iptables命令简介

于 2024-05-17 01:34:07 发布
阅读量414 收藏 7
点赞数 4
分类专栏: 程序员 文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973202/article/details/138981783
版权

922986fb19308399a6af70fb39253d01.gif

正文共:3456 字 22 图,预估阅读时间:3 分钟

iptables/ip6tables命令,用于在Linux内核中设置、维护和检查IPv4和IPv6数据包过滤规则的表,从而实现IPv4/IPv6数据包过滤和NAT的管理工具。它可以定义多个不同的表,每个表中包含多个预定义的链,也可能包含用户自定义的链。每个链都是一个规则列表,用来匹配一组数据包,每个规则都指定如何处理匹配到的数据包,也被称为“目标”,它可能是跳转到同一个表中用户自定义的链。

本文基于iptables 1.4.21进行介绍。

f77a6db305446a50f4aa92949abb1485.png

匹配规则

e998a720ba244ffab9c9c5764473ac53.png

防火墙规则指定数据包和目标的标准。如果数据包不匹配,则检查链中的下一条规则;如果匹配,则下一个规则由目标的值指定,该值可以是用户自定义的链的名称、iptables扩展中描述的目标之一,或者特殊值ACCEPT、DROP或RETURN之一。

ACCEPT(接受)意味着让数据包通过,DROP(丢弃)的意思是把数据包丢弃,RETURN(返回)表示停止遍历此链,并在上一个(调用)链中的下一个规则处继续。如果到达了预定义链的末端,或者与目标为RETURN的预定义链中的规则匹配,则链策略指定的目标将决定数据包的命运。

91f8d65b97ce82be4d99e9abf08258b6.png

命令简介

iptables [-t table] {-A|-C|-D} chain rule-specification
ip6tables [-t table] {-A|-C|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
iptables [-t table] -S [chain [rulenum]]
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]
iptables [-t table] -N chain
iptables [-t table] -X [chain]
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
rule-specification = [matches...] [target]
match = -m matchname [per-match-options]
target = -j targetname [per-target-options]

ad1bc49aef00c8da6af287421741b9cf.png

07c780b0f60b7e896cb9b73074bcd9ed.png

目前有五个独立的表(哪些表随时存在,取决于内核配置选项和存在哪些模块)。

-t, --table table

此选项指定命令应操作的数据包匹配表。如果内核配置了自动模块加载,则会尝试为该表加载适当的模块(如果该表尚未存在)。

各表如下:

00355740ef87a9e66926274746639235.png

filter

filter是默认表(如果未传递-t选项)。它包含预定义链INPUT(用于发往本地套接字的数据包)、FORWARD(用于通过设备路由的数据包)以及OUTPUT(用于本地生成的数据包)。

2838ffc9f673f8d4e2137be32ddbb82c.png

c122a6829fd2fb46fdcc0e3a365dd09f.png

nat

当遇到创建新连接的数据包时,将查阅此表。它由三个内置组件组成:PREROUTING(用于在数据包进入时立即更改数据包)、OUTPUT(用于在路由之前更改本地生成的数据包)和POSTROUTING(用于在即将离开时更改数据包)。IPv6 NAT支持从内核3.7开始提供。

3aa9afa09887003984f846776b4fe6f2.png

5bc71fa9ff158fb64951268546287916.png

mangle

此表用于专用数据包更改。在内核2.4.17之前,它有两个预定义链:PREROUTING(用于在路由之前更改传入数据包)和OUTPUT(用于在路由之前更改本地生成的数据包)。自内核2.4.18以来,还支持其他三个预定义链:INPUT(用于进入设备本身的数据包)、FORWARD(用于更改通过设备路由的数据包)和POSTROUTING(用于在数据包即将出去时更改数据包)。

d5d14365eb01193ec9ed7372789ef79a.png

b7871addfa32c93773b0b3f64f134812.png

raw

此表主要用于结合NOTRACK目标配置连接跟踪豁免。它以较高的优先级在netfilter挂钩处注册,因此在ip_contrack或任何其他ip表之前调用。它提供以下预定义链:PREROUTING(用于通过任何网络接口到达的数据包)、OUTPUT(用于本地进程生成的数据包。

