Linux之iptables使用

最新推荐文章于 2022-11-29 12:37:36 发布
最新推荐文章于 2022-11-29 12:37:36 发布
阅读量401 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sauphy/article/details/50005031
版权

netfilter

 

3表

Filter表:(默认表)防火墙相关
NAT表:snat(源地址转换)、dnat(目标地址转换)、pnat(目标端口转换)
Mangle表:修改报文再整合
Raw

iptables
内置链

PREROUTING:数据包进入路由表之前

INPUT:通过路由表后目的地为本机(过滤进入本机的数据包,攻击)

FORWARDING:通过路由表后,目的地不为本地(经过而不入主机NAT相关)

OUTPUT:由本机产生,向外转发(处理本机发出的数据包,泄密)

POSTROUTING:发送到网卡接口之前

规则

iptables [-t 表名] -命令 -匹配 -j 动作/目标
-s:源IP段
-d:目标网段
-i:数据流入的网口eth0
-o:数据流出的网口eth0
-p:协议tcp udp
对于严谨的规则,一般默认规则都是拒绝未知,允许已知

iptables具备的3表5链

编号

命令

1

iptables -L

查看filter表

2

iptables -t nat -L

查看nat表

3

iptables -t mangle -L

查看mangle表

4

iptables -F
iptables -Z

清除所选链中的所有规则
计数器清零

4

iptables -A INPUT

为INPUT链追加

5

iptables -t filter -P INPUT -j DROP 丢弃
iptables -t filter -P INPUT -j REJECT 拒绝
iptables -t filter -P INPUT -j ACCEPT 接受
iptables -t filter -P INPUT -j RETURN 返回主链继续匹配
iptables -t filter -P INPUT -j REDIRECT 端口重定向
iptables -t filter -P INPUT -j MASQUERADE地址伪装
iptables -t filter -P INPUT -j DNAT|SNAT 地址转换
iptables -t filter -P INPUT -j MARK 打标签
iptables -t filter -P INPUT LOG

设置filter表INPUT链的默认Policy为丢弃
SNAT:代理内部客户端访问外部网络,在POSTROUTING或OUTPUT链上来做规则限制
DNAT:将内部服务器公开至外部网络,需在PREROUTING做限制

6

iptables -N filter_web
iptables -X
iptables -E

自定义链被调用才发挥作用
清除filter中使用者自定链中的规则(X Z同理),内置链不能删除
重命名自定义链

7

 

 

8

iptables -t nat -A
iptables -t nat -I3
iptables -t nat -D
iptables -t nat -R3

nat表末尾追加规则
nat插入为第3条规则
删除第几条规则
替换第几条规则

9

iptables -A INPUT -s 10.0.10.0/24 -d 10.0.10.0/24 -j ACCEPT
iptables -A INPUT -s 10.0.10.0/24 -d 10.0.10.0/24 -I eth0 -j ACCEPT

允许10.0.10.0/24网段的ip地址访问
只允许指定网段10.0.10.0/24内的IP可以访问到eth0网卡

10

iptables-P INPUT DORP
iptables-A INPUT -s   10.0.10.0/24   -d  10.0.10.0/24 -j ACCEPT
iptables-P OUTPUT DORP
iptables-A OUTPUT -d   10.0.10.0/24  -s    10.0.10.0/24-j ACCEPT

对于严谨的规则,一般默认规则都是拒绝未知,允许已知

11

/etc/init.d/iptables save
iptables-save > /tmp/iptables
iptables-restore < /tmp/iptables

保存规则到默认配置
保存规则到其它文件
加载iptables文件规则

4

iptables -A INPUT

为INPUT链追加

4

iptables -A INPUT

为INPUT链追加

4

iptables -A INPUT

为INPUT链追加

4

iptables -A INPUT

为INPUT链追加

4

iptables -A INPUT -d 10.0.10.62  -ptcp --dport 80 -j ACCEPT

放行对本机web的访问

4

iptables -A OUTPUT -s 10.0.10.62 -p tcp --sport 80 -j ACCEPT

放行出去的报文,源端口未80

iptables -A OUTPUT -s 10.0.10.62 -d 10.0.10.0/24 -p icmp --icmp-type8 -j ACCEPT

允许本机ping通 10.0.10.0/24网段

 

