iptables 常用功能总结

最新推荐文章于 2024-04-09 08:41:28 发布
最新推荐文章于 2024-04-09 08:41:28 发布
阅读量3.6k 收藏 3
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AlexWoo0501/article/details/49969467
版权

iptables 常用功能总结

iptables 是一个用于 IP 访问控制的工具,可以通过 iptables 实现一些防火墙和 NAT 的功能,以下是对 iptables 常用功能的总结

基本概念

iptables 的 5 条链和 4 张表

iptables 调用内核 Netfilter 进行 IP 访问控制设置,而 Netfilter 在网络层有 5 个钩子:

  • PRE_ROUTING
  • INPUT
  • OUTPUT
  • FORWARD
  • POST_ROUTING

对应了 iptables 的 5 条链:

  • PREROUTING
  • INPUT
  • OUTPUT
  • FORWARD
  • POSTROUTING

另外 iptables 有四张表,这四张表即配置了 5 条链上 IP 访问控制规则,这四张表分别为:

  • filter:访问控制,规则匹配
  • nat:地址转发
  • mangle:修改数据包,改变包头中的内容(TTL,MARK等)
  • raw:数据报状态跟踪,分析

一般常用到的表为 filter 和 nat 表,iptables 使用 -t 来指定要访问的表,如果不指定,默认为 filter 表,如下面查看 filter 表和 nat 表中的内容:

[root@AlexWoo-CentOS ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:80 redir ports 8080 
REDIRECT   tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:443 redir ports 8443 

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
[root@AlexWoo-CentOS ~]# iptables -t filter -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8443 
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:8080 
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED 
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22 
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

5 条链和 4 张表的对应关系

  • 当从其它主机收到一个 IP 包:

    1. 先进入 PREROUTING 链,这个时候可以使用 nat、mangle 和 raw 表中配置的规则
    2. 如果目的地址为本机,进入 INPUT 链,这个时候可以使用 filter 和 mangle 表中配置的规则,处理完成后交到对应的应用进程进行处理
    3. 如果目的地址不是本机,进入 FORWARD 链,这个时候可以使用 filter 和 mangle 表中配置的规则
    4. 最后进入 POSTROUTING 链,这个时候可以使用 nat 和 mangle 表中配置的规则

  • 当本机向外主动发送一个 IP 包:

    1. 先进入 OUTPUT 链,这个时候可以使用 filter、nat、mangle 和 raw 表中配置的规则
    2. 如果目的地址是本机,进入 INPUT 链,这个时候可以使用 filter 和 mangle 表中配置的规则,处理完成后交到对应的应用进程进行处理
    3. 如果目的地址不是本机,进入 POSTROUTING 链,这个时候可以使用 nat 和 mangle 表中配置的规则

常用命令

注:以下只是常用的命令,不包含所有命令,如有兴趣,可以自己通过 man 或其它资料进行研究

查看规则

iptables [-t

清除规则

iptables [-t

删除规则

iptables [-t

添加规则

iptables [-t <table\>] -A|-I <chain\> <rule-specification\>

这里 -A 表示在规则链尾部追加一条新规则,-I 表示在规则链头部追加一条新规则。对于 rule-specification 的说明如下

rule-specification

rule-specification 由三部分组成(注:一般常用的是 -j,当然还有其它用法,这里不做说明,有兴趣可以自己 man):

parameters

注:这里只是列举常用的parameters,不包含所有,以下命令可能会导致远程终端连不上主机,慎用

  • -p 用于指定协议,如 tcp,udp,sctp,icmp 等,即当协议满足这些协议时,参数前可添加 ! 表示非关系,如:

    iptables -I INPUT ! -p tcp -j REJECT

    这个命令添加后,该机器会拒绝 TCP 协议外的其它协议访问

  • -s 指定源地址,如 192.168.0.2 或 192.168.0.2/24,后一种为添加掩码的方式,参数前可添加 ! 表示非关系,如:

    iptables -I INPUT -s 127.0.0.1 -j REJECT

  • -d 指定目的地址,同上,只是对目的地址的限定,如:

