Iptables防火墙四表五链概念及使用技巧详解

目录
  • 1.链的概念
  • 2.Iptables五种链的概念
  • 3.Iptables数据流向经过的表
  • 4.Iptables防火墙四种表的概念
  • 5.Iptables防火墙表与链之间的优先级概念
  • 6.Iptables防火墙表和链之间的使用技巧
    • **问题1:**
    • **问题2:**
    • 结论:
  • 7.Iptables防火墙几种动作

1.链的概念

在防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置很多种策略,多个策略形成一个链,其实也可以理解成是分组的概念,在Iptables防火墙中针对不同的链路共分为五种不同的链。

如下图所示,当数据报文进入链之后,首先匹配第一条规则,如果第一条规则通过则访问,如果不匹配,则接着向下匹配,如果链中的所有规则都不匹配,那么就按照链的默认规则处理数据报文的动作。

2.Iptables五种链的概念

Iptables有五种不同的链,分别是INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING。

  • INPUT:从外界进入防火墙的数据包会应用此规则链中的策略。
  • OUTPUT:当前服务器从防火墙外出的数据表会应用此规则链中的策略。
  • FORWARD:转发数据包时会应用此规则链中的策略。
  • PREROUTING:主机外的报文要进入防火墙,所有的数据包进来的时候都会由PREROUTING链进行处理。
  • POSTROUTING:主机内的报文要从防火墙出去,需要经过POSTROUTING链进行处理。

3.Iptables数据流向经过的表

请求报文流入本地要经过的链:

请求报文要进入本机的某个应用程序,首先会到达Iptables防火墙的PREROUTING链,然后又PREROUTING链转发到INPUT链,最后转发到所在的应用程序上。

PREROUTING--->INPUT--->PROCESS

请求报文从本机流出要经过的链:

请求报文读取完应用程序要从本机流出,首先要经过Iptables的OUTPUT链,然后转发到POSTROUTING链,最后从本机成功流出。

PROCESS--->OUTPUT--->POSTROUTING

请求报文经过本机向其他主机转发时要经过的链:

请求报文要经过本机向其他的主机进行换发时,首先进入A主机的PREROUTING链,此时不会被转发到INPUT链,因为不是发给本机的请求报文,此时会通过FORWARD链进行转发,然后从A主机的POSTROUTING链流出,最后到达B主机的PREROUTING链。

PREROUTING--->FORWARD--->POSTROUTING

4.Iptables防火墙四种表的概念

**Iptables防火墙中表的概念:**在一个链中会有很多的防火墙规则,我们将具有同一种类型的规则组成一个集合,这个集合就叫做表,表可以简单的列成是一些具有同样类型的规则的分组,例如关于IP地址转换的策略都放在一个表中、修改数据保报文的策略都放在一个表中。

在Iptables防火墙中包含四种常见的表,分别是filter、nat、mangle、raw。

  • filter:负责过滤数据包。

    • filter表可以管理INPUT、OUTPUT、FORWARD链。
  • nat:用于网络地址转换。
    • nat表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING链。
  • mangle:修改数据包中的内容,例如服务类型、TTL、QOS等等。
    • mangle表可以管理PREROUTING、INPUT、OUTPUT、POSTROUTING、FORWARD链。
  • raw:决定数据包是否被状态跟踪机制处理。
    • raw表可以管理PREROUTING、OUTPUT链。

5.Iptables防火墙表与链之间的优先级概念

在Iptables防火墙中,表与链之间是存在优先级的关系的,因为每张表的作用都是不同的,一张表会同时存放在多个链中,当一条数据报文进入一个链后,会按照表的优先级顺序依次匹配对应的规则。

Iptables防火墙表的优先级顺序:raw--->mangle--->nat--->filter。

如下图所示,当数据报文进入PREROUTING链时,首先规匹配raw表中的规则,然后在匹配mangle表中的规则,最后在匹配nat表的规则,按照优先级顺序依次匹配。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4e31sEnS-1657242939282)(G:\01-运维技术文档整理\Iptables\01-Iptables防火墙核心理论概念.assets\image-20220428235007852.png)]

6.Iptables防火墙表和链之间的使用技巧

从以下三个问题中掌握防火墙表和链之间的使用技巧。

首先牢记各个链对应的表有那些:

链名 对应的表名
INPUT mangle、nat、filter
OUTPUT raw、mangle、Nat、filter
FORWARD mangle、filter
PREROUTING raw、mangle、nat
POSTROUTING mangle、nat

记忆技巧:进出第一关的链都没有fileter表,第一个进链除fileter都包含,input除raw都有、output全有、出链只有mangle和nat、forward只有mongle和filter。

**问题1:**

来自于10.0.0.1的地址,访问本机的web服务请求都不允许,应该在哪个表的哪个链上设定规则?

