AD

Linux防火墙之iptables基础

通过为防火墙提供有关对来自某个源,到某个目的地或具有特定协议类型的信息包要执行操作的指令及规则控制信息包的过滤。通过使用Netfilter/iptables系统提供的特殊命令iptables建立这些规则,并将其添加到内核空间的特定信息包过滤表内的链中。添加,除去及编辑规则命令的一般语法如下:

$ iptables [-t table] command [match] [target]

大部分规则都是按这种语法写的,如果不想用标准的表,就要在“table”处指定表名。一般情况下,没有必要指定使用的表,因为iptables默认使用Filter表来执行所有的命令。也没有必要必须在这里指定表名。

  • command:告诉程序该做什么,比如插入一个规则,在链的末尾增加一个规则,或者删除一个规则。
  • match:描述包的某个特点,以使这个包区别于其他所有的包,可以指定包的来源IP地址,网络接口,端口,协议类型或者其他。

若数据包符合所有的match,那么内核使用target来处理它,或者说把包发往target。例如,可以让内核把包发送到当前表中的其他链(可能是自己建立的),或者只是丢弃这个包而不做任何处理,或者向发送者返回某个特殊的应答。Netfilter/iptables内核空间默认的表和链如下:

Linux防火墙之iptables基础

下面逐个讨论这些选项:

1. table

[-t table]选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有3种可用的表选项,即Filter,NAT和Mangle。该选项不是必需的,如果未指定,则Filter用作默认表。这里我们就只讲讲Filter表。Filter表用来过滤数据包,可以在任何时候匹配包并将其过滤,根据包的内容对包做DROP或ACCEPT。当然也可以预先在其他处做一些过滤,但是这个表才是设计用来过滤的。几乎所有的target都可以在此使用。

2. command

命令中必要的组成部分command是iptables命令的最重要部分,它告诉iptables命令要执行的操作。例如,插入规则,将规则添加到链的末尾或删除规则。下表展示了常用命令及其功能:

部分选项及其功能:

Linux防火墙之iptables基础

3. match

iptables命令的可选match部分指定信息包与规则匹配所应具有的特征(如源和目的地址及协议等),可归为5类:一是generic matches(通用的匹配),适用于所有的规则;二是TCP matches,只能用于TCP包;三是UDP ,只能用于UDP包;四是ICMP matches,针对ICMP包;五是针对状态,指所有者和访问的频率限制等。在此只介绍通用匹配:

Linux防火墙之iptables基础

4. target

目标是由规则指定的操作,那些与规则匹配的信息包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项用于建立高级规则的目标,如LOG, REDIRECT, MARK, MIRROR和MASQUERADE等。常用目标及其说明:

Linux防火墙之iptables基础

5. 状态机制

状态机制是iptables中特殊的一部分,连接跟踪可以让Netfilter知道某个特定连接的状态。运行连接跟踪的防火墙称为“带有状态机制的防火墙”,以下简称为“状态防火墙”。状态防火墙比非状态防火墙要安全,因为它允许编写更严密的规则。在iptables中,包和被跟踪连接的4种不同状态有关,即:NEW, ESTABLISHED, RELATED和INVALID。

标签:
时间: 2015-05-12

相关文章

  1. Linux防火墙之iptables建立规则和链

    在RHEL 7.0中安装启动iptables: yum install iptables-services #安装iptables systemctl mask firewalld.service #屏蔽firewall ...
  2. iptables基础知识详解

    iptables防火墙可以用于创建过滤(filter)与NAT规则.所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙.如果你是第一次接触iptable ...
  3. Linux系统安装后的基础优化-基于CentOS(5.8/6.4)

    在运维工作中,我们发现Linux系统安装之后并不能立即投入生产环境使用,往往需要先经过我们运维人员的优化才行. 下面我就为大家简单讲解几点关于Linux系统安装后的基础优化操作. 注意:本次优化都是基于CentOS(5. ...
  4. Linux防火墙之FirewallD简介

