天道酬勤,学无止境

iptables FORWARD 和 INPUT(iptables FORWARD and INPUT)

问题

我有一个带有 Linux pc 的家庭网络,所有这些网络都在运行 iptables。 我认为将我的 LAN 放在 Linux 网关/防火墙后面更容易,所以我在我的路由器和 LAN 之间放置了一台电脑(带 Fedora,没有 gui)并配置了 iptables。 这里没问题,INPUT 只允许 dns 和 http(和一些本地的东西),转发工作正常:局域网连接到互联网。

但我的问题是:FORWARD 是否允许所有来自外部的端口,或者仅允许我配置为 INPUT 的端口? FORWARD 和 INPUT 是一起工作还是分开?

这是我的 iptables:

*nat
:PREROUTING ACCEPT [16:1336]
:INPUT ACCEPT [14:840]
:OUTPUT ACCEPT [30:2116]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o p1p1 -j MASQUERADE
COMMIT
# Completed on Tue Oct 16 09:55:31 2012
# Generated by iptables-save v1.4.14 on Tue Oct 16 09:55:31 2012
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [91:9888]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p UDP --dport 53 -j ACCEPT
-A INPUT -p TCP --dport 53 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i p1p1 -p tcp -m multiport --dports 20,21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i p3p1 -p tcp -m multiport --dports 20,21 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i p1p1 -p tcp -m tcp --dport 5000:5100 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i p3p1 -p tcp -m tcp --dport 5000:5100 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i p1p1 -p tcp -m tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.2.0/24 -i p3p1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.1.0/24 -i p1p1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -i p1p1 -p tcp -m multiport --dports 20,21,443 -j DROP
-A INPUT -i p1p1 -p tcp --dport 5000:5100 -j DROP
-A INPUT -i p1p1 -p icmp -m icmp --icmp-type 8 -j DROP
-A FORWARD -s 192.168.2.0/24 -j ACCEPT
-A FORWARD -d 192.168.2.0/24 -j ACCEPT
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
-A OUTPUT -j LOG --log-prefix "denied out: "

COMMIT

p1p1 (.1.x) 是我的外部网卡,p3p1 (.2.x) 是内部网卡。

回答1

RedHat 有一个关于 iptables很棒的文档(有点长),但是要涵盖的主题很复杂,而且有很多不同的用例,我不知道如何避免它。

iptables 内核路由

这是有关FORWARD 和 NAT 规则的章节。 正如它所说:

例如,如果要将传入的 HTTP 请求转发位于 172.31.0.23 的专用Apache HTTP 服务器,以 root 用户身份使用以下命令:

~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.31.0.23:80

这是发生的事情:

  • 您的 linux 网关从您的路由器接收数据包。 包头有:
    • 来源: xxxx:y (来自互联网的发件人IP和用于数据包传输的源端口)
    • 目的地: 192.168.1.1:80 (假设您的 linux 网关 IP 在外部 NIC 上,即p1p1
  • 您的 linux 网关应用PREROUTING链来查找匹配项。 假设您输入了上面的内容,数据包匹配规则,然后调用 (jumps -j ) 到DNAT 函数(目标网络地址转换),它将数据包标头的目标从最初的192.168.1.1:80更改为172.31.0.23:80
  • 然后,数据包到达路由决策。 数据包目的地现在是172.31.0.23:80
    • 您的 linux 网关会问自己:它适合我吗 ( 192.168.1.1:80 ) ? 不,所以我不会将发送INPUT链。
    • => 我会将它发送到FORWARD链。
  • 由于您已在本地网络(表filterFORWARD上将规则设置为FORWARD 所有,因此数据包应正确转发到您的本地 Apache HTTP 服务器(例如)。

