linux访问控制(三)iptables命令书写规则

最新推荐文章于 2024-06-11 01:21:35 发布
最新推荐文章于 2024-06-11 01:21:35 发布
阅读量814 收藏
点赞数
分类专栏: linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinaltx/article/details/87912092
版权

一、语法基础

1.1 语法格式

  • iptables [-t table] {-A|-C|-D} chain rule-specification

  • ip6tables [-t table] {-A|-C|-D} chain rule-specification

  • iptables [-t table] -I chain [rulenum] rule-specification

  • iptables [-t table] -R chain rulenum rule-specification

  • iptables [-t table] -D chain rulenum

  • iptables [-t table] -S [chain [rulenum]]

  • iptables [-t table] {-F|-L|-Z} [chain [rulenum]]
    [options…]

  • iptables [-t table] -N chain

  • iptables [-t table] -X [chain]

  • iptables [-t table] -P chain target

  • iptables [-t table] -E old-chain-name new-chain-name

  • rule-specification = [matches…] [target]

  • match = -m matchname [per-match-options]

  • target = -j targetname [per-target-options]

1.2 选项说明
  1. -t
  • 指定规则要添加的表,若省略不写默认为filter表
  1. -m matchname [per-match-options]
  • 该项为指定匹配条件。
  • 匹配条件有两类:基本匹配和扩展匹配
  • 基本匹配:
  • -s address[/mask][,...] #匹配源地址
  • -d address[/mask][,...]#匹配目标地址
  • -p tcp|udp|icmp|all#匹配协议,这些协议是能在/etc/protocols中找到的协议类型。
  • -i interface_name#匹配报文流入的网卡接口
  • -o interface_name#匹配报文流出的网卡接口
  • 扩展匹配:
隐式扩展:

对某一种协议的扩展,不使用-m选项指明模块

  1. tcp
  • --sport PORT[:PORT]#匹配tcp源端口
  • --dport PORT[:PORT]#匹配tcp目标端口
  • --tcp-flags MASK COMP#匹配tcp中的标志位SYN、ACK、FIN、RST、ALL、NONE
  • --syn#匹配tcp三次握手的第一次握手,等同于--tcp-flags SYN ACK FIN RST SYN
  1. udp
  • --sport PORT[:PORT]#匹配UDP源端口
  • --dport PORT[:PORT]#匹配UDP目标端口
  1. icmp
  • icmp-type {type[/code]|typename}

0/0 echo-reply #icmp应答

8/0 echo-request #icmp请求

显示扩展:更丰富的功能性扩展,需要使用-m选项指明扩展虚模块
  1. multiport
  • --sprots PORT[:PORT],PORT,... #匹配多个源端口
  • --dports PORT[:PORT],PORT,... #匹配多个目标端口
  1. iprange
  • --src-range from[-to] 匹配连续的一组源ip
  • --dst-range from[-to] 匹配连续的一组目标ip
  1. mac
  • --mac-source XX:XX:XX:XX:XX:XX#匹配源MAC地址
  1. string
  • --slgo {bm|kmp}#指定算法
  • --string pattern#给定匹配字符串的模式
  • --hex-string pattern#给定十六进制的匹配字符串的模式

  1. time
    --datestart YYY[-MM[-DD[Thh[:mm[:ss]]]]]#开始日期
    --datestop YYY[-MM[-DD[Thh[:mm[:ss]]]]]#结束日期
    --timestart hh:mm:[:ss]#开始时间
    --timestop hh:mm:[:ss]#结束时间
    --monthdays day[,day,...]#每月中的第几天
    --weekdays day[,day,...]#每周中的第几天

  2. connlimit

  • --connlimit-upto n:小于等于n匹配
  • --connlimit-aboce n:大于n匹配
  1. limit
  • --limit rate[/secnod|/miute|/hour|/day]#频率
    --limit-burst number#从第几个开始

