Iptables常见实例及理解

最新推荐文章于 2024-04-20 17:11:36 发布
最新推荐文章于 2024-04-20 17:11:36 发布
阅读量337 收藏
点赞数
文章标签: 运维 网络

(1) 屏蔽某台电脑

场景:路由器或者防火墙屏蔽某个 IP

理解:任何以本机为目的地址的数据包都经过 filter 表的 INPUT (-t filter 省略了 )

iptables -A INPUT -s 200.200.200.1 -j DROP

(2) 屏蔽某台电脑的 telnet 请求

场景:路由器或者防火墙屏蔽某个 IP telnet 数据包,但允许其他数据包通过

理解: -p 指协议,一共有三种, TCP,UDP ICMP telnet 是基于 TCP ;

--destination-port telnet 服务的端口是 23 (客户端端口是任意的) , 在屏蔽某个服务,需要使用目标端口,目标端口可以使用字符,而不是数字。 

iptables -A INPUT -s 200.200.200.1 -p tcp --destination-port telnet -j DROP














3 )区分屏蔽某台电脑的 telnet 请求

场景:允许局域网的 telnet 请求,但不允许 internet 网的请求

理解: -I the input interface –o the output interface 

iptables -A INPUT -p tcp --destination-port telnet -i ppp0 -j DROP














4 )不接受任何外部数据,但允许自己发起连接

场景:打算关闭所有端口,不接受任何数据,但自己发起的连接要能正常工作

理解: --syn 主动发起连接的一方会首先发送 —syn 包,因此对外部来的 —syn 包全部 DROP ,而不是说关闭所有端口

iptables -A INPUT -i ppp0 -p tcp --syn -j DROP

5 )不接受任何外部连接(除了 80 端口的 http 连接),但允许自己发起连接

场景:打算关闭所有端口(除了 80 端口),不接受任何数据,但自己发起的连接要能正常工作

理解: --syn 主动发起连接的一方会首先发送 —syn 包,因此对外部来的 —syn 包全部 DROP ,而不是说关闭所有端口 

iptables -A INPUT -i ppp0 -p tcp --syn --destination-port ! 80 -j DROP














6 )改变数据包的目标地址

场景: HTTP 服务器在内网,外网来的 HTTP 请求,路由器需要将目标 IP 改为 HTT 服务器的内网地址

理解: –j DNAT 进行目标地址转换的动作

Iptables –t nat –A PREROUTING –d 59.12.33.124 –j DNAT –to-destination 192.168.0.191

(7) 改变数据包的源地址

场景:内网访问外网的 HTTP 服务器,路由器需要改变这些数据包的源地址

理解: -j SNAT 进行源地址转换的动作

Iptables –t nat –A POSTROUTING –s 192.168.12.0/24 –j SNAT –to-source 59.12.33.124

(8) 绑定 mac IP

场景:路由器限定只有哪些 mac pc 能够上网

理解:默认 -t FILTER

-P FORWARD DROP 改变 FORWARD 链的默认规则, FORWARD 链中的所有规则全部 DROP

-m mac –mac-source 匹配 mac

Iptables –P FORWARD DROP

Iptables –A FORWARD –s 192.168.1.122 –m mac –mac-source 11:22:33:44:a1:b3 –j ACCEPT

9 )限定网速

场景:路由器限定网速

理解: –m limit –limit 15/s 速度匹配

Iptables –A FORWARD –s 192.168.0.122 –m limit –limit 15/s –j ACCEPT

(10)使用初始化

场景:任何使用iptables

理解:FORWARD功能默认是关闭的,需要显示开启;

-F清空链,如果指定表,则清空指定表中的链;如果什么都没有指定,则清空所有默认表的链;

-X删除非内建链(用户自定义链)