希望它有助于更​​多地了解内部路由如何与 iptables 一起工作。

回答2

INPUT、FORWARD 和 OUTPUT 是分开的。 一个数据包只会命中三个链中的一个。

如果目的地是这个服务器,它就会命中 INPUT 链。 如果它的源来自这个服务器,它就会命中 OUTPUT。 如果它的源和目标都是其他机器——它正在通过服务器路由——那么它就会命中 FORWARD 链。

受限制的 HTML

  • 允许的HTML标签:<a href hreflang> <em> <strong> <cite> <blockquote cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <h2 id> <h3 id> <h4 id> <h5 id> <h6 id>
  • 自动断行和分段。
  • 网页和电子邮件地址自动转换为链接。

相关推荐
  • 细说firewalld和iptables
    在RHEL7里有几种防火墙共存:firewalld、iptables、ebtables,默认是使用firewalld来管理netfilter子系统,不过底层调用的命令仍然是iptables等。firewalld跟iptables比起来至少有两大好处:1、firewalld可以动态修改单条规则,而不需要像iptables那样,在修改了规则后必须得全部刷新才可以生效;2、firewalld在使用上要比iptables人性化很多,即使不明白“五张表五条链”而且对TCP/IP协议也不理解也可以实现大部分功能。firewalld跟iptables比起来,不好的地方是每个服务都需要去设置才能放行,因为默认是拒绝。而iptables里默认是每个服务是允许,需要拒绝的才去限制。firewalld自身并不具备防火墙的功能,而是和iptables一样需要通过内核的netfilter来实现,也就是说firewalld和 iptables一样,他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和iptables的结构以及使用方法不一样罢了。一个重要的概念:区域管理通过将网络划分成不同的区域,制定出不同区域之间的访问控制策略来控制不同程序区域间传送的数据流。例如,互联网是不可信任的区域,而内部网络是高度信任的区域。网络安全模型可以在安装
  • Linux系统防火墙iptables
    Linux系统防火墙iptables iptablesiptables概述netfilter/iptables 关系四表五链作用与简述四表五链规则链之间的匹配顺序规则链内的匹配顺序 iptables的安装与相关规则配置方法iptables的安装iptables防火墙的配置方法 规则的匹配通用匹配隐含匹配显式匹配 SNAT原理与应用SNAT 应用环境SNAT原理SNAT转换前提条件Linux网关临时开启IP路由转发Linux网关永久开启IP路由转发SNAT转换(固定的公网IP地址)SNAT转换(非固定的公网IP地址即共享动态IP地址) DNAT原理与应用DNAT 应用环境DNAT原理DNAT转换前提条件DNAT转换(发布内网的Web服务)DNAT转换(发布时修改目标端口) 其他拓展与注意事项防火墙规则的备份和还原 iptables iptables概述 Linux 系统的防火墙 :虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由两个组件netfilter 和 iptables 组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 PTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器,
  • 防火墙配置与使用
    防火墙配置与使用 实验目的 进行防火墙的配置与使用,理解防火墙的原理规则等 实验先修知识 iptables基本命令使用 iptables -h #简易帮助 iptables [-t表名] <-L> [链名] #查看iptables规则 #–[-t表名],查看哪个表的规则列表 #–-L,查看指定表指定链的规则列表 #–链名,查看指定表中哪个链的规则链表 iptables -L -n -t filter -v #查看iptales的三个链(转发链,input和output链 iptables.rules #查看防护墙配置规则 iptables-restore <iptables.rules #iptables-restore命令用来还原iptables-save命令所备份的iptables配置。 ssh 172.16.111.1 -vv#查看ssh服务 iptables核心指令格式 iptables [-t 表] 命令 匹配 操作 其中表选项,指定命令应用于哪个内置表(filter表、nat表或mangle表),命令选项则如表8-1所示,匹配选项如表8-2所示,动作选项为表8-3所示, 命令说明-P或–policy <链名>定义默认策略-L或–list <链名>查看iptables规则列表-A或–append <链名>在规则列表的最后增加1条规则-I或–insert <链名
  • Iptables 规则用法小结
    iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全。以下对iptables的规则使用做了总结性梳理:iptables首先需要了解的:1)规则概念规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept),拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作是添加,修改和删除等规则。其中:匹配(match):符合指定的条件,比如指定的 IP 地址和端口。丢弃(drop):当一个包到达时,简单地丢弃,不做其它任何处理。接受(accept):和丢弃相反,接受这个包,让这个包通过。拒绝(reject):和丢弃相似,但它还会向发送这个包的源主机发送错误消息。这个错误消息可以指定,也可以自动产生。目标(target):指定的动作
  • iptables 基础使用SNAT 和 DNAT
    实验环境ubuntu 充当Service端企业边界的服务器 和一台windows 充当client企业内网用户. 说明: 1.服务器端能够正常访问互联网. 2.企业内用户无法直接访问互联网 需求1:使client 能够正常访问外网 配置数据转发 临时转发生效: echo 1>/proc/sys/net/ipv4/ip_forward 永久转发生效: vi /etc/sysctl.conf net.ipv4.ip_forward = 1 配置即时生效 sysctl -p 配置: iptables -F 清空iptables 表项 允许ssh 登录service iptables -I INPUT -p tcp --dport 22 -i ens33 -j ACCEPT 或者配置INPUT 默认为允许所有 iptables -P INPUT ACCEPT 允许服务器ping 回应icmprequest 发出 iptables -I OUTPUT -p icmp -j ACCEPT 允许服务器ping 回应icmp replay 进入 iptables -I INPUT -p icmp -j ACCEPT 配置SNAT iptables -t nat -I POSTROUTING -s 172.16.0.0/24 -o ens33 -j SNAT --to 10.5.20.248
  • iptables之FORWARD转发链
    本文转载自leekwen《Iptables之FORWARD转发链》 iptables有5个链:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw.4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filterfilter:一般的过滤功能nat:用于nat功能(端口映射,地址映射等)mangle:用于对特定数据包的修改raw:有限级最高,设置raw时一般是为了不再让iptables做数据包的链接跟踪处理,提高性能表和链的关系如下: filter FORWARD、INPUT、 OUTPUT nat PREROUTING、POSTROUTING、OUTPUT mangle PREROUTING、POSTROUTING、OUTPUT、INPUT、FORWARD raw PREROUTING、OUTPUT1.prerouting:进入netfilter后的数据包在进入路由判断前执行的规则。改变包。2.Input:当经过路由判断后,要进入本机的数据包执行的规则。3.output:由本机产生,需向外发的数据包执行的规则。4.forward:经过路由判断后,目的地不是本机的数据包执行的规则。与nat 和 mangle表相关联很高,与本机没有关联。5.postrouting:经过路由判断后
  • Linux中的防火墙
    firewalld 一、防火墙安全概述 firewalld支持命令行也支持GUI设置,相对于iptables,firewalld配置更加的方便。在底层的命令都是iptables, firewalld 是全部阻止。从内部往外流的不会阻止。 iptables 默认全部放行。 二、防火墙区域管理 区域选项firewalld一、防火墙安全概述firewalld支持命令行也支持GUI设置,相对于iptables,firewalld配置更加的方便。在底层的命令都是iptables,firewalld 是全部阻止。从内部往外流的不会阻止。iptables 默认全部放行。二、防火墙区域管理区域选项默认规则策略trusted允许所有的数据包流入流出home拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、mdns、ipp-client、amba-client与dhcpv6-client服务相关,则允许流量internal等同于home区域work拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、ipp-client、dhcpv6-client服务相关,则允许流量public拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh、dhcpv6-client服务相关,则允许流量external拒绝流入的流量,除非与流出的流量相关;而如果流量与ssh服务相关
