iptables和nftables的使用
文章目录
- 前言
- iptable简介
- iptable命令使用
- iptables的四表五链
- nftables简介
- nftables命令的时候
- nftables与iptables的区别
- iptables-legacy和iptables-nft
- 实例
- 将指定`protocol:ip:port`的流量转发到本地指定端口
前言
本文展示了,iptables和nftable命令的使用。
# 实验环境
5.15.0-58-generic #64~20.04.1-Ubuntu x86_64 GNU/Linux
iptable简介
iptable命令使用
参考:iptables 命令,Linux iptables 命令详解:Linux上常用的防火墙软件 - Linux 命令搜索引擎、IptablesHowTo - Community Help Wiki
详细见上方连接,命令结构如下:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
下方是一个简单的demo,阻断指定(域名)地址的访问。
# 列出filter表中(不同链的)已经设置的规则
## -t参数不指定,默认是filter表
## sudo iptables-legacy -L
sudo iptables-legacy -t filter -nvL# 禁止访问百度
sudo iptables-legacy -t filter -A OUTPUT -d www.baidu.com -j REJECT# 删除添加的规则
## 查看规则的序号
sudo iptables-legacy -t filter -L --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination Chain FORWARD (policy ACCEPT)
num target prot opt source destination Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 REJECT all -- anywhere 180.101.50.188 reject-with icmp-port-unreachable
2 REJECT all -- anywhere 180.101.50.242 reject-with icmp-port-unreachable## 删除规则
sudo iptables-legacy -t filter -D OUTPUT 1
sudo iptables-legacy -t filter -D OUTPUT 1# 清空整个fitter表所有链的规则
sudo iptables-legacy -t filter -F
iptables的四表五链
参考:来,今天飞哥带你理解 Iptables 原理!-51CTO.COM
上面命令的使用过程,可以让我们对iptables这个命令,混个脸熟。
但是想要使用好iptbles规则,我们必须知道:1)明白规则,链,表之间的关系;2)数据的流向(即,经过哪些点,哪些规则会起作用)
总的来说,逻辑理解上应该是这样:
-
协议栈上存在钩子函数,数据在流经协议栈的过程中,执行相应的钩子函数。而这些钩子函数,即是规则,通过用户层执行iptables命令的方式放入。当条件匹配的时候,执行相应的动作。
-
这些规则,根据目的/功能的不同,在不同的表中。表分为四种,raw,mangle,nat,filter。nat和filter比较常用,分别是地址转换和包过滤。
-
流量流经不同的位置,存在不同的链。一个链,可以将不同表中不同的规则串联起来。钩子函数顺着该链,执行规则。
下面这两张图来自上面连接,我复制过来。
上图:数据接收过程走的是 1 和 2,发送过程走的是 4 、5,转发过程是 1、3、5。有了这张图,我们能更清楚地理解 iptables 和内核的关系。
下图:在每一个链上都可能是由许多个规则组成的。在 NF_HOOK 执行到这个链的时候,就会把规则按照优先级挨个过一遍。如果有符合条件的规则,则执行规则对应的动作。而这些规则根据用途的不同,又可以raw、mangle、nat 和 filter。从整体上看,四链五表的关系如下图。
nftables简介
nftables命令的时候
ubuntu20默认没有安装nftables
,需要我们手动安装下。参考:nftables - Debian Wiki
sudo apt install nftables
# sudo systemctl enable nftables.service
关于命令的使用,可以参考:Nftables HOWTO in Chinese、nftables 配置与使用记录 - StarryVoid - Blog、nftables - ArchWiki、8.3.4. 使用 nft 命令管理表、链和规则 Red Hat Enterprise Linux 8 | Red Hat Customer Portal
# 目标:和上一节一样,禁止访问百度(ipv4)# 创建表
## 列出所有存在的表
sudo nft list tables
## 添加一个inet类型(family)的表,表名为filter
sudo nft add table inet filter# 创建链
## 从zsh切换到bash,否则语句中的shell执行会报语法错误
bash
## 在inet类型的filter表中,添加一个名为OUTOUT的基础链
## 这个基础链是filter类型,挂在在output钩子上,优先级是filter类型(0),默认的策略是放行
sudo nft add chain inet filter OUTPUT { type filter hook output priority filter\; policy accept \; }## 列出指定表中的链
sudo nft list table inet filter
table inet filter {chain input {type filter hook input priority filter; policy accept;}chain forward {type filter hook forward priority filter; policy accept;}chain output {type filter hook output priority filter; policy accept;}chain OUTPUT {type filter hook output priority filter; policy accept;}