源地址为10.0.0.1的IP访问本机的WEB请求时不允许,属于数据流入的操作,首先要分析会经过那些Iptables链?

源地址到本地服务会经过Iptables的PREROUTING和INPUT链,做这种规则时,都会坚定最近位置处做策略,但是也要结合实际的功能,PREROUTING链离源地址最近,但是没有过滤的表,在PREROUTING中的表有mangle、nat,没有负责做过滤的表,因此就要判断第二个链,也就是INPUT链,在INPUT链中包含mangle、nat、filter表,在INPUT链中添加策略是最合适的。

最终的结果就是在INPUT链的filter表中添加具体的策略。

**问题2:**

所有由本机发往10.0.0.0/24网段的TCP服务都不允许?

从本机发往其他主机的TCP服务请求,属于数据流出的操作,会经过PREROUTING链和OUTPUT链,到达目标地址的数据保温都拒绝,这种类似的需求,一般都是由过滤表filter来实现,PREROUTING链包含的表有mangle、nat这两张,没有过滤表,OUTPUT链有raw、mangle、Nat、filter四张表,最终的结果就是在OUTPUT链的filter表添加具体的策略。

**问题3:**所有来自己本地内部网络的主机,向互联网发送web服务器请求都允许?

到达本机的请求报文向互联网发送请求,属于数据转发的操作,会经过PREROUTING、FORWARD和POSTROUTING三个连,这种允许和拒绝都是在filter表中操作的,因此找到含有filter表并且距离目标端最近的链中添加合适的规则,最终的结果就是在filter表中添加具体的操作。

结论:

1)首先要知道要实现的需求含义,然后根据需求判断出要在哪一个表中实现该策略。

2)然后摸清楚报文要经过的链,坚定在距离源/目的最近的链做策略。

3)最后根据链包含的表,判断出要将规则添加到哪一个链的表中。

7.Iptables防火墙几种动作

ACCEPT:将数据包放行。

REJECT:拒绝该数据包通行,阻拦数据包。

DROP:丢弃数据包,不给予任何处理。

REDIRECT:重定向。

以上就是Iptables防火墙四表五链概念及使用技巧详解的详细内容,更多关于Iptables防火墙四表五链的资料请关注我们其它相关文章!

(0)

相关推荐

  • Iptables防火墙connlimit与time模块扩展匹配规则

    目录 Iptables防火墙connlimit模块扩展匹配规则 connlimit模块常用参数: Iptables防火墙time模块扩展匹配规则 time模块的常用参数: Iptables防火墙connlimit模块扩展匹配规则 connlimit模块的作用是限制请求报文对特定服务的并发连接数限制的,例如Telnet服务,默认情况下没有并发连接数的限制,可以允许n个客户端同时连接,如果应用了connlimit模块,可以对并发连接数进行限制. connlimit模块常用参数: --connlimi

  • Iptables防火墙自定义链表实现方式

    目录 1.为什么要自定义链 2.自定义链的基本应用 3.删除自定义的链 1.为什么要自定义链 为什么需要自定义链呢?默认的四表五链不满足基本使用吗?其实并不是,四表五链完全满足使用,但是当我们同一类程序有很多个防火墙规则时,例如都写在INPUT链中,那么当我们要对其中的一条规则进行调整了,就会发现上下有关联性,修改起来不是那么容器,因为这个INPUT链中还有其他的服务规则. 基于这种情况,我们就可以去自定义一张新的链,在这个链中,只定义这一类程序的防火墙规则. 自定义链的规则优先级: 请求首先到