04f0cff29da8b3f888db3ef932ee5984.png

6891a9484eb6a45914d93c44794b4c9f.png

security

此表用于**强制访问控制(Mandatory Access Control,MAC)网络规则,如SECMARK和CONNSECMARK目标启用的规则。强制访问控制由Linux安全模块(如SELinux)实现。security表在filter表之后调用,允许filter表中的所有任意访问控制(Discretionary Access Control,DAC)**规则在MAC规则之前生效。该表提供了以下预定义链:INPUT(用于进入设备本身的数据包)、OUTPUT(用于在路由之前更改本地生成的数据包)以及FORWARD(用于更改通过设备路由的数据包)。

1113af6eda5e6eb6c38f1cffc29f3d8a.png

eacf1cc088881a1a4a4dadbf2513886a.png

操作选项

91043ac3f17781ff17c7c178bab8ce4e.png

iptables和ip6tables识别的选项可以分为几个不同的组。

fdf0450028891e0ae41042877918a173.png

命令

这些选项指定要执行的所需操作。除非下面另有说明,否则只能在命令行中指定其中一个。对于命令和选项名称的长版本,您只需要使用足够的字母,以确保iptables可以将其与所有其他选项区分开来。

-A, --append chain rule-specification

将一个或多个规则附加到选定链的末端。当源和/或目标名称解析为多个地址时,将为每个可能的地址组合添加一个规则。

-C, --check chain rule-specification

检查所选链中是否存在与规范匹配的规则。该命令使用与-D相同的逻辑来查找匹配条目,但不会更改现有的iptables配置,并使用其退出代码来指示成功或失败。

-D, --delete chain rule-specification
-D, --delete chain rulenum

从选定链中删除一个或多个规则。此命令有两个版本:规则可以指定为链中的数字(第一个规则从1开始)或要匹配的规则。

-I, --insert chain [rulenum] rule-specification

在选定的链中插入一个或多个规则作为给定的规则编号。因此,如果规则号为1,则在链的开头插入一条或多条规则。如果未指定规则编号,则使用默认值。

-R, --replace chain rulenum rule-specification

替换选定链中的规则。如果源和/或目标名称解析为多个地址,则该命令将失败。规则编号从1开始。

-L, --list [chain]

列出选定链中的所有规则。如果未选择任何链,则会列出所有链。

bf423ae05a1a6bab2bc1912363d50a6c.png

与其他所有iptables命令一样,它适用于指定的表(默认是filter),如果要查看NAT规则表,则使用命令iptables -t nat -n -L。

56d666393a8c76989978e8926ace8320.png

请注意,它通常与-n选项一起使用,以避免长时间反向DNS查找。指定-Z(零)选项也是合法的,在这种情况下,链将自动列出并归零。确切的输出受其他给定参数的影响。确切的规则将被抑制,除非使用iptables -L -v命令。

227c0b709c3f00cdff3b6188472567f4.png

-S, --list-rules [chain]

打印选定链中的所有规则。如果没有选择链,则所有链都会像iptables-save一样打印。与其他所有iptables命令一样,它适用于指定的表(默认为filter)。

2a496541bad242197c5eebcaa4638e35.png

-F, --flush [chain]

刷新选定的链(如果未给出任何链,则表中的所有链)。这相当于逐个删除所有规则。

dac1448d9c12e351f81d93956de4ee49.png

-Z, --zero [chain [rulenum]]

将所有链中的数据包和字节计数器归零,或者只将给定链归零,或只将给定规则归零。也可以指定-L,–list(list)选项,以便在计数器被清除之前立即查看计数器。

234d86d99fd27b7c1ced049bc3b350fe.png

-N, --new-chain chain

按给定名称创建新的用户自定义链。必须没有该名称的目标。

1946aa03120036a802da331abdaa8394.png

-X, --delete-chain [chain]

删除指定的可选用户自定义链。不能有对链的引用。如果存在,则必须删除或替换引用规则,然后才能删除链。链必须为空,即不包含任何规则。如果没有给出参数,它将尝试删除表中的每个非预定义链。

