linux访问控制(三)iptables命令书写规则

最新推荐文章于 2024-06-11 01:21:35 发布
最新推荐文章于 2024-06-11 01:21:35 发布
阅读量813 收藏
点赞数
分类专栏: linux基础
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinaltx/article/details/87912092
版权

一、语法基础

1.1 语法格式

  • iptables [-t table] {-A|-C|-D} chain rule-specification

  • ip6tables [-t table] {-A|-C|-D} chain rule-specification

  • iptables [-t table] -I chain [rulenum] rule-specification

  • iptables [-t table] -R chain rulenum rule-specification

  • iptables [-t table] -D chain rulenum

  • iptables [-t table] -S [chain [rulenum]]

  • iptables [-t table] {-F|-L|-Z} [chain [rulenum]]
    [options…]

  • iptables [-t table] -N chain

  • iptables [-t table] -X [chain]

  • iptables [-t table] -P chain target

  • iptables [-t table] -E old-chain-name new-chain-name

  • rule-specification = [matches…] [target]

  • match = -m matchname [per-match-options]

  • target = -j targetname [per-target-options]

1.2 选项说明
  1. -t
  • 指定规则要添加的表,若省略不写默认为filter表
  1. -m matchname [per-match-options]
  • 该项为指定匹配条件。
  • 匹配条件有两类:基本匹配和扩展匹配
  • 基本匹配:
  • -s address[/mask][,...] #匹配源地址
  • -d address[/mask][,...]#匹配目标地址
  • -p tcp|udp|icmp|all#匹配协议,这些协议是能在/etc/protocols中找到的协议类型。
  • -i interface_name#匹配报文流入的网卡接口
  • -o interface_name#匹配报文流出的网卡接口
  • 扩展匹配:
隐式扩展:

对某一种协议的扩展,不使用-m选项指明模块

  1. tcp
  • --sport PORT[:PORT]#匹配tcp源端口
  • --dport PORT[:PORT]#匹配tcp目标端口
  • --tcp-flags MASK COMP#匹配tcp中的标志位SYN、ACK、FIN、RST、ALL、NONE
  • --syn#匹配tcp三次握手的第一次握手,等同于--tcp-flags SYN ACK FIN RST SYN
  1. udp
  • --sport PORT[:PORT]#匹配UDP源端口
  • --dport PORT[:PORT]#匹配UDP目标端口
  1. icmp
  • icmp-type {type[/code]|typename}

0/0 echo-reply #icmp应答

8/0 echo-request #icmp请求

显示扩展:更丰富的功能性扩展,需要使用-m选项指明扩展虚模块
  1. multiport
  • --sprots PORT[:PORT],PORT,... #匹配多个源端口
  • --dports PORT[:PORT],PORT,... #匹配多个目标端口
  1. iprange
  • --src-range from[-to] 匹配连续的一组源ip
  • --dst-range from[-to] 匹配连续的一组目标ip
  1. mac
  • --mac-source XX:XX:XX:XX:XX:XX#匹配源MAC地址
  1. string
  • --slgo {bm|kmp}#指定算法
  • --string pattern#给定匹配字符串的模式
  • --hex-string pattern#给定十六进制的匹配字符串的模式

  1. time
    --datestart YYY[-MM[-DD[Thh[:mm[:ss]]]]]#开始日期
    --datestop YYY[-MM[-DD[Thh[:mm[:ss]]]]]#结束日期
    --timestart hh:mm:[:ss]#开始时间
    --timestop hh:mm:[:ss]#结束时间
    --monthdays day[,day,...]#每月中的第几天
    --weekdays day[,day,...]#每周中的第几天

  2. connlimit

  • --connlimit-upto n:小于等于n匹配
  • --connlimit-aboce n:大于n匹配
  1. limit
  • --limit rate[/secnod|/miute|/hour|/day]#频率
    --limit-burst number#从第几个开始