  • linux系统中查看己设置iptables规则
    1、iptables -L查看filter表的iptables规则,包括所有的链。filter表包含INPUT、OUTPUT、FORWARD三个规则链。说明:-L是--list的简写,作用是列出规则。2、iptables -L [-t 表名]只查看某个表的中的规则。说明:表名一共有三个:filter,nat,mangle,如果没有指定表名,则默认查看filter表的规则列表(就相当于第一条命令)。举例:iptables -L -t filter3、iptables -L [-t 表名] [链名]这里多了个链名,就是规则链的名称。说明:iptables一共有INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING五个规则链。举例:iptables -L INPUT注意:链名必须大写。在Linux系统上,命令的大小写很敏感。4、iptables -n -L说明:以数字形式显示规则。如果没有-n,规则中可能会出现anywhere,有了-n,它会变成0.0.0.0/05、iptables -nv -L说明:你也可以使用“iptables -L -nv”来查看,这个列表看起来更详细,对技术人员更友好,呵呵。如果想删除iptables规则我们可以如下操作删除用-D参数删除之前添加的规则(iptables -A INPUT -s 192.168.1.5 -j
  • iptables详解及docker的iptables规则
    iptables详解及docker的iptables规则 iptables处理流程命令与扩展系统默认规则ipset的使用SNAT与DNATftp规则firewall-cmd命令 docker的iptables规则docker网络类型数据包处理流程filter表规则nat表规则 iptables 处理流程 iptables是Linux中网络钩子,有四表五链。 filter表即防火墙规则,允许、阻止或丢弃进出的数据包,使用是最多的nat表,网络地址转换,内网的数据包收发室,有多种类型,常见的有SNAT,PNAT,DNAT,是第二常用的mangle表,修改数据包的TTL,给数据包做不同的标记,策略路由等raw表,一般用于跟踪状态,调试,用的较少 优先级:raw,mangle,nat,filter 五链: PREROUTING,到达本机前的路由规则INPUT,进入本机的规则FORWARD,转发的规则OUTPUT,本机发出的规则POSTROUTING,发出后的路由规则 命令与扩展 清空表上的所有规则,默认为filter表: iptables -F 链上操作规则,A追加,I前面插入,D删除,R替换,N新建一个自定义链,例如: 在第5条规则前插入禁止非192.168.1.0/24访问80端口 iptables -I INPUT 5 -p tcp --dport 80 ! -s 192.168.1
  • linux笔记防火墙之iptables入门
    一.iptables简介 防火墙,其实说白了讲,就是用于实现Linux下访问控制功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测,它的功能十分强大,使用非常灵活,毫不逊色于一些企业级防火墙。 二.Netfilter、table、chains、policy之间的关系。 Netfilter是table的容器,而table(表)是chains(链)的容器,policy(规则)属于chain(链)。为了方便读者理解,举个例子:如果把Netfilter比作一栋楼,那么他们的关系如下: 三.iptables的工作原理 匹配规则原理图 防火墙规则的执顺序默认是从前到后,遇到匹配规则(不管是deny或者accept)后就不再往下检查,如果遇到不到匹配的规则会继续向下检查直到遇到匹配规则为止,若检查完所有规则还没有匹配就会使用默认规则进行匹配。 iptable表和链的对应关系 防火墙默认使用的是Fileter表,负责过滤本机流入、流出的数据包INPUT:负责过滤所有目标地址是本机地址的数据包FORWARD:负责转发流经本机但不进入本机的数据包,起转发的作用OUTPUT:处理所有从本机发出去的数据包。PROWARD:在数据包到达防火墙时
  • iptables模块添加--七层过滤、防CC、DDOS
    #!/bin/bash # BY kerryhu # QQ:263205768 # MAIL:king_819@163.com # BLOG:http://kerry.blog.51cto.com IPT=/sbin/iptables /* 当前系统版本centos5.3,内核版本2.6.18-128.el5,对现有系统内核进行升级、优化,并添加L7-filter模块,使iptables支持L7filter,对七层应用进行过滤 */ #============================ 下载安装包 ======================================== #kernel 2.6.28.10 wget http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.28.10.tar.bz2 #iptables wget ftp://ftp.netfilter.org/pub/iptables/iptables-1.4.3.tar.bz2 #l7-protocols wget http://ncu.dl.sourceforge.net/project/l7-filter/Protocol%20definitions/2009-05-28/l7-protocols-2009-05-28.tar.gz
