Iptables cuatro mesas y cinco cadenas.

Enterprise 2023-10-05 06:44:48 views: null

concepto de iptables

iptables es solo una herramienta de administración para firewalls de Linux . Lo que realmente implementa la función de firewall es netfilter, que es la estructura interna del kernel de Linux que implementa el filtrado de paquetes.

¿Cómo filtra iptables varias reglas? Mire las cuatro tablas y las cinco cadenas a continuación.

Concepto de cuatro mesas y cinco cadenas.

  • tabla de filtros - paquetes de filtros
  • Tabla Nat: utilizada para la traducción de direcciones de red (IP, puerto)
  • Tabla Mangle: modifique el tipo de servicio y TTL del paquete de datos y configure el enrutamiento para implementar QOS
  • Tabla sin formato: determina si el paquete es procesado por el mecanismo de seguimiento de estado.
  • Cadena de ENTRADA: los paquetes entrantes aplican la política en esta cadena de reglas
  • Cadena de SALIDA: los paquetes salientes aplican la política en esta cadena de reglas
  • Cadena FORWARD: aplica la política en esta cadena de reglas al reenviar paquetes
  • Cadena PREROUTING: aplique las reglas de esta cadena antes de enrutar los paquetes de datos (esta cadena procesa todos los paquetes de datos primero cuando llegan)
  • Cadena POSTROUTING: aplique las reglas en esta cadena después de enrutar los paquetes de datos (esta cadena procesa todos los paquetes de datos primero cuando salen)

Insertar descripción de la imagen aquí

 Diagrama de flujo de acceso normal

Aprenda conceptos de iptables y reglas relacionadas - Zhihu

 Instalación de Iptables

[root@k8s-node2 ~]# yum install iptables iptables-services

Iniciar y ver el estado

[root@k8s-node2 ~]# systemctl status iptables
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
   Active: inactive (dead)
[root@k8s-node2 ~]# systemctl start iptables
[root@k8s-node2 ~]# systemctl status iptables
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
   Active: active (exited) since Thu 2023-07-20 14:52:06 CST; 1s ago
  Process: 5092 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
 Main PID: 5092 (code=exited, status=0/SUCCESS)

Jul 20 14:52:06 k8s-node2 systemd[1]: Starting IPv4 firewall with iptables...
Jul 20 14:52:06 k8s-node2 iptables.init[5092]: iptables: Applying firewall rules: [  OK  ]Jul 20 14:52:06 k8s-node2 systemd[1]: Started IPv4 firewall with iptables.
Hint: Some lines were ellipsized, use -l to show in full.
[root@k8s-node2 ~]#

Método de configuración de la línea de comando de iptables

Formato de comando

iptables [-t nombre de la tabla] opciones de administración [nombre de la cadena] [condiciones coincidentes] [-j tipo de control]

Notas:

• Cuando no se especifica el nombre de la tabla, el valor predeterminado es la tabla de filtro.

• Cuando no se especifica ningún nombre de enlace, el valor predeterminado son todos los enlaces de la tabla.

• Se deben especificar criterios de coincidencia a menos que se establezca la política predeterminada de la cadena.

• Utilice letras mayúsculas para los tipos de control, todos los demás están en minúsculas

Tipos de control comúnmente utilizados
ACEPTAR: permitir el paso de paquetes de datos.
DROP: descarta el paquete de datos directamente sin dar ninguna información de respuesta.
RECHAZAR: Se niega a pasar el paquete de datos y dará un mensaje de respuesta al extremo que envía los datos. SNAT: modifica la dirección de origen del paquete de datos. DNAT: Modifica la dirección de destino del paquete de datos.
MASQUERADE: Disfrazarse de una dirección IP pública no fija.
REGISTRO: registre la información de registro en el archivo /var/log/messages y luego pase el paquete de datos a la siguiente regla. LOG es solo una acción auxiliar y en realidad no procesa el paquete de datos.

Opciones de administración comúnmente utilizadas:
-A: Agregar (-append) una nueva regla al final de la cadena especificada
-I: Insertar (-insert) una nueva regla al comienzo de la cadena especificada. Cuando no se especifica ningún número de secuencia, El valor predeterminado es la primera regla.
-R: Modificar o reemplazar (–reemplazar) una regla en la cadena especificada. Puede especificar el número de regla o el contenido específico. -P: Establecer la
política predeterminada de la cadena especificada (–política).
- D: Eliminar (–eliminar) la regla en la cadena especificada. Para una determinada regla, puede especificar el número de regla o el contenido específico.
-F: Borrar (–flush) todas las reglas en la cadena especificada. Si el nombre de la cadena es no especificado, borre todas las cadenas en la tabla.
-L: Enumere (–enumere) la cadena especificada. Todas las reglas en la tabla, si no se especifica ningún nombre de cadena, enumere todas las cadenas en la tabla
-n: Use la forma numérica (- numérico) para mostrar los resultados de salida, como mostrar direcciones IP en lugar de nombres de host
-v: muestra información detallada, incluido cada uno El número de paquetes coincidentes y bytes coincidentes de una regla
–números de línea: al ver una regla, el número de secuencia de la regla se muestra.
 

Supongo que te gusta

Origin blog.csdn.net/Jack_chao_/article/details/131829901
Recomendado
Clasificación
Diario
Más
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(1)
2024-05-25(0)
2024-05-24(13)
2024-05-23(34)
2024-05-22(10)

Code World

© 2018 codetd.com