    iptables -I INPUT -d 127.0.0.1 -j REJECT

  • -i 指定网卡接口,如 lo,参数前可添加 ! 表示非关系

    iptables -I INPUT -i lo -j REJECT

  • –sport 指定源端口,必须和 -p tcp/udp 等配合使用,如 40000 为指定一个端口 40000,40000:50000 为指定一个端口范围 40000-50000 端口,参数前可添加 ! 表示非关系

    iptables -I INPUT -p tcp --sport 40000:50000 -j ACCEPT

  • –dport 指定目端口,如 40000 为指定一个端口 40000,40000:50000 为指定一个端口范围 40000-50000 端口,参数前可添加 ! 表示非关系

    iptables -I INPUT -p tcp --dport 80 -j ACCEPT

  • -m 指定模块名,如需要 –state 来匹配连接状态,连接状态在 state 模块下,因此要先使用 -m 来加载 state 模块才能使用 –state

  • –state 表示连接状态,多个连接状态可以用 , 隔开,如 ESTABLISH,RELATED。几种可选值

    • INVALID 表示一些未知的错误,如 ICMP 错误,运行过程中内存不足等
    • ESTABLISH 表示已经建立了连接
    • NEW 表示已经发送了连接请求
    • RELATED 表示正在发送连接请求

    一般配置中常见的为 ESTABLISH,RELATED

    iptables -I INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
target

ACCEPT

表示允许通过

iptables -I INPUT -p icmp -j ACCEPT

DROP

表示丢弃 IP 包

iptables -I INPUT -p icmp -j DROP

REJECT

表示拒绝 IP 包

–reject-with

使用 reject 可以指定拒绝时回送的 ICMP 包:

  • icmp-net-unreachable
  • icmp-host-unreachable
  • icmp-port-unreachable
  • icmp-proto-unreachable
  • icmp-net-prohibited
  • icmp-host-prohibited
  • icmp-admin-prohibited

不指定默认为 icmp-port-unreachable

iptables -I INPUT -p icmp -j REJECT
iptables -I INPUT -p icmp -j REJECT --reject-with icmp-host-prohibited

SNAT

SNAT 只能在 POSTROUTING 链的 nat 表中进行配置,用于修改源端地址和端口

–to 和 –to-source 相同,在 SNAT 中都是将 IP 包的源端地址改为指定的地址,可以指定为一个地址,一个地址段,地址段+端口,地址段+端口段的形式,如以下几种形式,–to 可以替换成 –to-source

iptables -t nat -I POSTROUTING -p tcp --dport 80 -j SNAT --to 127.0.0.2
iptables -t nat -I POSTROUTING -p tcp --dport 80 -j SNAT --to 127.0.0.2,127.0.0.1
iptables -t nat -I POSTROUTING -p tcp --dport 80 -j SNAT --to 127.0.0.1:50000
iptables -t nat -I POSTROUTING -p tcp --dport 80 -j SNAT --to 127.0.0.1:40000-50000
iptables -t nat -I POSTROUTING -p tcp --dport 80 -j SNAT --to 127.0.0.1-127.0.0.10:40000-50000

DNAT

DNAT 能在 POSTROUTING 和 OUTPUT 链的 nat 表中进行配置,用于修改目的端地址和端口

–to 和 –to-destination 相同,在 DNAT 中都是将 IP 包的目的端地址改为指定的地址,与 SNAT 相同可以指定为一个地址,一个地址段,地址段+端口,地址段+端口段的形式,格式与表示方法相同,这里只举一个例子:

iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080

REDIRECT

REDIRECT 能在 POSTROUTING 和 OUTPUT 链的 nat 表中进行配置,只能用于修改目的端口,不能修改目的 IP 地址

–to-ports 可以指定一个端口或一个端口段

iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080-8082

规则永久生效

使用上面的命令修改的规则,只是临时生效,如果系统重启,将会丢失,如果要永久生效,可以使用下面的方法:

service iptables save

或者

iptables-save > /etc/sysconfig/iptables

一些有用的规则

基础安全配置

一般 iptables 安装后默认配置如下

  • 允许 lo 接口的所有访问
  • 允许使用 ssh 服务
  • 允许外部 ping 本机
  • 允许已建立的连接和向外建立连接

  • 其它外部访问禁止

    iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -p icmp -j ACCEPT
iptables -I INPUT -m state --state ESTABLISH,RELATED -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited

禁止外部 ping

返回主机无法访问

iptables -I INPUT -p icmp -j REJECT --reject-with icmp-host-prohibited

不返回任何结果,这种情况就像网络不通一样

iptables -I INPUT -p icmp -j DROP

HTTP 服务配置

为安全起见,一般 HTTP 服务使用非 root 账户启动,非 root 账户不能绑定 1024 以内的端口,因此,一般 HTTP 服务启动于 8080 端口。为了让外部能直接使用 HTTP 端口,需要以下配置:

  • 打开 8080 端口的访问权限

  • 将到 80 端口的请求转发到 8080 端口上

    iptables -I INPUT -p tcp --dport 8080 -j ACCEPT
iptables -t nat -I PREROUTING -d 192.168.0.2 -p tcp --dport 80 -j DNAT --to 192.168.0.2:8080

由于只需要改端口,第二条命令也可以使用

iptables -t nat -I PREROUTING -d 192.168.0.2 -p tcp --dport 80 -j REDIRECT --to-ports 8080

HTTPS 服务配置

与 HTTP 同理,HTTPS 需要打开 8443 端口,并将 443 端口的请求转发到 8443 端口上

iptables -I INPUT -p tcp --dport 8443 -j ACCEPT
iptables -t nat -I PREROUTING -d 192.168.0.2 -p tcp --dport 443 -j DNAT --to 192.168.0.2:8443

连接限制

限制客户端并发连接数

iptables -I INPUT -p tcp --syn --dport 8080 -m connlimit --connlimit-above 2 -j REJECT

