1 基础概念

在iptables里被提的最多的是“四表五链”这样一个概念。

表(table):不同的表象征着不同的包处理的目的。例如我们有:filter、nat、mangle、raw 四个表,表示包过滤有如上所述四个目的。

规则:是由管理员定义的包匹配规则,当包匹配发生以后,就执行规则定义的target。

匹配(match):规则命中的条件。常规匹配、conntrack匹配,phydev匹配、addrtype匹配、state匹配等等。

Target:就是包匹配以后执行的动作。常见的动作有:accept、drop、reject、snat、dnat、log、masqurade、log、return、queue。

链(chain):指的是包过滤的锚点,也就是说包过滤在内核协议栈的哪些地方生效。链里保存有一系列的有先后次序决定优先级的规则。

五链指的是:prerouting,forwarding,input,output 和postrouting这五个链。

它们具体的位置如下图:


img_410a6bd4e23459740292ece052d3936e.png
图1-2

图1-2 中input表示数据包被送给本地应用之前;output表示来自上层发送的报文。Prerouting 是在包进入协议栈以后第一个过滤点,forward是包被转发时候的过滤点,Postrouting是包被转发完毕或者包被output处理之后需要发送出去的时候的过滤点。IN表示送入到协议栈的包,OUT表示送出协议栈的包。这就是著名的“五链”。

在图1-2中同时列出了四表在五链中的使用。

对于接收自网络的包其iptable表链处理流程图如下(在没有brdige时刻)


img_55414a2f9a294b841c229f24d5d93375.png
图1-3

对于从本机发出去的数据包,流向是


img_be8910baeb708c4efeb142f0a5acf9a4.png
图1-4

图1-4中的nat output用于处理防火墙自身发出的包

2、iptables常用调试命令

IPTables -t table-name -nL 显示某个表的所有链的信息

IPTables -t table-name -nL -Z 显示某个表所有链信息的时刻将包计数器清零

IPTables -t table-name -nL -v 显示某个表包计数器的情况。

iptables -S 将iptables所有链全部打印出来,以iptables-save的格式打印

目录
相关文章
|
网络协议 Linux
Linux网络常用命令
Linux网络常用命令
340 2
|
网络协议 Linux 网络安全
Linux系列——关于防火墙iptables的常用命令
Linux系列——关于防火墙iptables的常用命令
|
网络协议 Linux 网络安全
iptables常用命令小清单
iptables常用命令小清单
1166 0
iptables常用命令小清单
|
2月前
|
机器学习/深度学习 安全 网络协议
Linux防火墙iptables命令管理入门
本文介绍了关于Linux防火墙iptables命令管理入门的教程,涵盖了iptables的基本概念、语法格式、常用参数、基础查询操作以及链和规则管理等内容。
223 73
|
5月前
|
Linux 网络安全
iptables 技术简介
iptables 技术简介
|
6月前
|
安全 网络协议 Linux
Linux网络常用命令解析
Linux网络常用命令解析
63 0
|
网络协议 应用服务中间件 Linux
Linux iptables是什么?iptables和docker的关系?
iptables是Linux系统中用来配置防火墙的命令。iptables是工作在TCP/IP的二、三、四层,当主机收到一个数据包后,数据包先在内核空间处理,若发现目标地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目标不是自身,则会将包丢弃或进行转发。
288 0
|
网络协议 算法 Linux
iptables 常用命令
使用 -t 选项指定了要操作的表,此处指定了操作 filter 表,与之前的查看命令一样,不使用-t 选项指定表时,默认为操作 filter 表。 使用-I 选项,指明将”规则”插入至哪个链中,-I 表示 insert,即插入的意思,所以-I INPUT 表示将规则插入于 INPUT 链中,即添加规则之意。 使用-s 选项,指明”匹配条件”中的”源地址”,即如果报文的源地址属于-s 对应的地址,那么报文则满足匹配条件,-s 为 source 之意,表示源地址。
|
网络协议 安全 开发者
iptables 命令使用 | 学习笔记
快速学习iptables 命令使用
iptables 命令使用 | 学习笔记