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F

iptables -F INPUT

iptables -t filter -F

iptables -X

iptables -X Allowed

iptables -t filter -X

(11)禁用多个服务

场景:路由器禁用多个服务,只开启forward功能

理解:路由器上的这些服务不能用,是目标端口;只开启转发功能。

<!-- [if gte mso 9]><xml> <w:WordDocument> <w:View>Normal</w:View> <w:Zoom>0</w:Zoom> <w:PunctuationKerning/> <w:DrawingGridVerticalSpacing>7.8 磅</w:DrawingGridVerticalSpacing> <w:DisplayHorizontalDrawingGridEvery>0</w:DisplayHorizontalDrawingGridEvery> <w:DisplayVerticalDrawingGridEvery>2</w:DisplayVerticalDrawingGridEvery> <w:ValidateAgainstSchemas/> <w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid> <w:IgnoreMixedContent>false</w:IgnoreMixedContent> <w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText> <w:Compatibility> <w:SpaceForUL/> <w:BalanceSingleByteDoubleByteWidth/> <w:DoNotLeaveBackslashAlone/> <w:ULTrailSpace/> <w:DoNotExpandShiftReturn/> <w:AdjustLineHeightInTable/> <w:BreakWrappedTables/> <w:SnapToGridInCell/> <w:WrapTextWithPunct/> <w:UseAsianBreakRules/> <w:DontGrowAutofit/> <w:UseFELayout/> </w:Compatibility> <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel> </w:WordDocument> </xml><![endif]--><!-- [if gte mso 9]><xml> <w:LatentStyles DefLockedState="false" LatentStyleCount="156"> </w:LatentStyles> </xml><![endif]--><!-- [if gte mso 10]> <mce:style><!-- /* Style Definitions */ table.MsoNormalTable {mso-style-name:普通表格; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-fareast-font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} table.MsoTableGrid {mso-style-name:网格型; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; border:solid windowtext 1.0pt; mso-border-alt:solid windowtext .5pt; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-border-insideh:.5pt solid windowtext; mso-border-insidev:.5pt solid windowtext; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} --> <!-- [endif]-->

iptables -A INPUT -p tcp --dport 80 -j DROP //HTTP
iptables -A INPUT -p tcp --dport 21 -j DROP //FTP
iptables -A INPUT -p tcp --dport 22 -j DROP //SSH
iptables -A INPUT -p udp --dport 161 -j DROP //SNMP
iptables -A INPUT -p udp --dport 69 -j DROP //TFTP
iptables -A INPUT -p tcp --dport 23 -j DROP //TELNET
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

(12) 创建新链

场景:用户自定义链

理解:目标-j可以为自定义链,且可以jump到多个自定义链中

<!-- [if gte mso 9]><xml> <w:WordDocument> <w:View>Normal</w:View> <w:Zoom>0</w:Zoom> <w:PunctuationKerning/> <w:DrawingGridVerticalSpacing>7.8 磅</w:DrawingGridVerticalSpacing> <w:DisplayHorizontalDrawingGridEvery>0</w:DisplayHorizontalDrawingGridEvery> <w:DisplayVerticalDrawingGridEvery>2</w:DisplayVerticalDrawingGridEvery> <w:ValidateAgainstSchemas/> <w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid> <w:IgnoreMixedContent>false</w:IgnoreMixedContent> <w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText> <w:Compatibility> <w:SpaceForUL/> <w:BalanceSingleByteDoubleByteWidth/> <w:DoNotLeaveBackslashAlone/> <w:ULTrailSpace/> <w:DoNotExpandShiftReturn/> <w:AdjustLineHeightInTable/> <w:BreakWrappedTables/> <w:SnapToGridInCell/> <w:WrapTextWithPunct/> <w:UseAsianBreakRules/> <w:DontGrowAutofit/> <w:UseFELayout/> </w:Compatibility> <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel> </w:WordDocument> </xml><![endif]--><!-- [if gte mso 9]><xml> <w:LatentStyles DefLockedState="false" LatentStyleCount="156"> </w:LatentStyles> </xml><![endif]--><!-- [if gte mso 10]> <mce:style><!-- /* Style Definitions */ table.MsoNormalTable {mso-style-name:普通表格; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-fareast-font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} table.MsoTableGrid {mso-style-name:网格型; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; border:solid windowtext 1.0pt; mso-border-alt:solid windowtext .5pt; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-border-insideh:.5pt solid windowtext; mso-border-insidev:.5pt solid windowtext; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} --> <!-- [endif]-->