7.limit
--limit rate[/second|/minute|/hour|/day]#频率
--limit-burst number#从第几个开始

8.state
--state state-options,这里的五个状态是指数据包的状态,而非客户端或者服务器当时所处的状态

  • NEW #新建立连接,例如tcp三次捂手的第一次SYN数据包的状态就是NEW,由自己主动发送给对方的往往都是new,所以禁止NEW状态也就意味着不允许主动和对方建立连接,也不允许外界和本机建立连接。(常见于tcp/udp/icmp协议中,下同)
  • ESTABLISHED #已建立的连接,只要数据包穿过了防火墙,接下来双方传输的数据包状态都是ESTABLISHED
  • RELATED #与已建立的连接相关联的连接,完全是被动或临时建立的连接之间传输的数据包。例如在抓包的时候,由路由器返回的icmp包就是RELATED状态的数据包。只要数据包是因为本机先送出一个数据包而导致另一条连接的产生,那么这个新连接的所有数据包都手语RELATED状态的数据包。
  • INVALID #无效的连接,恶意的数据包,对于这类包的规则都应该放在链中的第一条。以防止恶意的循环攻击。
  • UNTRACKED #未跟踪的连接
  1. -j选项,该选项为匹配后处理的动作。
  • {-j targetname [per-target-options]}
  • ACCEPT #允许通过
  • DROP #丢弃匹配到的包
  • REJECT #拒绝通过
  • RETURN #返回调用的链
  • REDIRECT #端口转发
  • LOG #记录日志
  • MARK #做防火墙标记
  • DNAT #目标地址转换
  • SNAT #源地址转换
  • 例:iptables -A INPUT -i lo -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
1.3 iptables中其他可用的选项。
  1. –append
  • -A chain
  • 从链尾部追加一条规则
  1. –delete
  • -D chian
  • 从链中删除能匹配到的规则
  1. –delete
  • -D chain rulenum
  • 从链中删除某条规则,从1开始计算
  1. –insert
  • -I chain [rulenum]
  • 向链中插入一条规则使其成为第rulenum条规则,从1开始计算
  1. –replace
  • -R chain rulenum
  • 替换链中的第rulenum条规则
  1. –list
  • -L [chain [rulenum]]
  • 列出某条链或所有链中的规则
  1. –list-rules
  • -S [chain [rulenum]]
  • 打印出链中或所有链中的规则
  1. –flush
  • -F [chain]
  • 删除指定链或所有链中的所有规则
  1. –zero
  • -Z [chain [rulenum]]
  • 置零指定链或所有链的规则计数器
  1. –new
  • -N chain
  • 创建一条用户自定义的链
  1. delete-chain
  • -X [chian]
  • 删除用户自定义的链
  1. –policy
  • -P chain target
  • 设置指定链的默认策略(policy)为指定的target
  1. –rename-chain
  • -E old new
  • 重命名链名称,从old到new
  1. –proto
  • -p proto
  • 指定要检查哪个协议的数据包:可以是/etc/protocols中的协议代码也或协议名称,若tcp,udp,icmp等。若缺省则默认拒绝所有协议的数据包(相当于all和代码0)。
  1. –soure
  • -s address[/mask][…]
  • 指定检查数据包的源地址,等价于–src
  1. –destination
  • -d address[/mask][…]
  • 指定检查数据包的目标地址,等价于–dst
  1. –in-interface
  • -i input name[+]
  • 指定数据包流入接口,若接口名后加"+",表示匹配该接口开头的所有接口
  1. –out-interface
  • -o output name[+]
  • 指定数据包流出接口,若接口名后加"+",表示匹配该接口开头的所有接口
  1. -jump
  • -j target
  • 为规则指定要做的target动作,例如数据包匹配上规则时将要如何处理。
  1. –goto
  • -g chain
  • 直接跳转到自定义链上
  1. –match
  • -m match
  • 指定扩展模块
  1. –numeric
  • n
  • 输出数值格式的ip地址和端口号。会尝试反解为主机名和端口号对应的服务名
  1. –table
  • -t table
  • 指定要操作的table,默认table为filter
  1. –verbose
  • -v
  • 输出更详细的信息
  1. –line-numbers
  • 当list规则时,同时输出行号。
  1. –exact
  • -x
  • 使用此选项使用1024来统计流量。
tyson Lee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Linux iptables 命令
09-15
Linux iptables命令Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
iptables规则书写总结
weixin_42825965的博客
09-15 1587
基本语法 iptables -t (表名) 选项 (链名) 条件 -j 目标操作 4个表 nat地址转换 filter数据过滤 raw 状态跟踪 mangle包标记POSTROUTING路由后 选项 -A 链尾的加规则 -I 链的开头或序号插入一条规则 -L 列出所有的规则条目 -n 以数字形式显示地址 端口等信息 ...
iptables命令详解和举例(完整版)
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables -m, -p 参数说明
最新发布
ideal-lingyun
06-11 300
iptables -m, -p 参数说明
iptables详解
c_hristmas的博客
07-25 2027