}# 添加规则
## 禁止访问百度(ip)
# sudo nft add rule inet filter OUTPUT ip daddr {180.101.50.242, 180.101.50.242} drop
sudo nft add rule inet filter OUTPUT ip daddr 180.101.50.188 drop
sudo nft add rule inet filter OUTPUT ip daddr 180.101.50.242 drop
## 查看表中的规则
sudo nft -a list chain inet filter OUTPUTtable inet filter {chain OUTPUT { # handle 4type filter hook output priority filter; policy accept;ip daddr 180.101.50.188 drop # handle 5ip daddr 180.101.50.242 drop # handle 6}
}## 删除规则
sudo nft delete rule inet filter OUTPUT handle 5
## 清空链
sudo nft flush chain inet filter OUTPUT
## 删除链
sudo nft delete chain inet filter OUTPUT
## 清空表
sudo nft flush table inet filter
## 删除表
sudo nft delete table inet filter
nftables与iptables的区别
关于两者在使用上的区别,
-
nftables 使用教程(如果打不开这篇连接,可以参考CentOS 8 都发布了,你还不会用 nftables? - 掘金,内容是一样的。)
-
继iptables之后的新一代包过滤框架是nftables_dog250的博客-CSDN博客
总的来说,nftables写起来,更加灵活。(至于内核中的区别,母鸡)
iptables-legacy和iptables-nft
可以看到,我上面并没有使用iptables
和iptables-nft
命令。
那么iptables
、iptables-legacy
、nft
、iptables-nft
,这之间有什么区别?
可以阅读:iptables - Debian Wiki、iptables: The two variants and their relationship with nftables | Red Hat Developer、Using iptables-nft: a hybrid Linux firewall
总的来说:
-
iptables-legacy
命令就是我们熟知的iptables,背后是iptables的框架。 -
nft
背后使用的是nftables框架。 -
iptables-nft
在使用命令上,和iptables-legacy
相同,只是背后是nftables。(iptables-translate命令,可以将iptables命令转换成nft命令) -
iptables
是个软连接,可以在iptables-legacy
和iptables-nft
之间切换。
实例
将指定protocol:ip:port
的流量转发到本地指定端口
去年(2022年),谷歌关闭了在中国的翻译服务。我是google翻译的重度用户,不得不去寻找其他替代品。如果可以将谷歌翻译的流量转发到本地的指定端口,或许对于继续使用谷歌翻译有帮助。我尝试了下,流量确实转发了,但是如何继续这个流量似乎是个问题。
我们以这个例子,来事件下iptable/nftables的使用。
首先,进行DNS查找。
nslookup translate.googleapis.com 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53Non-authoritative answer:
Name: translate.googleapis.com
Address: 142.251.42.234
将google翻译的流量转发到本地端口。
# 创建一个新链transparent,被OUTPUT链引用
sudo iptables-legacy -t nat -N transparent
sudo iptables-legacy -t nat -I OUTPUT -p tcp -j transparent# 将tcp 142.251.42.234:443的流量转发到1089端口
sudo iptables-legacy -t nat -A transparent -p tcp -d 142.251.42.234 --dport 443 -j REDIRECT --to-ports 1089
sudo iptables-legacy -t nat -nvL# 清空并删除transparent链
sudo iptables-legacy -t nat -F transparent
sudo iptables-legacy -t nat -X transparent
至于如何使用nft命令该如何去写,这里不实现。但,我们看下转发的哪条规则该如何写。
$ iptables-translate -t nat -A transparent -p tcp -d 142.251.42.234 --dport 443 -j REDIRECT --to-ports 1089
# 在这之前,需要先行创建一个名为nat的ip类型表。表中添加一个名为transparent的链。
## 链的类型为nat,hook为OUTPUT
nft add rule ip nat transparent ip daddr 142.251.42.234 tcp dport 443 counter redirect to :1089
相关文章:
iptables和nftables的使用
文章目录前言iptable简介iptable命令使用iptables的四表五链nftables简介nftables命令的时候nftables与iptables的区别iptables-legacy和iptables-nft实例将指定protocol:ip:port的流量转发到本地指定端口前言 本文展示了,iptables和nftable命令的使用。 # 实验环…...