7f272575cb5e8502e7fffb71ad7c05fb.png

-P, --policy chain target

将链的策略设置为给定的目标。只有内置(非用户自定义)链才能有策略,预定义链和用户自定义链都不能是策略目标。

-E, --rename-chain old-chain new-chain

将用户指定的链重命名为用户提供的名称。这是装饰性的,对表的结构没有影响。

38345cd9e54bfbeb31b02700ac8c7bbf.png

-h Help

给出命令语法的描述(目前非常简短)。

ecf106837bb65727c4e8b374e35dc633.png

1ec0b8daebabdf68731669e034c9175c.png

参数

dc1392ec69f655fdd2e9853d2090c037.png

以下参数构成了规则规范(在add、delete、insert、replace和append命令中使用)。

-4, --ipv4

此选项在iptables和iptables-restore中无效。如果使用-4选项的规则与ip6tables restore一起插入(并且仅与),它将被默默忽略。任何其他使用都会引发错误。

此选项允许将IPv4和IPv6规则放在一个规则文件中,用于iptables-restore和ip6tables restore。

-6, --ipv6

如果使用-6选项的规则与iptables-restore(并且仅与iptables-restore)一起插入,它将被默默忽略。任何其他使用都会引发错误。此选项允许将IPv4和IPv6规则放在一个规则文件中,用于iptables-restore还原和ip6tables-restore。此选项在ip6tables和ip6tables-restore中无效。

[!] -p, --protocol protocol

要检查的规则或数据包的协议。指定的协议可以是tcp、udp、udplite、icmp、icmpv6、esp、ah、sctp、mh或特殊关键字“all”中的一个,也可以是表示这些协议之一或不同协议的数值。还允许使用/etc/protocols中的协议名称。协议前面带“!”参数反转测试。数字0等于所有。

“all”将与所有协议匹配,如果省略此选项,则默认为“all”。请注意,在ip6tables中,不允许使用除esp之外的IPv6扩展头。esp和ipv6-nonext可以与内核2.6.11或更高版本一起使用。数字0等于全部,这意味着您不能直接测试协议字段的值0。要在HBH头上匹配,即使是最后一个,也不能使用-p 0,但始终需要-m HBH。

c2381ed28ee78cdb2c7ca4566eaf6dbe.png

[!] -s, --source address[/mask][,...]

指定源地址。地址可以是网络名称、主机名、网络IP地址(带/mask)或普通IP地址。在规则提交给内核之前,主机名将只解析一次。请注意,使用远程查询(如DNS)指定要解析的任何名称是一个非常糟糕的主意。掩码可以是ipv4网络掩码(用于iptables),也可以是掩码位数(在网络掩码的左侧指定1的数目)。因此,iptables掩码24等于255.255.255.0。指定地址之前的“!”参数表示反转地址。标志–src是此选项的别名。可以指定多个地址,但这将扩展到多个规则(使用-A添加时),或将导致多个规则被删除(使用-D)。

7ecb706946a907efd1caf938df745da5.png

[!] -d, --destination address[/mask][,...]

指定目的地址。有关语法的详细描述,请参见-s(source)标志的描述。标志–dst是此选项的别名。

ca3937008312bda29d86101a7d65eec6.png

-m, --match match

指定要使用的匹配项,即测试特定属性的扩展模块。匹配集构成了调用目标的条件。匹配将按照命令行上的指定先求值后求值,并以短路方式工作,即如果一个扩展产生错误,求值将停止。

-j, --jump target

这指定了规则的目标;例如,如果数据包与之匹配,该怎么办。目标可以是一个用户自定义的链(除了此规则所在的链)、一个立即决定数据包命运的特殊内置目标或一个扩展(参见下面的扩展)。如果在规则中省略了这个选项(并且没有使用-g),那么匹配规则将不会影响数据包的转发,但是规则上的计数器将增加。

-g, --goto chain

这指定处理应在用户指定的链中继续。与–jump选项不同,返回不会在这个链中继续处理,而是在通过–jump调用我们的链中继续。

[!] -i, --in-interface name

接收数据包的接口名称(仅适用于进入INPUT、FORWARD和PREROUTING链的数据包)。当“!”参数在接口名称之前使用,意义颠倒。如果接口名称以“+”结尾,则以该名称开头的任何接口都将匹配。如果省略此选项,则任何接口名称都将匹配。