7.limit
--limit rate[/second|/minute|/hour|/day]#频率
--limit-burst number#从第几个开始

8.state
--state state-options,这里的五个状态是指数据包的状态,而非客户端或者服务器当时所处的状态

  • NEW #新建立连接,例如tcp三次捂手的第一次SYN数据包的状态就是NEW,由自己主动发送给对方的往往都是new,所以禁止NEW状态也就意味着不允许主动和对方建立连接,也不允许外界和本机建立连接。(常见于tcp/udp/icmp协议中,下同)
  • ESTABLISHED #已建立的连接,只要数据包穿过了防火墙,接下来双方传输的数据包状态都是ESTABLISHED
  • RELATED #与已建立的连接相关联的连接,完全是被动或临时建立的连接之间传输的数据包。例如在抓包的时候,由路由器返回的icmp包就是RELATED状态的数据包。只要数据包是因为本机先送出一个数据包而导致另一条连接的产生,那么这个新连接的所有数据包都手语RELATED状态的数据包。
  • INVALID #无效的连接,恶意的数据包,对于这类包的规则都应该放在链中的第一条。以防止恶意的循环攻击。
  • UNTRACKED #未跟踪的连接
  1. -j选项,该选项为匹配后处理的动作。
  • {-j targetname [per-target-options]}
  • ACCEPT #允许通过
  • DROP #丢弃匹配到的包
  • REJECT #拒绝通过
  • RETURN #返回调用的链
  • REDIRECT #端口转发
  • LOG #记录日志
  • MARK #做防火墙标记
  • DNAT #目标地址转换
  • SNAT #源地址转换
  • 例:iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
1.3 iptables中其他可用的选项。
  1. –append
  • -A chain
  • 从链尾部追加一条规则
  1. –delete
  • -D chian
  • 从链中删除能匹配到的规则
  1. –delete
  • -D chain rulenum
  • 从链中删除某条规则,从1开始计算
  1. –insert
  • -I chain [rulenum]
  • 向链中插入一条规则使其成为第rulenum条规则,从1开始计算
  1. –replace
  • -R chain rulenum
  • 替换链中的第rulenum条规则
  1. –list
  • -L [chain [rulenum]]
  • 列出某条链或所有链中的规则
  1. –list-rules
  • -S [chain [rulenum]]
  • 打印出链中或所有链中的规则
  1. –flush
  • -F [chain]
  • 删除指定链或所有链中的所有规则
  1. –zero
  • -Z [chain [rulenum]]
  • 置零指定链或所有链的规则计数器
  1. –new
  • -N chain
  • 创建一条用户自定义的链
  1. delete-chain
  • -X [chian]
  • 删除用户自定义的链
  1. –policy
  • -P chain target
  • 设置指定链的默认策略(policy)为指定的target
  1. –rename-chain
  • -E old new
  • 重命名链名称,从old到new
  1. –proto
  • -p proto
  • 指定要检查哪个协议的数据包:可以是/etc/protocols中的协议代码也或协议名称,若tcp,udp,icmp等。若缺省则默认拒绝所有协议的数据包(相当于all和代码0)。
  1. –soure
  • -s address[/mask][…]
  • 指定检查数据包的源地址,等价于–src
  1. –destination
  • -d address[/mask][…]
  • 指定检查数据包的目标地址,等价于–dst
  1. –in-interface
  • -i input name[+]
  • 指定数据包流入接口,若接口名后加"+",表示匹配该接口开头的所有接口
  1. –out-interface
  • -o output name[+]
  • 指定数据包流出接口,若接口名后加"+",表示匹配该接口开头的所有接口
  1. -jump
  • -j target
  • 为规则指定要做的target动作,例如数据包匹配上规则时将要如何处理。
  1. –goto
  • -g chain
  • 直接跳转到自定义链上
  1. –match
  • -m match
  • 指定扩展模块
  1. –numeric
  • n
  • 输出数值格式的ip地址和端口号。会尝试反解为主机名和端口号对应的服务名
  1. –table
  • -t table
  • 指定要操作的table,默认table为filter
  1. –verbose
  • -v
  • 输出更详细的信息
  1. –line-numbers
  • 当list规则时,同时输出行号。
  1. –exact
  • -x
  • 使用此选项使用1024来统计流量。
tyson Lee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Linux iptables 命令
09-15
Linux iptables命令Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
详解Linux iptables常用防火墙规则
09-14
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。这篇文章主要介绍了Linux iptables常用防火墙规则,需要的朋友可以参考下
iptables规则书写总结
weixin_42825965的博客
09-15 1590
基本语法 iptables -t (表名) 选项 (链名) 条件 -j 目标操作 4个表 nat地址转换 filter数据过滤 raw 状态跟踪 mangle包标记POSTROUTING路由后 选项 -A 链尾的加规则 -I 链的开头或序号插入一条规则 -L 列出所有的规则条目 -n 以数字形式显示地址 端口等信息 ...
iptables命令详解和举例(完整版)
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables -m, -p 参数说明
最新发布
ideal-lingyun
06-11 311
iptables -m, -p 参数说明
iptables详解
c_hristmas的博客
07-25 2033