中小学信息学相关编程比赛清单及报名网站汇总(C++类)
1、NOI系列比赛(CSP-J CSP-S NOIP NOI APIO CTSC IOI ISIJ等) NOI官网 NOI全国青少年信息学奥林匹克竞赛https://www.noi.cn/ 2、蓝桥杯青少年创意编程大赛 https://www.lanqiaoqingshao.cn/home 3、中国电子协会考评中心...
06Makefile
Makefile 1、Makefile简介 一个工程中的源文件不计其数,其按类型、功能、模块分别放在若干个目录中,makefile定义了一系列的规则来指定哪些文件需要先编译,哪些文件需要后编译,哪些文件需要重新编译,甚至于进行更复杂…...
【C++】模板初阶
🍅讨厌废话,直接上车 ☃️1.泛型编程 void Swap(int& left, int& right) { int temp left; left right; right temp; } void Swap(double& left, double& right) { double temp left; left right; right temp; } void Swap(char&…...
vue+nodejs考研资料分享系统vscode - Visual Studio Code
前端技术:nodejsvueelementui,视图层其实质就是vue页面,通过编写vue页面从而展示在浏览器中,编写完成的vue页面要能够和控制器类进行交互,从而使得用户在点击网页进行操作时能够正常。 Express 框架于Node运行环境的Web框架, 目 …...
LeetCode_单周赛_332
6354. 找出数组的串联值 题意 将数组首尾元素接在一起,就是串联值。 串联之后删除,如果只剩下一个元素,加上这个元素即可 双指针,从首和尾向中间移动即可 code **注意:**用 long 没看题目用了 int wa了一发 clas…...
[LeetCode周赛复盘] 第 332 场周赛20230212
[LeetCode周赛复盘] 第 332 场周赛20230212 一、本周周赛总结二、 [Easy] 6354. 找出数组的串联值1. 题目描述2. 思路分析3. 代码实现三、[Medium] 6355. 统计公平数对的数目1. 题目描述2. 思路分析3. 代码实现四、[Medium] 6356. 子字符串异或查询1. 题目描述2. 思路分析3. 代…...
C++轻量级RPC库RpcCore
C轻量级的RPC库,可用于任何项目中,甚至单片机。 方便平台直接相互进行功能调用。 基于asio的实现 asio_net 也可用在esp32适用于ESP32/ESP8266的实现 esp_rpc 目前也有一些轻量的库,参考了protobuf(或者依赖它)&…...
Mysql的视图
视图的特点: 1.视图可以看做一个虚拟的表,本身是不存储数据的。 视图的本质可以看作是存储起来的select语句 2.视图中涉及到的表都统称为基表 3.针对视图多DML操作,会影响到对应基表中的数据。反之亦然 4.视图本身的删除,不会…...
2/12考试总结
时间安排 8:30–8:50 读题,T1 不知道是个啥,T2是个dp ,T3可能也是 dp 之类的。 8:50–9:30 T1,读了好几遍才理解了题意,对于部分分有爆搜。考虑正解,想到预处理后O(1) 查询,问题是如何由已知的信息得到所有…...
第三章虚拟机的克隆,快照,迁移删除
1.虚拟机的克隆 如果你已经安装了一台linux操作系统,你还想再更多的,没有必要再重新安装,你只需要克 隆就可以,看演示。 方式1,直接拷贝一份安装好的虚拟机文件,再用虚拟机打开这个文件方式2,使用vmware的…...
华为OD机试 - 任务总执行时长(Python)| 真题含思路
任务总执行时长 题目 任务编排服务负责对任务进行组合调度。 参与编排的任务又两种类型, 其中一种执行时长为taskA, 另一种执行时长为taskB。 任务一旦开始执行不能被打断,且任务可连续执行。 服务每次可以编排 num 个任务。 请编写一个方法,生成每次编排后的任务所有可…...
