专栏首页北京马哥教育Iptables防火墙 基础知识

Iptables防火墙 基础知识

Iptables防火墙 基础知识

位置

使用vim /usr/sysconfig/iptables

启动、关闭、保存

service iptables stop

service iptables start

service iptables restart

service iptables save

结构

iptables –> tables –> chains –>rules

iptables的表与链

iptables具有Filter,NAT,Mangle,Raw四种内建表

Filter表

filter表示iptables的默认表,它具有三种内建链:

input chain - 处理来之外部的数据

output chain - 处理向外发送的数据

forward chain- 将数据转发到本机的其它网卡上

NAT表

NAT有三种内建的链:

prerouting - 处理刚到达本机并在路由转发前的数据包,它会转换数据包中的目标IP地址(destination ip address),通常用于DNAT(destination NAT)。

postrouting - 处理即将离开本机数据包,它会转换数据包中的源目标IP地址(source ip address),通常SNAT(source NAT)

output - 处理本机产生的数据包

Mangle表

Mangle表用于指定如何处理数据包,它能改变TCP头中的Qos位,Mangle表具有5个内建链

prerouting

output

forward

input

postrouting

Raw表

raw表用户处理异常,它具有2个内建链

prerouting chain

output chain

Iptables规则(Rules)

rules包括一个条件和一个目标(target)

如果满足条件就执行目标target中规则或者特定值

如果不满足条件,就判断下一条Rules

目标值

accept - 允许防火墙接收数据包

drop - 防火墙丢弃数据包

queue - 防火墙将数据包移交到用户空间

return - 防火墙停止执行当前链中的后续rules规则,并返回到调用链(the calling chain)

命令

#iptables -t filter -L 查看filter表

#iptables -t nat -L 查看nat表

#iptables -t mangel -L 查看mangel表

#iptables -t raw -L 查看Raw表

例如 以下例子表明在filter表的input链, forward链, output链中存在规则:

# iptables --list

Chain INPUT (policy ACCEPT)

num target prot opt source destination

1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)

num target prot opt source destination

1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)

num target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)

num target prot opt source destination

1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255

3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0

4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0

5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353

6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631

7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631

8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22

10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited

字段说明

num:编号

target:目标

prot:协议

source:数据包的源IP地址

destination:数据包的目标地址

4.1 清空所有的规则

#iptables –flush

本文分享自微信公众号 - 马哥Linux运维(magedu-Linux)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-08-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Python自然语言处理分析倚天屠龙记

    ? 转载自:Python中文社区 ID:python-china 最近在了解到,在机器学习中,自然语言处理是较大的一个分支。存在许多挑战。例如: 如何...

    小小科
  • 必备神技能 | MySQL 查找删除重复行

    来源:码农有道 ID:b497155298 本文讲述如何查找数据库里重复的行。这是初学者十分普遍遇到的问题。方法也很简单。这个问题还可以有其他演变,例如,如何...

    小小科
  • 小 200 行 Python 代码做了一个换脸程序

    简介 在这篇文章中我将介绍如何写一个简短(200行)的 Python 脚本,来自动地将一幅图片的脸替换为另一幅图片的脸。 这个过程分四步: 检测脸部标记。 旋转...

    小小科
  • linux基础(day 33)

    10.11 Linux网络相关 linux网络相关 ifconfig命令,可以查看虚拟网卡,而ip addr命令则不能查看 ifconfig查看网卡ip(yum...

    运维小白
  • 事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源

    近日,腾讯安全云鼎实验室监测到大量主机被入侵并添加了一个名为“vusr_dx$”的隐藏帐号;同时,云鼎实验室还监测到此类帐号被大量创建的同时存在对应帐号异地登...

    云鼎实验室
  • 基于J1939的bootloader

    在做正式的产品时候,经常我们的产品需要可以升级固件,这时候就需要bootloader引导,而在车载上,基于J1939的bootloader可靠性非常重要。要能够...

    用户1605515
  • 六度CRM x 魔学院,尖物组合打造企业数字化销售部|腾讯SaaS加速器·案例库

    ? 来源 | 腾讯SaaS加速器首期项目-六度人和&魔学院 ---- 5月18日,腾讯云SaaS加速器成员六度CRM联合魔学院举办了一场主题为“因疫而变,销售...

    腾讯SaaS加速器
  • Inverse kinematics

    V-REP的逆运动学(IK)计算模块非常强大和灵活。它允许处理几乎任何类型的机构在逆运动学模式(IK模式)或正运动学模式(FK模式)。IK的问题可以被看作是找到...

    六四零
  • 用 Python 对成绩分类汇总

    这学期我们每个人需要填写三张学年鉴定表,每一张表中都有学业总平均分和考试课平均分两项内容,如果想用手工的方式算出这两项内容不知道要花多久,所以我建议编写一个算法...

    不可言诉的深渊
  • Spring 面试问题 TOP 50

    Spring Framework 现在几乎已成为 Java Web 开发的标配框架。那么,作为 Java 程序员,你对 Spring 的主要技术点又掌握了多少呢...

    方志朋

扫码关注云+社区

领取腾讯云代金券