iptables -t filter -N firewall_input_in

iptables -t filter -A INPUT -j firewall_input_in

(13)DSCP: Different Service Code Point

场景:路由器设置不同数据包的优先级

理解:SSH, TELNET需要及时响应,而SMTP则可以不用那么及时

DSCP target

Differentiated services

<!-- [if gte mso 9]><xml> <w:WordDocument> <w:View>Normal</w:View> <w:Zoom>0</w:Zoom> <w:PunctuationKerning/> <w:DrawingGridVerticalSpacing>7.8 磅</w:DrawingGridVerticalSpacing> <w:DisplayHorizontalDrawingGridEvery>0</w:DisplayHorizontalDrawingGridEvery> <w:DisplayVerticalDrawingGridEvery>2</w:DisplayVerticalDrawingGridEvery> <w:ValidateAgainstSchemas/> <w:SaveIfXMLInvalid>false</w:SaveIfXMLInvalid> <w:IgnoreMixedContent>false</w:IgnoreMixedContent> <w:AlwaysShowPlaceholderText>false</w:AlwaysShowPlaceholderText> <w:Compatibility> <w:SpaceForUL/> <w:BalanceSingleByteDoubleByteWidth/> <w:DoNotLeaveBackslashAlone/> <w:ULTrailSpace/> <w:DoNotExpandShiftReturn/> <w:AdjustLineHeightInTable/> <w:BreakWrappedTables/> <w:SnapToGridInCell/> <w:WrapTextWithPunct/> <w:UseAsianBreakRules/> <w:DontGrowAutofit/> <w:UseFELayout/> </w:Compatibility> <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel> </w:WordDocument> </xml><![endif]--><!-- [if gte mso 9]><xml> <w:LatentStyles DefLockedState="false" LatentStyleCount="156"> </w:LatentStyles> </xml><![endif]--><!-- [if gte mso 10]> <style> /* Style Definitions */ table.MsoNormalTable {mso-style-name:普通表格; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-parent:""; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; mso-pagination:widow-orphan; font-size:10.0pt; font-family:"Times New Roman"; mso-fareast-font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} table.MsoTableGrid {mso-style-name:网格型; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; border:solid windowtext 1.0pt; mso-border-alt:solid windowtext .5pt; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-border-insideh:.5pt solid windowtext; mso-border-insidev:.5pt solid windowtext; mso-para-margin:0cm; mso-para-margin-bottom:.0001pt; text-align:justify; text-justify:inter-ideograph; mso-pagination:none; font-size:10.0pt; font-family:"Times New Roman"; mso-ansi-language:#0400; mso-fareast-language:#0400; mso-bidi-language:#0400;} </style> <![endif]-->

iptables -t mangle -A FORWARD -p tcp --dport 80 -j DSCP --set-dscp 1
iptables -t mangle -A FORWARD -p tcp --dport 80 -j DSCP --set-dscp-class EF