上述规则,限制同一个 IP 建立两个以上的 TCP 连接

流量控制

iptables -I INPUT -p icmp -m limit --limit 10/m --limit-burst 10 -j REJECT

上述规则,当超过 10 个 icmp 包后,没分钟只接受 10 个 icmp 包,其它全部拒绝

禁止访问域名

禁止访问 baidu

iptables -I OUTPUT -m string --algo kmp --string "baidu" -j REJECT

使用效果

[root@AlexWoo-CentOS ~]# curl http://www.baidu.com
curl: (6) Couldn't resolve host 'www.baidu.com'
残剑孤影
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙
ynyysn的博客
02-17 2010
iptables 概述 -netfilter/iptables: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。 主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。 -netfilter/iptables关系: netfilter:属于"内核态"又称内核空间(kernel space)的防火墙功能体系。 linux 好多东西都是内核态用户态,那我们运维人员关注的是用户态, 内核我们关注不是很多,内核基本是我们开发人员关心的事情 是内核的一部分,由一
linux命令总结实用
12-11
这些命令只是Linux命令行中的冰山一角,但它们涵盖了日常操作中最常用的一些功能。通过熟练掌握这些命令,能大大提高在Linux环境中的工作效率。同时,理解并运用这些命令,对于理解和管理Linux系统至关重要。
linux下IPTABLES配置详解
weixin_34014277的博客
09-26 187
一:前言   防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。   目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 ...
Linux进阶篇:iptables详细教程:概念&作用与使用方法
最新发布
qq_39241682的博客
04-09 2664
在Linux系统中,iptables是一种非常重要的防火墙工具,它可以帮助我们管理网络流量,保护系统安全。本教程将详细介绍iptables的概念、作用以及使用方法,帮助您更好地理解和掌握这一强大的工具。iptables是Linux系统中的一个用户空间工具,用于配置内核提供的IPv4和IPv6包过滤功能。它允许系统管理员根据预定义的规则对网络流量进行控制,从而实现对系统的保护。本教程详细介绍了iptables的概念、作用以及使用方法,希望能帮助您更好地理解和掌握这一强大的Linux防火墙工具。
iptables原理详解以及功能说明
weixin_30920853的博客
10-15 160
原文:http://www.svipc.com/thread-450-1-1.html 前言 iptables其实就是Linux下的一个开源的信息过滤程序,包括地址转换和信息重定向等功能的,他由四表五链组成的,信息过滤功能十分强大,而所谓的硬件防火墙也就是一个Linux核心加页面操作程序做出来的,可以用于添加、编辑和移除规则。正文 如果我们的主机上有一块网卡、当用户请求到达时、首先...
iptables的作用
xiaoxiaobian3310903的专栏
03-04 6937
iptables 是建立在 netfilter 架构基础上的一个包过滤管理工具,最主要的作用是用来做防火墙或透明代理。Iptables 从 ipchains 发展而来,它的功 能更为强大。Iptables 提供以下三种功能:包过滤、NAT(网络地址转换)和通用的 pre-route packet mangling。包过滤:用来过滤包,但是不修 改包的内容。Iptables 在包过滤方面相对于
iptables详解
qq_22193519的博客
11-12 217
iptables: 包过滤型的防火墙     Firewall(防火墙):隔离工具,工作于主机或网络边缘,对于进出本主机或本网络的报文根据事先定义的检查规则作匹配检测,对于能够被规则匹配到的报文作出相应处理的组件;下图是iptables内部数据包流向图,理解该图对iptables有重要作用,接下来我们来分析iptables链表及功能详细介绍。 iptables 5个内置的链:     ...
linux知识系统总结
09-23
- **目录结构**:学习Linux的根目录(/),理解各主要目录的功能,如/bin、/etc、/usr、/var等。 - **文件与权限**:掌握文件的读写执行权限,理解用户和用户组的概念,学会使用`chmod`、`chown`和`chgrp`命令。 ...
linux技术与应用知识点总结.pdf
09-13
Linux内核有开发分支和稳定分支,如主分支用于新功能开发,稳定分支则用于修复bug和维护。常见的Linux发行版有Red Hat、Debian等。 2. **设备命名规则**:Linux系统中,设备通常以特定的前缀如/dev/sd或/dev/hd表示...
Linux的Ftp服务器搭建的个人总结
11-26
在Linux中,常用的FTP服务器软件有vsftpd、ProFTPD和PureFTPd。本篇主要介绍vsftpd,因为它简单易用且安全性能较高。 2. **安装vsftpd** 在大多数Linux发行版中,可以通过包管理器安装vsftpd。例如,在Ubuntu或...
Linux_MyFTP.rar_ftp
09-21
对于限速功能,我们可以通过第三方工具如`iptables`或`trickle`来实现。`iptables`可以设定带宽限制,而`trickle`则可以为单个进程限制带宽。 为了确保安全性,我们可能还需要开启SSL/TLS加密,提供更安全的FTP连接...
Iptables 介绍与使用
cr7258的博客
05-09 585