iptables详解 一、 iptables介绍 采用数据包过滤机制工作的,所以会对请求的数据包的包头数据进行分析,并根据预先规定的规则进行匹配来决定是否可以进入主机。iptables主要工作在OSI的二、、四层。 ​ iptables工作流程小结: ​ 1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。 ​ 2、如果匹配上规则,即明确表明是阻止还是通过,此时数据包就不在向下匹配新规则了。 ​ 3、如果所有规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则
一文带你学懂iptables命令(含扩展命令
临江仙我亦是行人
05-11 2417
1 iptables 用法说明 格式 iptables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification iptables [-t table] -D chain rulenum iptables [-t table] -S [chain
iptables概念及写法详解
weixin_33701251的博客
01-04 297
iptables基础概念及写法详解防火墙控制理论概念的剖析 防火墙在计算机语言中的理解:工作于主机或者网络边缘,对于进出的报文根据定义的规则做出检查,进而对被规则匹配到的报文作出相应处理的套件。...
Linux-iptables命令解析.doc
02-05
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)...
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
Iptables入门
Room
12-29 266
Iptables入门 简介 Iptables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具 相关名次和术语 容器 用来形容包含或者说属于的关系 Netfilter/iptables是表的容器,iptables包含的各个表 表(table) iptables的表又是链的容器 链(chains) INPUT,OUTPUT,FORWARD,PR
iptables(8) command
Dablelv 的博客专栏。
12-17 5164
iptables/ip6tables 是 IPv4/IPv6 包过滤和 NAT 的管理工具。iptables/ip6tables 命令Linux 上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。iptables/ip6tables 均是 xtables-multi 的软链。
浅谈iptables
纯白小生的博客
08-05 273
一:简介防火墙(firewall),一种隔离工具。工作于主机或者网络边缘,对于进出本机或网络的报文根据事先定义好的规则作匹配检测,对于能够被规则所匹配到的报文作出相应处理的组件。很多人都以为防火墙是服务,开机能够自动运行。这里要说明,防火墙从来都不是服务,没有启动的进程,而是工作于内核空间中的规则。netfilter/iptables(简称iptables),实现防火墙的组件。工作于内核的组件是ne
Iptables介绍和实用使用方法
cbuy888的博客
05-20 8202
一、简介1)---> IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统,在redhat7.1 centos7.1以上都内置装有。2)---> iptables 的最大优点是它可以配置有状态的防火墙,有四种有效状态,名称分别为 ESTABLISHED 、 INVALID 、 NEW 和 RELATED。 -状态 ESTABLISHED 指出该信息包...
iptables常用命令及应用
weixin_30607659的博客
07-22 103
http://blog.csdn.net/bill_lee_sh_cn/article/details/4401896iptables中DNAT的配置方法 一、命令格式 iptables [-t TABLE] COMMAND CHAIN [creteria] -j(jump) ACTION{ACCEPT,DROP,REJECT,SNAT,DNA...
CentOS防火墙iptables的配置方法详解
热门推荐
wailaizhu的博客
12-06 6万+
iptables是与Linux内核集成的IP信息包过滤系统,其自带防火墙功能,我们在配置完服务器的角色功能后,需要修改iptables的配置。 配置CentOS和Ubuntu等Linux服务器时需要对服务器的iptables进行配置,以下是iptables常见的几种配置方法。
Linux服务器防火墙Iptables命令使用详解
han156的博客
11-05 3万+
iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加一条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用PREROUTING,也可以满足要求,但是如果用户的要求是让服务器提供转发功能,添加到PREROUTING链中,"转发"功能也将
小白入门防火墙iptables
c_hristmas的博客
07-21 336
iptables防火墙 4表5链 查看4表5链: man iptables 4表:(1)filter(筛选作用,最常用) (2) nat (3)mangle(硬件常使用) (4)raw 5链:包含在4表里面,(1)INPUT (2)OUTPUT (3)PREROUTEING (4)POSTROUTING (5)FORWARD 增删查改 查看表: iptables -t 表名 -L (直接输入iptables -L 打开的是filter这张表) (1)一般查看一个表后面接触 -
iptables 详解
Choco Lee 的专栏
06-14 1万+
目录 防火墙简介 iptables 与 firewalld iptables 基础 3.1 链的概念 3.2 表的概念 3.3 链与表的关系 3.4 数据通过的流程 iptables 语法 iptables nat表的应用 1. 防火墙简介 防火墙是一种应用于网络上的过滤机制,从保护对象上可分为:主机防火墙、...
iptables命令详解:配置与端口控制
iptablesLinux系统中一个强大的网络包过滤工具,用于控制进出系统的网络流量。它主要在个表格(filter、nat和mangle)中执行策略,这些表格处理不同的网络数据包操作,如包过滤、地址转换和修改数据包。本文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值