  • Iptables防火墙string模块扩展匹配规则

    Iptables防火墙string模块扩展匹配规则 String模块的作用是来匹配请求报文中指定的字符串,经常应用于拦截用户访问某些网站的场景,将防火墙当做路由器使用,例如上班时间不允许用户访问淘宝网站等等场景. String模块的常用参数: --string pattern:指定要匹配的字符串. ! --string pattern:反向匹配. --algo:指定匹配的查询算法,有bm和kmp两种算法. 可以在参数前面加!号表示去反. 案例:当用户请求的数据报文中包含taobao.com,则拒

  • Iptables防火墙limit模块扩展匹配规则详解

    目录 Iptables防火墙limit模块扩展匹配规则 @[TOC] 1.限制每分钟接收10个ICMP数据报文 2.允许10个数据报文快速通过,然后限制每分钟接收1个个ICMP数据报文 3.限速案例,限制网络传输的带宽不可以超过500k/s Iptables防火墙limit模块扩展匹配规则 @[TOC] limit模块的作用是针对报文的速率进行限制,限制的单位有秒.分钟.小时.天等,例如一分钟内只接收10个请求报文,多余的报文则会被丢弃. limit模块的常用参数: --limit rate[/

  • Iptables防火墙iprange模块扩展匹配规则详解

    目录 Iptables防火墙iprange模块扩展匹配规则 案例: 1)编写防火墙规则 2)查看添加的规则 3)测试效果 Iptables防火墙iprange模块扩展匹配规则 iprange模块可以同时设置多个IP或者设置IP的某一段连续的范围,通过iprange模块可以对多个来源地址同时设置策略. iprange模块的参数: --src-range:指定源地址范围. --dst-range:指定目标地址范围. ! --src-range:非指定的源地址. ! --dst-range:非指定的目

  • Iptables防火墙tcp-flags模块扩展匹配规则详解

    目录 Iptables防火墙tcp-flags模块扩展匹配规则 **案例:** 1)编写具体的防火墙规则 2)查看设置的防火墙规则 3)查看效果 Iptables防火墙tcp-flags模块扩展匹配规则 tcp-flags模块的作用是判断TCP协议数据报文标志位的返回值的,在TCP的三次握手中,第一次握手客户端向服务器发送syn=1的数据报文,第二次握手服务端向客户端发送sync和ack=1的报文,第三次握手客户端向服务端发送ack=1的报文. tcp-flags模块就是来判断发送报文中指定的标

  • Iptables防火墙基本匹配条件应用详解

    目录 引言 基本匹配条件案例一 **需求:** 1)实现该需求的防火墙规则如下 2)查看设置的防火墙规则 3)测试结果 基本匹配条件案例二 1)实现该需求的防火墙规则如下 2)查看设置的防火墙规则 3)测试结果 基本匹配条件案例三 1)实现该需求的防火墙规则如下 2)查看设置的防火墙规则 3)测试结果 引言 @[TOC] 应用匹配条件时,经常会用到以下几个参数. -p:指定要操作的协议类型,不指定-p参数声明是那种协议,默认是all,也就是所有协议. -s:指定源地址. -d:指定目标地址. -

  • Iptables防火墙四表五链概念及使用技巧详解

    目录 1.链的概念 2.Iptables五种链的概念 3.Iptables数据流向经过的表 4.Iptables防火墙四种表的概念 5.Iptables防火墙表与链之间的优先级概念 6.Iptables防火墙表和链之间的使用技巧 **问题1:** **问题2:** 结论: 7.Iptables防火墙几种动作 1.链的概念 在防火墙中,用户想要成功进入内网环境,就需要发送请求报文,请求报文要和防火墙设置的各种规则进行匹配和判断,最后执行相应的动作(放行或者拒绝),一个防火墙中通常针对不同的来源设置

  • C语言线性表的链式表示及实现详解

    目录 前言 代码实现 1. 单链表的结点构造 2. 构造一个空的头结点 3. 对线性表进行赋值 4.对线性表进行销毁 5.对线性表进行重置 6.判断线性表是否为空 7.获取线性表的长度 8.获取线性表某一位置对应的元素 9.在线性表某一位置插入元素 10.删除线性表某一位置的元素 11.求线性表某一元素的前驱 12.求线性表某一元素的后继 13.打印线性表 运行结果演示 源码 前言 线性表的顺序表示指的是用一组地址连续的存储单元依次存储线性表的数据元素,而线性表的链式存储特点则是用一组任意的存储