iptables详解 一、 iptables介绍 采用数据包过滤机制工作的,所以会对请求的数据包的包头数据进行分析,并根据预先规定的规则进行匹配来决定是否可以进入主机。iptables主要工作在OSI的二、、四层。 ​ iptables工作流程小结: ​ 1、防火墙是一层层过滤的。实际是按照配置规则的顺序从上到下,从前到后进行过滤的。 ​ 2、如果匹配上规则,即明确表明是阻止还是通过,此时数据包就不在向下匹配新规则了。 ​ 3、如果所有规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则
一文带你学懂iptables命令(含扩展命令
临江仙我亦是行人
05-11 2408
1 iptables 用法说明 格式 iptables [-t table] {-A|-C|-D} chain rule-specification iptables [-t table] -I chain [rulenum] rule-specification iptables [-t table] -R chain rulenum rule-specification iptables [-t table] -D chain rulenum iptables [-t table] -S [chain
iptables概念及写法详解
weixin_33701251的博客
01-04 296
iptables基础概念及写法详解防火墙控制理论概念的剖析 防火墙在计算机语言中的理解:工作于主机或者网络边缘,对于进出的报文根据定义的规则做出检查,进而对被规则匹配到的报文作出相应处理的套件。...
详解Linux iptables常用防火墙规则
09-14
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。这篇文章主要介绍了Linux iptables常用防火墙规则,需要的朋友可以参考下
Linux-iptables命令解析.doc
02-05
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)...
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
Iptables入门
Room
12-29 265
Iptables入门 简介 Iptables是unix/linux自带的一款优秀且开放源代码的完全自由的基于包过滤的防火墙工具 相关名次和术语 容器 用来形容包含或者说属于的关系 Netfilter/iptables是表的容器,iptables包含的各个表 表(table) iptables的表又是链的容器 链(chains) INPUT,OUTPUT,FORWARD,PR
iptables(8) command
Dablelv 的博客专栏。
12-17 5161
iptables/ip6tables 是 IPv4/IPv6 包过滤和 NAT 的管理工具。iptables/ip6tables 命令Linux 上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。iptables/ip6tables 均是 xtables-multi 的软链。
iptables访问规则
weixin_46627652的博客
12-16 7686
vim /etc/sysctl.conf 删除 #net.ipv4.ip_forward=1 前的#号,开启ipv4 forward sudo sysctl –p 若运行后显示 net.ipv4.ip_forward = 1,表示修改生效了 目标地址转换: iptables -t nat -A PREROUTING -d 192.168.23.110 -p tcp --dport 80 -j DNAT --to-destination 192.168.23.111:8080 将本机的 80 端口转..
浅谈iptables
纯白小生的博客
08-05 273
一:简介防火墙(firewall),一种隔离工具。工作于主机或者网络边缘,对于进出本机或网络的报文根据事先定义好的规则作匹配检测,对于能够被规则所匹配到的报文作出相应处理的组件。很多人都以为防火墙是服务,开机能够自动运行。这里要说明,防火墙从来都不是服务,没有启动的进程,而是工作于内核空间中的规则。netfilter/iptables(简称iptables),实现防火墙的组件。工作于内核的组件是ne
iptables防火墙的原理和作用及访问控制
一个努力学习网安的小牛马
10-13 170
iptables防火墙的访问控制以及原理
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 2772
iptables防火墙详解
iptables 防火墙进出控制
不爱吃奶昔(zsl0)的博客
05-06 1356
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。“五链”是指内核中控制网络的 NetFilter 定义的 5 个规则链。
CentOS防火墙iptables的配置方法详解
热门推荐
wailaizhu的博客
12-06 6万+
iptables是与Linux内核集成的IP信息包过滤系统,其自带防火墙功能,我们在配置完服务器的角色功能后,需要修改iptables的配置。 配置CentOS和Ubuntu等Linux服务器时需要对服务器的iptables进行配置,以下是iptables常见的几种配置方法。
小白入门防火墙iptables
c_hristmas的博客
07-21 335
iptables防火墙 4表5链 查看4表5链: man iptables 4表:(1)filter(筛选作用,最常用) (2) nat (3)mangle(硬件常使用) (4)raw 5链:包含在4表里面,(1)INPUT (2)OUTPUT (3)PREROUTEING (4)POSTROUTING (5)FORWARD 增删查改 查看表: iptables -t 表名 -L (直接输入iptables -L 打开的是filter这张表) (1)一般查看一个表后面接触 -
Linux Iptables入门与规则详解:防火墙配置指南
Iptables是内置于现代Linux内核中的一个模块,它作为netfilter的一部分,提供了功能强大的包过滤和网络访问控制能力。相较于传统的商业防火墙,iptables是开源且免费的,能够实现数据包的过滤、重定向和网络地址转换...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值