连接跟踪(conntrack) 连接跟踪是许多网络应用的基础。例如,Kubernetes Service、ServiceMesh sidecar、 软件四层负载均衡器 LVS/IPVS、Docker network、OVS、iptables 主机防火墙等等,都依赖连接跟踪功能。 连接跟踪,顾名思义,就是跟踪(并记录)连接的状态。 例如,图 1.1 是一台 IP 地址为 10.1.1.2 的 Linux 机器,我们能看到这台机器上有三条 连接: 机器访问外部 HTTP 服务的连接(目的端口 80) 外部访
iptables转发功能介绍
qq_33227055的博客
12-12 676
Iptables 之NAT端口转发设置](这里***加粗样式***写自定义目录标题) 场景 服务器A:103.110.114.8/192.168.1.8,有外网ip,是IDC(互联网数据中心 (Internet Data Center,简称IDC))的一台服务器 服务器B:192.168.1.150,没有外网ip,A服务器是它的宿主机(就是主机,这个概念是相对于子机而言的,比如你安装有虚拟机的话,那么相对于虚拟机而言,你正在使用的计算机就是宿主机,虚拟机是安装在主机上的,必须在主机上才能
iptables介绍和基本使用
qq_52804302的博客
07-07 36
iptables 防火墙是什么 防火墙好比一堵真的墙,能够隔绝些什么,保护些什么。 防火墙的本义是指古代构筑和使用木制结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。 如果没有门,各房间的人如何沟通呢,这些房间的人又如何进去呢?当火灾发生时,这些人又如何逃离现场呢? 这个门就相当于我们这里所...
iptables的介绍
qq_50247813的博客
03-02 1153
iptables是linux防火墙工作在用户空间的管理工具,是 netfilter/iptablesIP信息包过滤系统的一部分,用来设置、维护和检查Linux内核的IP数据包过滤规则filter负责过滤数据包,包括的规则链有:input,output和forwardnat用于网络地址转换(IP、端口),包括的规则链有:prerouting,postrouting和outputmangle。
iptables应用大全
IT技术
11-25 860
iptables应用全集
iptables 的结构简介
taozpwater的专栏
04-04 991
1、简介     iptable 是一个用户空间应用程序,允许系统管理员配置由 Linux 内核防火墙提供的表;iptable 专指 IPv4 网络。     要设置一个 Linux 防火墙,就要使用规则,每个规则指定在包中与什么匹配,以及对包执行什么操作。链 是一个规则列表。     Iptable 的前身 ipchains 增加规则链的概念;iptable 则将概念扩展为表。所以 ipt
127.0.0.1 与 127.0.0.2 这两个 IP 地址的区别
小橙子的博客
03-23 106
开头的地址, 系统都认定是在 ping 环回, 所以不在乎后边是什么格式。小型机里面有多个实例, 它们的 IP 就可以是。段, 那么你还得把机内各实例 IP 改到别的段。这个 A 类网段所有地址都是环回地址, 你可以在电脑上 ping 任何。访问存储就行, 无论你的小型机拿到哪里部署都不需要任何配置。, 而你的小型机拿到一个网络里面部署, 那里的内网 IP 正好也是。互相可以发送报文, 可以 ssh。理论上没区别, 作用相同, 都是。是本机地址, 有的可能会设定。网段不出机, 比如你的应用是。
iptables常用指令
06-01
iptables 是 Linux 系统中用于设置和管理防火墙规则的工具。以下是一些常用iptables 命令: 1. 查看当前防火墙规则 ``` iptables -L ``` 这个命令会列出当前所有的防火墙规则。 2. 清空所有防火墙规则 ``` iptables -F ``` 这个命令会清空所有防火墙规则。 3. 允许指定 IP 地址或 IP 地址段的访问 ``` iptables -A INPUT -s 192.168.1.100 -j ACCEPT iptables -A INPUT -s 192.168.2.0/24 -j ACCEPT ``` 这个命令会允许来自 IP 地址为 192.168.1.100 或 IP 地址段为 192.168.2.0/24 的主机访问本机。 4. 允许指定端口的访问 ``` iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT ``` 这个命令会允许 TCP 端口号为 80 或 UDP 端口号为 53 的数据包访问本机。 5. 拒绝指定 IP 地址或 IP 地址段的访问 ``` iptables -A INPUT -s 192.168.1.100 -j DROP iptables -A INPUT -s 192.168.2.0/24 -j DROP ``` 这个命令会拒绝来自 IP 地址为 192.168.1.100 或 IP 地址段为 192.168.2.0/24 的主机访问本机。 6. 拒绝指定端口的访问 ``` iptables -A INPUT -p tcp --dport 22 -j DROP iptables -A INPUT -p udp --dport 123 -j DROP ``` 这个命令会拒绝 TCP 端口号为 22 或 UDP 端口号为 123 的数据包访问本机。 7. 允许所有本机发出的数据包 ``` iptables -A OUTPUT -j ACCEPT ``` 这个命令会允许本机发出的所有数据包。 8. 允许所有已建立的连接通过防火墙 ``` iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ``` 这个命令会允许所有已建立的连接通过防火墙。 9. 禁止所有数据包通过防火墙 ``` iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ``` 这个命令会禁止所有数据包通过防火墙,默认情况下所有数据包都会被拒绝。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值