linux下的防火墙iptables

防火墙(firewall),也称为防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。它是一项信息安全的防护系统,依照特定的规则,允许或者是限制传输的数据通过。

  • 简介

  防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在linux内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中,而

netfilter/iptables IP信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。

虽然netfilter/iptables IP信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter和iptables组成的。

  netfilter组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。

  iptables组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。

  • 系统优点

  netfilter/iptables的最大优点是它可以配置有状态的防火墙。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时,防火墙所使用的这些状态信息可以增加其效率和速度。这里有四种有效状态,名称分别为ESTABLISHED、INVALID、NEW和related.

  状态ESTABLISHED指出该信息包属于已建立的连接,该链接一直用于发送和接收信息包并且完全有效。

  状态INVALID指出该信息包与任何已知的流或连接都不相关联,它可能包含错误的数据或头。

  状态NEW意味着该信息包已经或将启动新的连接,或者它与尚未用于发送和接收信息包的连接相关联。

  最后,状态RELATED表示该信息包正在启动新的连接,以及它与已建立的连接相关联。

netfilter/iptables的另一个重要优点是,它使用户可以完全控制防火墙配置和信息包过滤。你可以定制自己的规则来满足你的特定需求,从而只允许你想要的网络流量进入系统。

  • 命令说明

iptables是用来设置、维护和检查linux内核的ip包过滤规则的。

  可以定义不同个表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对和其相对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作“target”,也可以跳向同一个表内的用户定义的链。

  targets

  防火墙的规则指定所检查包的特征和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则则由目标值去确定。该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过],DROP[删除],QUEUE[排队],或者 RETURN[返回]。

  ACCEPT 表示让这个包通过。

  DROP表示将这个包丢弃。

  QUEUE表示把这个包传递到用户空间。

  RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。

  tables

  当前有三个表。(哪个表是当前表取决于内核配置选项和当前模块)

  iptables命令的-t选项指定要操作的匹配的表。如果内核被配置为自动加载模块,这时若没模块没有加载,(系统)将尝试(为该表)加载适合的模块。这些表如下:

  filter,这是默认的表,包含了内建的链INPUT、FORWARD和OUTPUT。

  nat,这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成:prerouting、output、postrouting。

  mangle这个表用来对指定的包进行修改。他有两个内建的规则:prerouting和output。

ip数据包流向流程

iptables语法

iptables [- t table] {-A|-D|-R|-E|...|   action   } chain rule-specification

iptables后跟着需要操作的表名称,接着是链名称,但是需要指定对链操作的动作,再然后就是队则的指定,即各种命令选项的集合。

转自:百度百科 iptables

时间: 2024-10-08 19:58:59

linux下的防火墙iptables的相关文章

Linux下的配置iptables防火墙增强服务器安全

Linux下的配置iptables防火墙增强服务器安全 实验要求 iptables常见概念 iptables服务器安装及相关配置文件 实战:iptables使用方法 例1:使用iptables防火墙保护公司web服务器 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 例3:限制某些IP地址访问服务器 例4:使用DNAT功能把内网web服务器端口映射到路由器外网 实验环境 iptables服务端:xuegod-63   IP:192.168.1.63 iptables客户端:x

linux下如何修改iptables开启80端口

最近在做本地服务器的环境,发现网站localhost能正常访问,用ip访问就访问不了,经常使用CentOS的朋友,可能会遇到和我一样的问题.开启了防火墙导致80端口无法访问,刚开始学习centos的朋友可以参考下. www.2cto.com 经常使用CentOS的朋友,可能会遇到和我一样的问题.最近在Linux CentOS防火墙下安装配置 ORACLE 数据库的时候,总显示因为网络端口而导致的EM安装失败,遂打算先关闭一下CentOS防火墙.偶然看到CentOS防火墙的配置操作说明,感觉不错.

Linux下关闭防火墙的几种方法

查看防火墙状态 iptables -L or service iptables status 临时性关闭防火墙 iptables -F or service iptables stop 永久性关闭防火墙(重启生效) chkconfig iptables off

iptables linux下的防火墙

iptables: 查看防火墙信息: sudo iptables -L -v 设置防火墙(客户端 --> 服务器): sudo iptables -A INPUT -s ipaddress(客户端的ip) -p tcp --dport 61616 -j ACCEPT 设置防火墙(服务器-->客户端) sudo iptables -A OUTPUT -d ipaddress(客户端的ip) -p tcp --sport 61616 -j ACCEPT 版权声明:本文为博主原创文章,未经博主允许不

linux下的防火墙(iptables / netfilter)--我的学习记录

什么是防火墙? 工作于主机或网络的边缘,对于进出的报文根据事先定义的规则作检查,将那些能够被规则所匹配到的报文作出相应处理的组件. centos6.6上的防火墙组件: netfilter:过滤器,内核中工作在tcp/ip网络协议栈上的框架 iptables:过滤规则的编写工具,定义的规则通过内核接口直接送至内核,立即生效,但不会永久有效:果期望有永久有效,需要保存至配置文件中,此文件还开机时加载和由用户手工加载:iptables可以自动实现规则语法检查. netfilter在TCP/IP协议栈上

Linux中的防火墙----iptables

防火墙,它是一种位于内部网络与外部网络之间的网络安全系统.一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过. 防火墙根据主要的功能可分为网络层防火墙.应用层防火墙.数据库防火墙. 网络层防火墙主要是根据网络层.传输层的封包的属性来制定防火墙的规则,主要依据是源IP和目的IP地址,源端口和目的端口 防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延. 数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统.基于主动防御机制,实现数据库

洞悉linux下的Netfilter&iptables:什么是Netfilter?

本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了.趁有时间,好好把这方面的东西总结一番.一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步. 能在CU上混的人绝非等闲之辈.因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables到内核态的Netfilter其交互过程和通信手段等.至于iptables的入门用法方面的东西,网上随便一搜罗就有一大

linux下的防火墙

Firewall是一种隔离工具,工作于主机或网络的边缘,对经由的报文根据预先定义的规则(识别条件)进行检测,对于能够被规则匹配到的报文实行某预定义的处理机制的一套组件,主要有以下四种: 硬件防火墙:在硬件级别能部分防火墙,另一部分功能基于软件实现: 软件防火墙:应用软件处理逻辑运行通用硬件实现的防火墙: 主机防火墙:服务范围为当前主机: 网络防火墙:服务范围为局域网: 本文将介绍的是防火墙工具iptables. 1.iptables结构 iptables由五个表和五个链以及一些规则组成:五个表t

(一)洞悉linux下的Netfilter&iptables:什么是Netfilter?

本人研究linux的防火墙系统也有一段时间了,由于近来涉及到的工作比较纷杂,久而久之怕生熟了.趁有时间,好好把这方面的东西总结一番.一来是给自己做个沉淀,二来也欢迎这方面比较牛的前辈给小弟予以指点,共同学习,共同进步. 能在CU上混的人绝非等闲之辈.因此,小弟这里说明一下:本系列博文主要侧重于分析Netfilter的实现机制,原理和设计思想层面的东西,同时从用户态的iptables到内核态的Netfilter其交互过程和通信手段等.至于iptables的入门用法方面的东西,网上随便一搜罗就有一大