  • 计算机程序设计并行计算概念及定义全面详解

    目录 1 摘要 2 概述 2.1 什么是并行计算? 2.2 为什么要并行计算? 2.3 谁都在使用并行计算? 科学界和工程界: 工业界和商业界: 全球应用: 3 概念和术语 3.1 冯诺依曼体系结构 3.2 弗林的经典分类 3.3 一些常见的并行计算术语 3.4 并行程序的缺陷和代价 复杂性: 可移植性: 资源需求: 可扩展性: 4 并行计算机的内存架构 4.1 共享内存 统一内存存取(Uniform Memory Access): 非统一内存存取(Non-Uniform Memory Acce

  • C语言顺序表的基本结构与实现思路详解

    目录 一.顺序表的概念与结构 1.线性表的解释 2.顺序表概念解释 二.顺序表的思路及代码实现详解 1.静态顺序表的实现 2.动态顺序表思路及代码实现 2.1 动态顺序表的整体思路 2.2 定义结构体的实现 2.3 初始化结构体 2.4 结构体打印 2.5 检查数组容量 2.6 头插 2.7 尾插 2.8 头删 2.9 尾删 2.10 任意删除 2.11 任意插入 2.12 空间释放 三.顺序表代码整合 SeqList.h SeqList.c test.c 一.顺序表的概念与结构 1.线性表的解

  • 微信小程序中form 表单提交和取值实例详解

    微信小程序中form 表单提交和取值实例详解 我们知道,如果我们直接给 input 添加 bindinput,比如:<input bindinput="onUsernameInput" />,那么可以在 onUsernameInput 中直接使用 e.detail.value,即: onUsernameInput : function(e) { e.detail.value; } 但是,如果有多个输入控件,我们不可能为每个控件添加 bindinput.bindchange

  • MySQL中dd::columns表结构转table过程及应用详解

    目录 一.MySQL的dd表介绍 二.代码跟踪 三.知识应用 四.总结 一.MySQL的dd表介绍 MySQL的dd表是用来存放表结构和各种建表信息的,客户端建的表都存在mysql.table和mysql.columns表里,还有一个表mysql.column_type_elements比较特殊,用来存放SET和ENUM类型的字段集合值信息.看一下下面这张表的mysql.columns表和mysql.column_type_elements信息.为了缩短显示长度,这里只展示几个重要的值. #建表

  • jQuery.Validate表单验证插件的使用示例详解

    jQuery Validate 插件为表单提供了强大的验证功能,让客户端表单验证变得更简单,同时提供了大量的定制选项,满足应用程序各种需求. 请在这里查看示例 validate示例 示例包含 验证错误时,显示红色错误提示 自定义验证规则 引入中文错误提示 重置表单需要执行2句话 源码示例 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <

  • bootstrap中的 form表单属性role="form"的作用详解

    html 里面的 role 本质上是增强语义性,当现有的HTML标签不能充分表达语义性的时候,就可以借助role来说明.通常这种情况出现在一些自定义的组件上,这样可增强组件的可访问性.可用性和可交互性. role的作用是描述一个非标准的tag的实际作用.比如用div做button,那么设置div 的 role="button",辅助工具就可以认出这实际上是个button 比如, <div role="checkbox" aria-checked="c

  • PHP实现链式操作的原理详解

    在一个类中有多个方法,当你实例化这个类,并调用方法时只能一个一个调用,类似: db.php <?php class db { public function where() { //code here } public function order() { //code here } public function limit() { //code here } } index.php <?php $db = new db(); $db->where(); $db->order()

  • java四种引用及在LeakCanery中应用详解

    java 四种引用 Java4种引用的级别由高到低依次为: StrongReference  >  SoftReference  >  WeakReference  >  PhantomReference 1. StrongReference String tag = new String("T"); 此处的 tag 引用就称之为强引用.而强引用有以下特征: 1. 强引用可以直接访问目标对象. 2. 强引用所指向的对象在任何时候都不会被系统回收. 3. 强引用可能导致

随机推荐