0d8f428ad105f54b14afd2a390baecdd.png

[!] -o, --out-interface name

将通过其发送数据包的接口的名称(对于进入FORWARD、OUTPUT和POSTROUTING链的数据包)。当“!”参数在接口名称之前使用,意义颠倒。如果接口名称以“+”结尾,则以该名称开头的任何接口都将匹配。如果省略此选项,则任何接口名称都将匹配。

42cb35dd8c6c98ff7175162c4269bc71.png

[!] -f, --fragment

这意味着该规则只涉及分段数据包的第二个和更多的IPv4片段。由于无法告知此类数据包(或ICMP类型)的源端口或目的端口,因此此类数据包将与指定它们的任何规则不匹配。当“!”参数位于“-f”标志之前,则该规则将仅匹配头部片段或未分段的数据包。此选项特定于IPv4,在ip6tables中不可用。

-c, --set-counters packets bytes

这使管理员能够初始化规则的数据包和字节计数器(在INSERT、APPEND和REPLACE操作期间)。

558ae36a4d67a8c326b41aaf947a7bd8.png

其它选项

可以指定以下附加选项:

-v, --verbose

详细输出。此选项使list命令显示接口名称、规则选项(如果有)和TOS掩码。还列出了数据包和字节计数器,后缀“K”、“M”或“G”分别表示1000、1000000和1000000000乘数(但请参见-x标志以更改此情况)。对于附加、插入、删除和替换,这将导致打印规则的详细信息。可以多次指定-v参数以可能发出更详细的调试语句。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

自学提升又不知道该从何学起的朋友。**

[外链图片转存中…(img-qfrh8ili-1715880838380)]

[外链图片转存中…(img-iSrvLKVi-1715880838381)]

[外链图片转存中…(img-savNoRyB-1715880838381)]

[外链图片转存中…(img-qHRuvFEo-1715880838381)]