LeetCode 热题 C++ 114. 二叉树展开为链表
给你二叉树的根结点 root ,请你将它展开为一个单链表: 展开后的单链表应该同样使用 TreeNode ,其中 right 子指针指向链表中下一个结点,而左子指针始终为 null 。展开后的单链表应该与二叉树 先序遍历 顺序相同。 示例 1…...
Spring的事务控制-基于AOP的声明式事务控制
Spring的事务控制-基于AOP的声明式事务控制 Spring事务编程概述 事务是开发中必不可少的东西,使用JDBC开发时,我们使用connection对事务进行控制,使用MyBatis时,我们使用SqlSession对事务进行控制,缺点就是ÿ…...
SSO(单点登陆)
Single Sign On 一处登陆、处处可用 0、前置概念: 1)、单点登录业务介绍 早期单一服务器,用户认证。 缺点:单点性能压力,无法扩展 分布式, SSO(single sign on)模式 解决 : 用户身份信息独…...
线程和QObjects
QObject的可重入性: QThread继承了QObject,它发出信号以指示线程开始或完成执行,并提供一些插槽。 QObjects可以在多个线程中使用发出调用其他线程中槽的信号,并将事件发布到在其他线程中“活动”的对象。这是可能的࿰…...
最新中文版FL Studio21水果软件下载安装图文教程
FL Studio是目前流行广泛使用人数最多音乐编曲制作软件,这款软件相信广大网友并不陌生,今天带来的是FL中文版本,所有的功能都能在线编辑,用户直接就能操作,同时因为是21水果是最新版,所以增加了新的功能&am…...
pandas数据分析35——多个数据框实现笛卡尔积
什么是笛卡尔积。就是遍历所有组合的可能性。 比如第一个盒子有[1,2,3]三个号码球,第二个盒子有[4,5]两个号码球。那么从每个盒子里面分别拿一个球共有3*2两种可能性,其集合就是{[1,4],[2,4],[3,4],[1,5],[2,5],[3,5]},这个就是笛卡尔积。 三个盒子也是…...
【C语言学习笔记】:数组倒序排列,数组倒置
数组倒置就是将数组元素中的数据倒过来! 举个例子,比如下面程序: #include <stdio.h>int main(void) { int a[5] {1, 2, 3, 4, 5}; int b[5]; //用来存放倒置后的数据 int i, j; for (i0, j4; i<5, j>0; i, --j)…...
sni+tomcat漏洞复现
sni SNI产生背景 SSL以及TLS(SSL的升级版)为客户端与服务器端进行安全连接提供了条件。但是,由于当时技术限制,SSL初期的设计顺应经典的公钥基础设施 PKI(Public Key Infrastructure)设计,PKI 认为一个服务器只为一个…...
Linux ALSA 之十:ALSA ASOC Machine Driver
ALSA ASOC Machine Driver一、Machine 简介二、ASoC Machine Driver2.1 Machine Driver 的 Platform Driver & Platform Device 驱动模型2.2 在 Probe() 中注册声卡三、snd_soc_register_card 函数3.1 bind DAIs3.2 New a sound card3.3 Create card new widgets3.4 Probe …...
Spring 面试题(一):Spring 如何处理全局异常?
❤️ 博客首页:水滴技术 🚀 支持水滴:点赞👍 收藏⭐ 留言💬 🌸 订阅专栏:Spring 教程:从入门到精通 文章目录1、如何处理全局异常2、代码示例2.1、定义统一的“响应结果对象”2.2、…...
Threadlocal为何引发内存泄漏问题
首先我们要先了解什么是泄漏问题和什么是内存溢出 内存泄漏表示程序员申请了内存,但是该内存一直无法被释放 内存溢出表示申请内存不足,就会报错 为何引发内存泄漏问题 因为每个线程都有自己独立的ThreadLocalMap对象,key为ThreadLocal&…...
如何写好 Python 的 Lambda 函数?
当你需要完成一件小工作时,在本地环境中使用这个函数,可以让工作如此得心应手,它就是 Lambda 函数。 Lambda 函数是 Python 中的匿名函数。有些人将它们简称为lambdas,它们的语法如下: lambda arguments: expression…...