sauphy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables基础知识详解
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -&gt; Tables -&g...
iptables NAT表之SNAT、DNAT、REDIRECT介绍
zerocdn的博客
03-22 6763
iptables NAT表之SNAT、DNAT、REDIRECT介绍 NAT: network address translation PREROUTING,INPUT,OUTPUT,POSTROUTING 请求报文:修改源/目标IP,由定义如何修改 响应报文:修改源/目标IP,根据跟踪机制自动实现 SNAT SNAT:source NAT POSTROUTING, INPUT 让本地网络中的主...
iptables总结--理解四表五链/snat/dnat/redirect/synproxy/性能
网络安全研究
11-04 3236
1. iptables四表五链 四表五链: 链就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING); 表就是存储的规则;数据包到了该链处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。 1.1 四表 filter表——过滤数据包 Nat表——用于网络地址转换(IP、端口) Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS Raw表——决定数据包是否
学习Linux第八天(iptables
ly2635的博客
10-19 1062
五链四表、Iptables 开放tcp、udp端口、匹配ICMP端口和ICMP类型、--syn的处理方式、保存和恢复
iptables详解(13):iptables动作总结之二
yetugeng的专栏
06-16 1038
概述 阅读这篇文章需要站在前文的基础上,如果你在阅读时遇到障碍,请参考之前的文章。 前文中,我们已经了解了如下动作 ACCEPT、DROP、REJECT、LOG 今天,我们来认识几个新动作,它们是: SNAT、DNAT、MASQUERADE、REDIRECT 在认识它们之前,我们先来聊聊NAT,如果你对NAT的相关概念已经滚瓜烂熟,可以跳过如下场景描述。 NAT是Network Address Translation的缩写,译为"网络地址转换",NAT说白了就是修改报文的IP地址,..
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
LinuxIptables使用资料(整理).docx
12-16
LinuxIptables使用资料(整理).docx
linuxiptables手册
最新发布
01-18
iptables手册
详解Linux iptables 命令
09-15
iptablesLinux 管理员用来设置 IPv4 数据包过滤条件和 NAT 的命令行工具。这篇文章较详细的给大家介绍了Linux iptables 命令,非常不错,具有一定的参考借鉴价值,需要的朋友参考下吧
linuxiptables防火墙设置
09-02
首先设置禁止所有的数据流传出传入策略,...注意使用centos7及以上版本系统使用该方法时候禁用firewalld防火墙服务,并下载iptables服务 systemctl disable firewalld --now yum install iptables-services iptables -y
ipt2socks:用于将iptables(redirecttproxy)转换为socks5的实用程序
02-01
ipt2socks:用于将iptables(redirecttproxy)转换为socks5的实用程序
iptables重定向ip
uiop_uiop_uiop的博客
11-29 2128
有时我们想让一个域名指向另一个 IP 时,我们会直接修改 /etc/hosts,来实现我们的目地。那如果是访问一个 IP,需要这个 IP 指向另一个 IP 呢?是的,iptables 可以实现这层转发。
iptables详解
热门推荐
shujuliu818的专栏
07-07 2万+
文章主要对iptables四表五链,以及iptables应用场景做了详细描述
tproxy_Iptables+Tproxy+RedSocks(TCP/UDP)透明代理原理浅析
weixin_35950365的博客
01-30 4256
这两天闲着没事简单研究了下关于透明代理的方面的东西,有一些感想来记录下。先来简单说下透明代理的大体流程:1.用户将流量发送的网关服务器2.网关通过设置iptables、ip路由策略方式将感兴趣的流量截获并重定向代理应用程序3.代理应用程序通过某些方式获取原始目标的IP地址和port等信息 最后根据需求来定制实现不同的协议代理(如socks5)...一、第一步没什么好说 直接跳过 。二、 流量转发主...
iptables规则的命令小节
zfx1997的博客
05-08 315
添加规则iptables -t 表名 -A 链名 匹配条件 -j 动作 ##语法中-A表示在对应链的末尾添加规则,省略-t时,默认为filter表 示例:iptables -t filter -A INPUT -s 192.168.137.104 -j REJECTiptables -t 表名 -I 链名 (数字) 匹配条件 -j 动作 #语法中,-I默认表示在对应链的开头添加规则,指定数
学好iptables防火墙拒绝信息泄露
masonyong的博客
07-13 1662
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,而这些表集成在 Linux 内核中。在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则...
iptables实现网页重定向
umitor的Blog
02-28 1万+
实现目标: 内网用户,无论其在IE地址栏内输入任何网址,都被系统强制跳转到路由器主页(192.168.1.1) 解决办法: iptables -t nat -A PREROUTING -m multiport -p tcp --dport 80,8080 -j DNAT --to 192.168.1.1:80 这样不管在浏览器里面打入什么地址都自动显示192.168.1.1的首页。
iptables数据包、连接标记模块MARK/CONNMARK的使用(打标签)
angou6476的博客
02-05 937
MARK标记用于将特定的数据包打上标签,供iptables配合TC做QOS流量限制或应用策略路由。 看看和MARK相关的有哪些模块: ls /usr/lib/iptables/|grep -i mark libxt_CONNMARK.so libxt_MARK.so libxt_connmark.so libxt_mark.so 其中大写的为标记模块,小写的为匹配模...
linux 使用iptables 添加端口
06-07
要在 Linux使用 iptables 添加端口,可以使用以下命令: 1. 首先,打开终端并以 root 用户身份登录。 2. 然后,使用以下命令打开 iptables 配置文件: ``` sudo nano /etc/sysconfig/iptables ``` 3. 在文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值