[外链图片转存中…(img-3bYQCDYp-1715880838382)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84973202
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ip6tables命令 IPv6的防火墙命令
01-20
ip6tables命令iptables一样,都是linux中防火墙软件,不同的是ip6tables采用的TCP/ip协议为IPv6。 语法格式:ip6tables [参数] 常用参数: -A 向规则链中添加条目 -D 从规则链中删除条目 -i 向规则链中插入条目 -L 显示规则链中已有的条目 -F 清楚规则链中已有的条目 -p 指定要匹配的数据包协议类型 -s 指定要匹配的数据包源ip地址 -j 指定要跳转的目标 参考实例 查看当前的 IPv6 防火墙配置: [root@linuxcool ~]# ip6tables -L 查看当前的 IPv6 防火墙
详解Linux iptables 命令
09-15
iptables 是 Linux 管理员用来设置 IPv4 数据包过滤条件和 NAT 的命令行工具。这篇文章较详细的给大家介绍了Linux iptables 命令,非常不错,具有一定的参考借鉴价值,需要的朋友参考下吧
Linux常用命令——ip6tables-save命令
AI的博客
04-26 216
将Linux内核中ip6tables表导出到标准输出设备上。保存ip6tables表配置。
iptables学习与研究(使用LOG记录失败日志)
weixin_34363171的博客
12-12 452
原文地址: http://blog.csdn.net/fafa211/article/details/2307581   通常情况下,iptables的默认政策为DROP,不匹配的数据包将被直接丢弃。但在丢弃之前建议把信息记录下来,以使你了解哪些信息没有通过规则,有时可依此判断是否有人在尝试攻击你的服务器。 下面给出一个用来详细记录未匹配规则的数据包的iptables规则: #记录下未符合...
iptables
当陷入人为困境时,不要抱怨,只能默默地吸取教训
05-09 1万+
一、iptables入门     当今黑客入侵电脑有很多种途径,其中通过端口进行入侵比较普遍。特别是作为服务器的计算机,关闭不必要的端口,这是最简单的也是最常用的防御黑入侵的做法。用Linux作为服务器操作系统,使用Linux自带的iptables可以实现这功能。    1、查看一下iptables策略的组成[root@localhost ~]# iptables -L -nCha
iptables_基本命令简介.txt
04-12
iptables_基本命令简介.txt
iptables命令实例
08-04
iptables 命令实例 本文档主要介绍了 Linux 中的iptables 命令的实例,涵盖了 iptables 的基本用法、规则设定、端口控制、NAT 转发等方面的知识点。 一、iptables 的基本概念 iptables 是 Linux 系统中的一个...
iptables基本命令规则简介
11-21
iptyables 基本命令规则简介 iptables 是基于内核的防火墙,功能非常强大,iptables 内置了 filter,nat 和 mangle 三张表。filter 负责过滤数据包,包括的规则链有,input,output 和 forward;nat 则涉及到网络...
iptables 之 REJECT 与 DROP 对比
风雪小筑
05-18 3447
前言 在访问国外网站时,F12 看 console,下面两种错误很常见: (1),Failed to load resource: net::ERR_CONNECTION_REFUSED (2),Failed to load resource: net::ERR_CONNECTION_TIMEOUT 不考虑网络状况的情况下,一般是不同的 iptables 策略导致的。 本文简单分析不同 iptables 策略下不同的现象。 Netcat 监听端口 Linux 服务器配置防火墙策略时,对一些不希望对外开放的端
iptables DROP INPUT链后,解决无法访问外网的办法
罗老三的运维之路
01-04 1371
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables基本用法
翔云
03-30 935
iptables是一个很好用的数据包过滤工具,可以针对host,port等进行数据包拦截等操作。 本文主要介绍iptables的两个操作:drop和reject. 1.drop drop顾名思义,就是丢包,不回复任何数据。 设置策略: iptables -A OUTPUT -p tcp --dport 3306 -d 192.168.0.101 -j DROP 查看策略: [root@local...
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables操作
dap769815768的博客
03-28 454
系统:Ubuntu 20.04 iptables生效的顺序:排在前面的会覆盖掉后面的。比如先增加一条REJECT规则,又增加了一个ACCEPT规则,如果这两个规则是对同一个条件设置的,那么后者会覆盖前者。 1.给filter表增加一条drop规则: # -t表示table,默认是filter表,因此这里可以省略掉-t这个参数 # -A表示Add,-j表示操作类型,-p表示协议,--dport表示目的端口 # 如果本地收到一个tcp数据包,数据包的访问端口是8081的话,那么直接丢弃掉 iptable
IPTABLES简明实用指南
周葛亮的博客
09-16 377
基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的软件可以在这5处...
iptables基础(一)
weixin_33946020的博客
04-05 361
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
linux之iptables防火墙
weixin_55609813的博客
05-25 283
iptables防火墙iptables概述netfilter/iptables关系四表五链四表五链数据包过滤的匹配流程数据包到达防火墙时,规则表之间的优先顺序:规则链之间的匹配顺序主机型防火墙网络型防火墙规则链内的匹配顺序iptables的安装iptables防火墙的配置方法iptables命令行配置方法控制类型管理选项添加新的规则查看规则列表设置默认策略删除规则清空规则规则的匹配通用匹配协议匹配地址匹配接口匹配隐含匹配端口匹配TCP标记匹配ICMP类型匹配显式匹配多端口匹配IP范围匹配MAC地址匹配状态匹
Linux常用命令——ip6tables命令
AI的博客
04-28 2608
但是 IPv6 的地址非常丰富,不再需要使用类似 NAT 等协议的私有网络。这样一来,所有的内部主机都可以拥有公网 IP 而直接连接到互联网,也就同时暴露于互联网上的各种威胁之中了。有时候,如果你的规则设置太过苛刻,可能都无法分配到正确的 IPv6 地址。当然,不使用 DHCP 而是手动配置 IP 地址的除外。对于那些没有特定规则与之匹配的数据包,可能是我们不想要的,多半是有问题的。和iptables一样,都是linux中防火墙软件,不同的是ip6tables采用的TCP/ip协议为IPv6。
iptables命令
最新发布
07-27
iptables命令是用于配置Linux系统的防火墙规则的工具。默认情况下,iptables的默认规则是ACCEPT,即允许所有的网络流量通过。然而,为了提高系统的安全性,我们可以设置INPUT,OUTPUT和FORWARD这些链的默认规则为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值