防火墙 规则与链的分类

  • 什么是iptables

1:iptables就是在各个钩子上定义的规则,让每一个钩子在处理报文的时候,有不同的处理规则

2:iptables对于运维工程师而言,只是一个些规则的命令行的工具

  • 防火墙规则

组成部分:根据规则的匹配条件匹配报文,对应匹配到的报文使用定义的处理动作进行处理

匹配条件:

基本匹配

扩展匹配

处理动作:

基本的常见的处理动作

扩展处理动作

自定义处理动作

  • 报文进入主机之后,流经的路径

1:流入本机:prerouting –> input –> 用户空间请求报文

2:流出本机:用户空间响应报文 –> output –> postrouting

3:由本机转发的:prerouting –> forward –> postrouting

  • 防火墙规则的分类(也可以称之为功能表的分类)  红色字体为防火墙内置链

1:filter:实现过滤,防火墙(默认) INPUT , FORWARD , OUTPUT

2:mangle:将报文拆解,修改之后再封包   PREROUTING , INPUT , FORWARD , OUTPUT , POSTROUTING

3:nat:网络地址转换,只拆解修改其地址的那一部分,一般是IP层地址和传输层地址      PREROUTING ,INPUT, OUTPUT , POSTROUTING

4:raw:关闭在nat表上启用的连接追踪机制        PREROUTING , OUTPUT

  • 防火墙链分类

1:内置链 (与netfilter的hooks函数一一对应,每一个内置链对应于一个hooks函数,在内核中直接实现)

PREROUTING

INPUT

FORWARD

OUTPUT

POSTROUTING

2:自定义链

对内置链进行扩充的,而定义在自定义链上的规则只有通过内置链的调用才能实现,可以实现更加灵活的规则管理机制

是一个写规则的命令行工具

  • 防火墙功能表与防火墙内置链的对应关系(这里的表就是指下面的四种功能)

1:filter:INPUT , FORWARD , OUTPUT

2:mangle:PREROUTING , INPUT , FORWARD , OUTPUT , POSTROUTING

3:nat:PREROUTING ,INPUT, OUTPUT , POSTROUTING

4:raw:PREROUTING , OUTPUT

时间: 2024-12-29 07:24:33

防火墙 规则与链的分类的相关文章

iptables:应用防火墙规则:ptables-restore: line 13 failed   [失败]

[[email protected]~]# service iptables restart iptables:将链设置为政策ACCEPT:filter                           [确定] iptables:清除防火墙规则:                                        [确定] iptables:正在卸载模块:                                          [确定] iptables:应用防火墙规则:

终于把区块链与物流的关联搞清楚了 区块链的分类 物流业中区块链技术应用的案例

原文 区块链的分类 区块链可以分为三类:公有链.私有链.联盟链. 1.公有链无官方组织及管理机构,无中心服务器,参与的节点按照系统规则自由接入网络.不受控制,节点间基于共识机制开展工作. 2.私有链建立在某个企业内部,系统的运作规则根据企业要求进行设定,修改甚至是读取权限仅限于少数节点,同时仍保留着区块链的真实性和部分去中心化的特性. 3.联盟链由若干机构联合发起,介于公有链和私有链之间,兼具部分去中心化的特性. 去中心化是区块链的最重要特征 区块链技术提供了一种无需信任单个节点.还能创建共识网

Ubuntu ufw防火墙规则顺序问题

本文以Ubuntu 14.04为例,讲讲ufw防火墙规则顺序问题. --------------------------------此处应该优雅的使用分割线-------------------------------- 先说原理再吐槽! Linux系统及其许多其他软件中都有访问控制(Access Control)功能,比如系统中的防火墙,Cisco ios中的ACL(Access Control Lists),Web服务器中的Access Module.在有些访问控制的实现中,有一些访问控制的

iptables防火墙规则整理

iptables防火墙规则整理 iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤.封包重定向和网络地址转换(NAT)等功能.在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全.以下对iptables的规则使用做了总结性梳理: iptables由两部分组成: 1.framework:netfilter hooks function钩子函数,实现网络过滤器的基

iptables:应用防火墙规则:iptables-restore: line 18failed

# Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT

linux 防火墙规则

查看防火墙状态 service  iptables status 查看当前防火墙规则 iptables -L -n 清除预设表filter中的所有规则链的规则 iptables -F vi /etc/sysconfig/iptables -A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT    添加允许端口通过防火墙然后保存 /etc/init.d/iptables save    重启iptables生效 iptab

docker高级应用之智能添加与修改防火墙规则

如果你有以下痛苦: 1.使用默认docker0桥接方式: 2.修改防火墙规则的话,使用手动修改配置: 3.并且修改时候还得计算来源端口,防止重复端口使用户登陆错误容器: 4.并当容器意外重启,内网ip变化后还得修改规则 那么你可以看看本文了,对你这些痛处都有解决方法. 目前docker容器设置访问规则的话,就2个方法 1.在docker容器创建的时候,使用-p来设置 2.在容器运行中,获取容器的ip,然后在宿主机的iptables力通过nat链做dnat设置 我之前一直使用第2个方法,但随着我d

iptables的防火墙规则练习

一.iptables的filter表之网络防火墙规则练习: 1.给一台Linux安装三块网卡,提供三个网络接口: 2.内网中用户主机所在的网段为172.16.0/16,所有服务器所在的网段为172.18.0.0/16,外部网络为192.168.4.0/24网段:服务器所在网络中,可以使用一台服务器实现多个服务,也可以使用多台服务器分别实现各个服务,可自行根据你的计算机的性能来决定:并且为内部的所有主机和服务器指定正确的网关:外部主机无需指定网关: 3.要求: 1) 内网用户可以访问所有服务器提供

Linux防火墙基础与编写防火墙规则

Iptables采用了表和链的分层结构,每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,raw表,mangle表,nat表,filter表,每个表容器内包括不同的规则链,根据处理数据包的不同时机划分为五种链,而决定是否过滤或处理数据包的各种规则,按先后顺序存放在各规则链中. 1.防火墙:内核中具有包过滤体系 内核态:netfilter 用户态:iptables  管理工具 工作在网络层:可以对ip地址.端口.协议等信息进行处理 2.规则链:规则的集合 五种链:(必须大