大数据技术架构(组件)32——Spark:Spark SQL--Execute Engine
2.2、Spark SQL2.2.1、Execute EngineSparkSql的整体提交执行流程和Hive的执行流程基本上一致。站在通用的角度,对于SparkSql来说,从Sql到Spark的RDD执行需要经历两个大的阶段:逻辑计划和物理计划逻辑计划层面会把用户提交的sql转换成树型结构…...
Leetcode.1138 字母板上的路径
题目链接 Leetcode.1138 字母板上的路径 Rating : 1411 题目描述 我们从一块字母板上的位置 (0, 0)出发,该坐标对应的字符为 board[0][0]。 在本题里,字母板为board ["abcde", "fghij", "klmno", "pqr…...
一个自动配置 opengrok 多项目的脚本
前段时间在服务器上配置 opengrok 阅读代码,项目有很多个,一个一个手动配置比较繁琐。 我从搭建 tomcat 和 opengrok,到配置和索引完 5 个 Android 项目,用了差不多一整天。 要是再让我手动配置几个项目,估计真要崩溃…...
JAVA同步代码块 同步方法
JAVA同步代码块 & 同步方法 为了解决多线程操作共享数据时产生的安全问题 例如以下代码 if (ticket < 0) {// 卖完了break; } else {ticket--;System.out.println(Thread.currentThread().getName() "在卖票,还剩下" ticket "张")…...
分享111个助理类简历模板,总有一款适合您
分享111个助理类简历模板,总有一款适合您 111个助理类简历模板下载链接:https://pan.baidu.com/s/1JafYuLPQMmq37K4V0wiqWA?pwd8y54 提取码:8y54 Python采集代码下载链接:https://wwgn.lanzoul.com/iKGwb0kye3wj 设计师助理…...
Allegro如何更改临时高亮的颜色设置操作指导
Allegro如何更改临时高亮的颜色设置操作指导 在用Allegro做PCB设计的时候,当移动或者高亮某个对象之前,会被临时高亮一个颜色,方便查看,类似下图 运行高亮命令的时候,器件被临时高亮成了白色 软件默认的是白色,如何更改成其它颜色? 具体操作如下 点击Display选择Color…...
企业建网站公司多少钱/百度指数app
五、学习LLC谐振变换电路的工作原理 在具有电阻R、电感L和电容C元件的交流电路中,电路两端的电压与其中电流相位一般是不同的。如果调节电路元件(L或C)的参数或电源频率,可以使它们相位相同,整个电路呈现为纯电阻性。…...
北京做手机网站建设/精准客户截流软件
GLSurfaceView 是一个视图,继承至SurfaceView,它内嵌的surface专门负责OpenGL渲染。 在使用的时候要实现以下几步。 一、创建自定义1类继承自GLSurfaceView,并创建构造器 二、创建自定义2类实现GLSurfaceView.Renderer接口 重写onDrawFrame(G…...
齐诺网站建设/网络销售怎么聊客户
本文来自:江清清的技术专栏(http://www.lcode.org) (一)前言 现阶段大家在使用React Native开发项目的时候,基本都会使用到微信好友或者微信朋友圈分享功能吧,那么今天我就带大家实现以下RN微信好友以及朋友圈的分享功能。 刚创建的React Native交流6群:…...
武汉网站推广公司招聘/公司网站设计的内容有哪些
前言 上节讲到qt for android开发百度地图,已经可以打开地图了,里面的一些功能,如自定义搜索栏,添加控件等等,这些百度地图官方开发文档都提供了例子,可以自定义开发。但是问题也来了,我们开发百…...
海城做网站/营销策划书模板
一、简介paramiko是一个基于SSH用于连接远程服务器并执行相关操作(SSHClient和SFTPClinet,即一个是远程连接,一个是上传下载服务),使用该模块可以对远程服务器进行命令或文件操作,值得一说的是,fabric和ansible内部的远程管理就是…...
男朋友抱着我在教室做网站/推广自己的产品
istio默认会进行日志的记录,但是仅仅记录到服务、以及服务之间调用的信息,不记录业务日志。 如: 所以需要添加业务日志记录。 1.引入依赖 <dependency><groupId>org.fluentd</groupId><artifactId>fluent-logger<…...