  • iptables
    iptables简介基于包过滤的防火墙工具,强大,灵活,可以对流入和流出服务器的数据包进行很精细的控制,不逊于企业级专业路由器防火墙。 iptables 主要在OSI的二三四层如果从新编译内核也可以支持7层控制iptables 表、链、规则概念什么是表(tables)? 表是链的容器,即所有的链(chains)都属于其对应的表(tabblesles)。如上把Netfilter 看成是某个小区的一栋楼,那么表(tables)就是楼里期中的一栋房子 什么是链(chains)? 链是(chains)规则(Policys)的容器,接上,如果把表(tables)当做有一套房子,那么链(chains)就可以说是房子里的家具。 什么是规则? 规则就比较容易理解了,就是iptables一系列过滤信息的规范和具体方法条款了。可以理解为柜子如何增加并摆放柜子等iptables工作流程工作流程小结: 1. 防火墙是层层过滤的,实际是按照配置规则的顺序从上到下,从前到后进行过滤的 2. 如果匹配上规则,即明确表示是阻止还是通过,数据包就不再向下匹配新的规则 3. 如果规则中没有明确表明是阻止还是通过的,也就是没有匹配规则,向下进行匹配,直到匹配默认规则得到明确的阻止还是通过 4. 防火墙的默认规则是所有规则执行完才执行的iptables 4表5链filter nat raw manglenet
  • Linux 防火墙策略
    1、 inux开启防火墙端口和查看 即时生效,重启后失效 开启: service iptables start 关闭: service iptables stop 重启后生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2、开启相关端口号 在开启了防火墙时,做如下设置,开启相关端口 修改/etc/sysconfig/iptables 文件,添加以下内容: -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 23 -j ACCEPT 注意,在初次配置的时候,你可能在/etc/sysconfig目录下没有找到iptables这个文件。不要担心,按照如下步骤来生成一下这个文件: 1、先用root命令行尝试开个端口:iptables -A INPUT -p tcp --dport 1521 -j ACCEPT 2、然后用命令:service iptables save进行保存,此时你会发现/etc/sysconfig有了iptables文件 3、[root@db01lin sysconfig]# cat iptables# Generated by iptables-save v1.4.7 on Sun Jun 15 22:17:28 2014
  • iptables防火墙基础知识
    一、iptables是什么类型的防火墙是包过滤型,需要在input和output方向都做包过滤策略,默认情况下iptables更像ACL。通过-m state选项,可以让iptables的功能得到更多的扩展,比如,实现FTP协议的端口放开等类似ALG功能二、 iptables在CentOS7上的开启和关闭方法1. 停止并禁用 firewalldsudo systemctl stop firewald.service && sudo systemctl disable firewald.service2.安装iptables-services、iptables-develsudo yum install iptables-services iptables-devel3.启用并启动iptablessudo systemctl enable iptables.service && sudo systemctl start iptables.service1. 立即生效systemctl stop iptables.service2. 永久生效systemctl enable iptables.service三、 iptables的配置文件vim /etc/sysconfig/iptables在没有安装iptables.services和iptables-devel前,系统
  • LInux下iptables配置
    linux下IPTABLES配置详解如果你的IPTABLES基础知识还不了解,建议先去看看.开始配置我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination Chain RH-Firewall-1-INPUT (0 references)target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0
  • linux下IPTABLES配置详解
