首页 星云 工具 资源 星选 资讯 热门工具
:

PDF转图片 完全免费 小红书视频下载 无水印 抖音视频下载 无水印 数字星空

iptables 工作过程整理

编程知识
2024年09月01日 16:03

转载注明出处: 

1.概念和工作原理 

  iptables是Linux系统中用来配置防火墙的命令。iptables是工作在TCP/IP的二、三、四层,当主机收到一个数据包后,数据包先在内核空间处理,若发现目标地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目标不是自身,则会将包丢弃或进行转发。

1.1 四表:

  •  filter(用于过滤)
  • nat(用于 NAT)
  • mangle(用于修改分组数据)
  •  raw(用于原始数据包)

  最常用的是filter 和 nat。

1.2 五链:

  • PREROUTING:用于路由判断前所执行的规则,比如,对接收到的数据包进行 DNAT。
  • POSTROUTING:用于路由判断后所执行的规则,比如,对发送或转发的数据包进行 SNAT 或 MASQUERADE。
  • OUTPUT: 类似于 PREROUTING,但只处理从本机发送出去的包。
  • INPUT: 类似于 POSTROUTING,但只处理从本机接收的包。
  • FORWARD

  流入本机:PREROUTING --> INPUT-->用户空间进程
  流出本机:用户空间进程 -->OUTPUT--> POSTROUTING
  转发:PREROUTING --> FORWARD --> POSTROUTING


  内网至外网用postrouting SNAT

  外网至内网用prerouting DNA

                                 

   下图中白色背景方框,则表示链(chain)

 

 

2.iptables命令

2.1 链管理:

  -N: new 自定义一条新的规则链

  -X: delete 删除自定义的空的规则链

  -P:policy 设置默认策略

          ACCEPT:接受

          DROP:丢弃

  -E:重命名自定义链

2.2 查看:

  -L: list

   -n:以数字格式显示地址和端口号

  -v:详细信息

2.3 规则管理:

  -A : append 追加

  -I:insert 插入

   -D:delete 删除

  -F:flush 清空指定规则链

  -R:replace 替换指定链上的规则编号

  -Z: zero :置零

3.iptables命令使用

  iptables -L 列出规则,默认为filter表的规则。

  iptables -t nat -L 列出nat表的规则。

[root@node100 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere             anywhere             ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
DOCKER     all  --  anywhere            !loopback/8           ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  172.17.0.0/16        anywhere

Chain DOCKER (2 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

  iptables中的第一个选项可以是-A, 表明向链(chain)中添加一条新的规则,也可以是-I,表明将新的规则插入到规则集的开头。接下来的参数指定了链。

  所谓链就是若干条规则的集合

   OUTPUT链它可以控制所有的出站流量(outgoing traffic)。

  INPUT链它能够控制所有的入站流量(incoming traffic)。

  •   -d指定了所要匹配的分组目的地址,
  •   -s指定了分组的源地址。
  •   -j指示iptables执行到特定的处理(action)

 

From:https://www.cnblogs.com/zjdxr-up/p/18391452
本文地址: http://www.shuzixingkong.net/article/1632
0评论
提交 加载更多评论
其他文章 Python自动复制Excel数据:将各行分别重复指定次数
本文介绍基于Python语言,读取Excel表格文件数据,并将其中符合我们特定要求的那一行加以复制指定的次数,而不符合要求的那一行则不复制;并将所得结果保存为新的Excel表格文件的方法~
Python自动复制Excel数据:将各行分别重复指定次数 Python自动复制Excel数据:将各行分别重复指定次数 Python自动复制Excel数据:将各行分别重复指定次数
使用Golang的协程竟然变慢了|100万个协程的归并排序耗时分析
这篇文章将用三个版本的归并排序,为大家分析使用协程排序的时间开销(被排序的切片长度由128到1000w)
使用Golang的协程竟然变慢了|100万个协程的归并排序耗时分析 使用Golang的协程竟然变慢了|100万个协程的归并排序耗时分析 使用Golang的协程竟然变慢了|100万个协程的归并排序耗时分析
如何实现一个通用的接口限流、防重、防抖机制
介绍 最近上了一个新项目,考虑到一个问题,在高并发场景下,我们无法控制前端的请求频率和次数,这就可能导致服务器压力过大,响应速度变慢,甚至引发系统崩溃等严重问题。为了解决这些问题,我们需要在后端实现一些机制,如接口限流、防重复提交和接口防抖,而这些是保证接口安全、稳定提供服务,以及防止错误数据 和
一种优雅的方式整合限流、幂等、防盗刷
大家在工作中肯定遇到过接口被人狂刷的经历,就算没有经历过,在接口开发的过程中,我们也需要对那些容易被刷的接口或者和会消耗公司金钱相关的接口增加防盗刷功能。例如,发送短信接口以及发送邮件等接口,我看了国内很多产品的短信登录接口,基本上都是做了防盗刷,如果不做的话,一夜之间,也许公司都赔完了┭┮﹏┭┮。
一种优雅的方式整合限流、幂等、防盗刷 一种优雅的方式整合限流、幂等、防盗刷 一种优雅的方式整合限流、幂等、防盗刷
Go plan9 汇编:手写汇编
原创文章,欢迎转载,转载请注明出处,谢谢。 0. 前言 在 Go plan9 汇编: 打通应用到底层的任督二脉 一文中介绍了从应用程序到汇编指令的转换。本文将结合汇编和 Go 程序实现手写基本的汇编指令,以加深对 Go plan9 汇编的了解。 1. 手写汇编 1.1 全局变量 首先写一个打印整型变
Go plan9 汇编:手写汇编 Go plan9 汇编:手写汇编 Go plan9 汇编:手写汇编
Gluon 编译 JavaFx -> android apk
Gluon 编译 JavaFx -> android apk 本文的内容属 在linux服务器上 搭建 Gluon 编译 android-apk 环境 这一篇文章直接跟着官网操作一次性成功 虚拟机版本 centos8 Architecture: x86-64 开始安装相关前置工具 gcc ve
Gluon 编译 JavaFx -> android apk
Kubernetes利用Volume挂载ConfigMap与Secret
1、概述 在Kubernetes集群中,应用的配置管理是一个关键且复杂的任务。随着应用的扩展和微服务架构的普及,传统的配置文件管理方式已经难以满足动态、灵活的配置需求。幸运的是,Kubernetes提供了强大的配置管理能力,其中ConfigMap和Secret结合Volume挂载的方式是实现这一目标
Kubernetes利用Volume挂载ConfigMap与Secret Kubernetes利用Volume挂载ConfigMap与Secret Kubernetes利用Volume挂载ConfigMap与Secret
大模型应用开发实战
在接触AI应用开发的这段时间,我以为会像以前学.net,学java,学vue一样。先整个hello world,再一步一步学搭功能,学搭框架直到搭一个系统出来。然而,理想总是很丰满,现实很骨感。在实践的过程中各种千奇百怪的问题:概念太多。huggingface、transformers、torch、
大模型应用开发实战 大模型应用开发实战 大模型应用开发实战