九八云安全Linux netfilter/iptables知识点详解
netfilter/iptables是Linux系统中一个非常强大的防火墙工具,它可以实现对数据包的过滤、转发和NAT等功能,本文将对netfilter/iptables的基本概念、工作原理以及常用命令进行详细介绍。
基本概念
1、netfilter:netfilter是Linux内核中的一个通用框架,用于实现各种网络协议的过滤功能,它包括以下几个组成部分:
数据包过滤(Packet Filtering):对数据包进行处理,如接受、丢弃或转发等。
连接跟踪(Connection Tracking):记录和控制网络连接的状态。
网络地址转换(Network Address Translation,NAT):修改数据包的源地址和目的地址。
2、iptables:iptables是netfilter的用户空间工具,用于配置和管理netfilter规则,通过iptables,我们可以实现对数据包的过滤、转发和NAT等功能。
工作原理
netfilter/iptables的工作原理可以分为以下几个步骤:
1、数据包进入系统时,首先会被传递给PREROUTING链进行处理,PREROUTING链主要用于路由选择和DNAT操作。
2、如果数据包没有被PREROUTING链丢弃,那么它将被传递给INPUT链进行处理,INPUT链主要用于处理进入本机的数据包,如过滤非法访问等。
3、如果数据包没有被INPUT链丢弃,那么它将被传递给FORWARD链进行处理,FORWARD链主要用于处理经过本机的数据包,如转发、过滤等。
4、如果数据包没有被FORWARD链丢弃,那么它将被传递给POSTROUTING链进行处理,POSTROUTING链主要用于处理离开本机的数据包,如SNAT操作等。
5、如果数据包没有被POSTROUTING链丢弃,那么它将被传递给目标主机。
常用命令
1、查看当前iptables规则:
iptables -L -n -v
2、清空当前iptables规则:
iptables -F
3、设置默认策略(DROP表示丢弃,ACCEPT表示接受):
iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT
4、允许来自特定IP的数据包:
iptables -A INPUT -s <IP地址> -j ACCEPT
5、禁止来自特定IP的数据包:
iptables -A INPUT -s <IP地址> -j DROP
6、允许来自特定端口的数据包:
iptables -A INPUT -p tcp --dport <端口号> -j ACCEPT
7、禁止来自特定端口的数据包:
iptables -A INPUT -p tcp --dport <端口号> -j DROP
8、保存当前iptables规则:
iptables-save > /etc/sysconfig/iptables
9、恢复之前保存的iptables规则:
iptables-restore <备份文件路径>
相关问题与解答
问题1:如何在iptables中设置允许来自特定IP的数据包?
答案:可以使用以下命令设置允许来自特定IP的数据包:iptables -A INPUT -s <IP地址> -j ACCEPT。<IP地址>需要替换为实际的IP地址。
问题2:如何在iptables中设置禁止来自特定端口的数据包?
答案:可以使用以下命令设置禁止来自特定端口的数据包:iptables -A INPUT -p tcp --dport <端口号> -j DROP。<端口号>需要替换为实际的端口号。