    linux下IPTABLES配置详解如果你的IPTABLES基础知识还不了解,建议先去看看.开始配置我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination Chain RH-Firewall-1-INPUT (0 references)target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0
  • linux下IPTABLES的一些配置
    如果你的IPTABLES基础知识还不了解,建议先去看看.开始配置我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt source destination Chain RH-Firewall-1-INPUT (0 references)target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp
  • iptables入门篇
    一、 iptables简介1.1 什么是iptables?iptables是Linux防火墙工作在用户空间的管理工具,是netfilter/iptables IP 信息包过滤系统是一部分,用来设置、维护和检查Linux内核的IP数据包过滤规则。1.2主要特点1)列出数据包过滤器规则集的内容2)添加/删除/修改数据包过滤器规则集中的规则3)列出/清零数据包过滤器规则集的每个规则计数器 二、 基本概念iptables 可以检测、修改、转发、重定向和丢弃 IP 数据包。其代码已经内置于内核中,并且按照不同的目的被组织成表(table)的集合。表由一组预先定义的链(chain)组成,链包含遍历顺序规则。每一条规则包含条件匹配和相应的动作(称为目标),如果条件匹配为真,该动作会被执行。下图简要描述了网络数据包通过iptables的过程(只包含filter和nat表):图中在上面的小写字母代表表,在下面的大写字母代表链。从任何网络端口进来的每一个 IP 数据包都要从上到下的穿过这张图。一种常见的困扰是认为 iptables 对从内部端口进入的数据包和从面向互联网端口进入的数据包采取不同的处理方式,相反,iptabales 对从任何端口进入的数据包都会采取相同的处理方式。可以定义规则使 iptables 采取不同的方式对待从不同端口进入的数据包。当然一些数据包是用于本地进程的
  • Linux日常运维(二)
    10.4 Linux的防火墙SELinuxSELinux是linux系统特有的安全机制,这种机制限制较多,配置也比较繁琐,所以一般把SELinux关闭。查看selinux的状态有两种方法:getenforce命令可查看selinux状态:# getenforceEnforcing/usr/sbin/sestatus也可查看selinux状态:# /usr/sbin/sestatusSELinux status: enabled SELinuxfs mount: /sys/fs/selinux SELinux root directory: /etc/selinux Loaded policy name: targeted Current mode: enforcing Mode from config file: enforcing Policy MLS status: enabled Policy deny_unknown status: allowed Max kernel policy version: 31上面,SELinux status:selinux防火墙的状态,enabled 表示启用selinux防火墙; Current mode:表示selinux防火墙当前的安全策略,enforcing 表示强。关闭SELinux:临时关闭selinux:#
  • centos7.6——防火墙基础(iptables)——SNAT和DNAT应用配置
    centos7.6——SNAT和DNAT应用配置 文章目录 centos7.6——SNAT和DNAT应用配置 *防火墙基础(iptables)(1)Linux包过滤防火墙概述(2)包过滤的工作层次(3)iptables的表、链结构(4)规则表(5)数据包过滤的匹配流程(6)iptables 的基本语法(7)iptables [-t 表明 ] 选项 [ 链名 ] [ 条件] [ -j 控制类型](8)iptables的基本语法(9)iptables的管理选项-添加新的规则(10)iptables 的管理选项-查看规则列表(11)删除、清空规则(12)iptables 常用管理选项汇总(13)常用的管理选项汇总 一、实验拓扑图二、实验环境三、实验描述四、实验步骤4.1 防火墙服务器的配置4.2 外网服务端配置4.3 内网客户端配置 *防火墙基础(iptables) (1)Linux包过滤防火墙概述 netfilter 位于Linux内核中的包过滤功能体系称为Linux防火墙的 “ 内核态 ” iptables 位于/sbin/iptables,用来管理防火墙规则的工具称为Linux防火墙的“用户态” 上面2种称呼都可以表示Linux防火墙 (2)包过滤的工作层次 主要是网络层、针对ip数据包体现在对包的ip地址、端口等信息的处理上 (3)iptables的表、链结构 规则链 规则的作用