    FirewallD提供了支持网络/防火墙区域定义网络链接以及接口安全等级的动态防火墙管理工具.它支持IPv4,IPv6防火墙设置以及以太网桥接,并且拥有运行时配置和永久配置选项.它也支持允许服务或者应用程序直接添加防火墙 ...
  5. Linux Firewalls Using iptables

    Forums Corrections About (C) Peter Harrison <! - Adsense Search -> <! - LinuxHomeNetworking Stop -> ...
  6. Linux防火墙 Firestarter

    Firestarter 网站 : http://www.fs-security.com/ Firestarter是一个非常好用的防火墙图形化配置工具,作者和开发者是芬兰人. 首先肯定的说Firestarter防火墙是一款 ...
  7. Linux知识总结复习2:Linux防火墙的基本概念和使用方法(未完待续)

    要理解Linux防火墙,先记住下面两张图(未完待续): 图1 Netfilter packet flow 图2 详细处理
  8. Linux防火墙iptables基本使用方法

    iptables是Linux上常用的防火墙软件,一般VPS系统里面默认都有集成. 1.安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables De ...
  9. 关闭或开启Linux上的iptables防火墙,SSH端口 - 少即是多 - 专注

    关闭 /etc/rc.d/init.d/iptables stop 开启 /etc/rc.d/init.d/iptables start 查看当前配置:iptables -L redhat : chkconfig --l ...
  10. linux centos fedora iptables防火墙配置

    平时在搭建环境的时候,经常会有防火墙(iptables)的配置, 现整理成脚本,方便执行 #! /bin/bash #---- settings rules ----------- iptables -F iptable ...
  11. 关于linux防火墙

    事实上,每一个主要的Linux版本中都有不同的防火墙软件套件.Iptabels(netfilter)应用程序被认为是Linux中实现包过虑功能的第四代应用程序.第一代是Linux 内核1.1版本所使用的Alan Cox从 ...
  12. Linux操作系统下IPTables配置方法详解(转载) - 少即是多 - 专注

    配置一个filter表的防火墙 1.查看本机关于IPTABLES的设置情况 [[email protected] ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt ...
  13. Linux安全之iptables详解

    基本上,依据防火墙管理的范围,我们可以将防火墙区分为网域型与单一主机型的控管.在单一主机型的控管方面, 主要的防火墙有封包过滤型的 Netfilter 与依据服务软件程序作为分析的 TCP Wrappers(只于服务名称 ...
  14. 防火墙与iptables

    iptables负责构建和操作Linux内核中的网络分组过滤规则.可以使用iptables来创建防火墙,保护系统免受恶意用户的攻击以及设置NAT(Network Address Translation,网络地址转换,该技 ...
  15. Linux防火墙之介绍

    Linux提供了一个非常优秀的防火墙工具,即Netfilter/iptables(http://www.netfilter.org/).它完全是免费的,并且可以在一台低配置的老机器上很好地运行.Netfilter/ipt ...
  16. linux 防火墙的相关设置

    查看状态:/etc/init.d/iptables status 关闭:/etc/init.d/iptables stop 禁止防火墙在系统启动的时候启动:/sbin/chkconfig --level 2345 ipt ...
  17. 永久关闭linux防火墙

    1.首先查看防火墙状态: service iptables status 2.永久性生效,重启后不会复原 开启:chkconfig iptables on 关闭:chkconfig iptables off 3.即时生效 ...
  18. Linux防火墙之具有命令行的FirewallD的基本操作

    启动FirewallD服务: systemctl enable firewalld.service #设置开机启动 systemctl start firewalld.service #开启服务 查看防火墙状态: sys ...
  19. Linux - AT&T汇编基础

    在linux内核的源代码中,以汇编语言编写的程序或程序段,有两种不同的形式. 第一种事完全的汇编代码,这样的代码采用.s作为文件的后缀.事实上,尽管是完全的汇编代码,现代的汇编工具也吸收了C语言的长处,也在汇编之前加上了 ...