数据包状态

数据包中的 mark

完整的 firewall 脚本例子

braveyly
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
linux iptables 简介
zhongms专栏
08-17 1019
https://blog.csdn.net/u011537073/article/details/82685586 https://www.cnblogs.com/liang2580/articles/8400140.html https://blog.csdn.net/reyleon/article/details/12976341 http://www.zsythink.net/archives/tag/iptables/page/2/ 本文参考以上文章,在此表示感谢。 一、简述 netfi
网络教程】Iptables官方教程-学习笔记6-IPTABLES TARGETS
jackhh1的博客
12-02 1170
本章节介绍Iptables 的目标和跳转(targets and jumps),目标和跳转负责告诉规则如何处理与规则匹配部分完全匹配的包。
SpringBoot项目使用Thymeleaf 模板导出Word文档(支持富文本,图片)
x19532992919的博客
06-02 1929
SpringBoot项目使用Thymeleaf 模板导出Word文档(支持文本、富文本,图片的导出)
网络教程】Iptables官方教程-学习笔记5--IPTABLES MATCH
jackhh1的博客
11-20 1790
这篇博客介绍iptables和netfilter中所有可用的匹配,章节比较厂,没必要去学习每个匹配的具体细节,大致了解下即可,后续要用到再深入掌握它。
lodop多页-打印-分组
wind_linjie的博客
03-23 830
//打印预览 printPreview:function() { // console.log(this.grid.data); var LODOP; LODOP = getCLodop(); this.CreateOneFormPage(); LODOP.PREVIEW(); }, //分组(区分,每页,展示不同的类型下的所有数据) groupBy:function(list, fn){ .
iptables命令实例
08-04
iptables命令实例
iptables实例
05-06
iptables工具配置实例,对于入门学习非常有帮助。
iptables配置实例
06-30
iptables配置实例iptables配置实例
iptables的处理动作的一些 -j
BUG_MeDe的博客
07-07 853
关于iptables的一些动作处理
Iptables 实例配置
08-06
Iptables 实例配置
Microk8s项目介绍
明训的专栏
06-11 688
Microk8s是Canonical发布的一款小型、轻量级、完全符合标准的Kubernetes发行版。这款简约的发行版专注于简洁和性能。由于占用资源少,Microk8s可以轻松部署在物联网和边缘设备端。MicroK8s是目前最小、最快与Kubernetes全面兼容的集群系统,主要用于工作站和小型团队,但是目前镜像并没有与snap打包在一起,还在gcr.io上,国内下载上还是有问题。MicroK8s适合离线开发、原型开发和测试,尤其是运行VM作为小、便宜、可靠的k8s用于CI/CD。......
ip packet forward-待续
liangzi0075的博客
09-07 358
http://blog.chinaunix.net/uid-22577711-id-3216949.html (1)ip_rcv ip_rcv 完成基本的校验和处理工作后,经过prerouting的钩子点 return NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING, skb, dev, NULL, ip_rcv_finish); 在最后调用了NF_HOOK,将数据发送给netfilter的NF_INET_PRE_ROUTING节点,比如: return NF_HOO
iptables 的一些-m模块
BUG_MeDe的博客
07-07 2367
iptables一些简单的模块
ansible常用模块之 -- iptables模块 – 修改iptables规则
weixin_44762073的博客
10-27 967
ansible常用模块之 -- iptables模块 – 修改iptables规则
iptables深入解析-mangle篇
weixin_34107739的博客
08-08 2238
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
路由器DSCP target
杀出条血路来
03-24 7171
<br />This is a target that changes the DSCP (Differentiated Services Field) marks inside a packet. The DSCP target is able to set any DSCP value inside a TCP packet, which is a way of telling routers the priority of the packet in question. For more inform
iptables学习笔记
weixin_33807284的博客
04-18 276
iptables是编写netfilter规则的工具。一般情况下,升级kernel可顺便升级netfilter模块。连接追踪模块是xt_state.ko.TCP/IP的状态有12种,而iptables关于连接的状态只有4种:Established,New,Related,Ivalid.Established的状态定义为,只要封包能成功穿越防火墙,之后所有相关的封包就都是Esta...
Git & TortoiseGit 详细安装使用教程
最新发布
m0_37383484的博客
04-20 983
Git 工具详细安装教程,TortoiseGit 工具详细安装使用教程。
更新iptables
12-16
以下是更新iptables的步骤: 1. 首先,确保iptables服务已经安装并启动。如果没有安装,可以使用以下命令安装: ```shell yum install iptables-services ``` 2. 然后,使用以下命令备份当前的iptables规则: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值