linux--iptables学习总结

最新推荐文章于 2024-05-02 01:09:48 发布
最新推荐文章于 2024-05-02 01:09:48 发布
阅读量563 收藏 1
点赞数
分类专栏: linux学习 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gin_yz/article/details/107647120
版权

关系

pkts:对应规则匹配到的报文的个数。

bytes:对应匹配到的报文包的大小总和。

target:规则对应的target,往往表示规则对应的"动作",即规则匹配成功后需要采取的措施。

prot:表示规则对应的协议,是否只针对某些协议应用此规则。

opt:表示规则对应的选项。

in:表示数据包由哪个接口(网卡)流入,我们可以设置通过哪块网卡流入的报文需要匹配当前规则。

out:表示数据包由哪个接口(网卡)流出,我们可以设置通过哪块网卡流出的报文需要匹配当前规则。

source:表示规则对应的源头地址,可以是一个IP,也可以是一个网段。

destination:表示规则对应的目标地址。可以是一个IP,也可以是一个网段。

iptables --line-numbers -nvL -t filter 
iptables --line-numbers -nvL -t filter FORWARD
添加
iptables -t filter -I INPUT -s 192.168.1.2,192.68.1.1 -j DROP #向前添加
iptables -t filter -I INPUT 2 -s 192.168.1.2,192.68.1.1 -j DROP #向前添加
iptables -t filter -A INPUT 2 -s 192.168.1.2 -j DROP #向后添加
iptables -t filter -A INPUT ! -s 192.168.1.2 -j ACCEPT #取反,表示除了这个ip的都接受,但是这个ip依然能ping通,因为未指定此ip的规则,系统会默认匹配默认规则
删除
iptables --line-numbers -nvL #查询序号
iptables -D INPUT 1
iptables -D INPUT -s 192.168.1.2 -j DROP
删除表所有规则
iptables -t 表明 -F 链名
修改规则
iptables -t filter -R INPUT 1 -s 192.168.1.2 -j REJECT	
修改默认规则
iptables -t filter -P FORWARD DROP

保存
iptables-save > /etc/iptables.rules
或者直接编辑 /etc/iptables.rules后
iptables-restore < /etc/iptables.rules
首次保存时需添加
vim /etc/network/if-pre-up.d/iptables #打开
#!/bin/bash
iptables-restore < /etc/iptables.rules
chmod +x /etc/network/if-pre-up.d/iptables

扩展模块

#添加目的地址
iptables -t filter -I INPUT -s 192.168.1.1 -d 192.168.255.129 -j DROP #从192.168.1.1发生至192.168.255.129的报文将丢弃
iptables -t filter -I INPUT -s 192.168.1.1 -d 192.168.255.129 -p tcp -j DROP #从192.168.1.1发生至192.168.255.129的tcp协议会被丢弃,-p后参数为tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh
-i 指定流入网卡 -o指定流出网卡
-m 指定扩展匹配条件,若不指定,默认和-p相同 --dport 指定目标端口,--sport 指定源端口,必须和-p,-m配合使用
指定端口可使用22:25形式,表示22,23,24,25,或:80,表示从1到80端口所有端口
#若指定多个离散端口,则需要使用 -m multiport模块,如
iptables -t filter -I INPUT -s 192.168.255.1 -p tcp -m multiport -dport 22,36,80 -j DROP

  1. iprange扩展模块
    可以指定连续范围的ip,有–src-range,–dst-range选项

    iptables -t filter -I INPUT -m iprange --src-range 192.168.1.127-192.168.1.255 -j DROP

  2. string
    指定要匹配的字符串,如果报文中包含对应的字符串,则符合匹配条件
    需配合–algo(参数为bm和kmp,为匹配不同算法,随便选一个)和–string使用,如

iptables -I INPUT -t filter -m string --algo bm --string "HELLO" -j REJECT
#如果报文中含有HELLO,则丢弃
  1. time
    配置限制时间,指定某一时间某一策略,主要有

–timestart 00:00:00 开始时间

–timestop 00:00:00 结束时间

–weekdays 6,7 星期,可取反

–monthdays 29,30 每个月多少号,可取反

–datestart 2020-07-27 开始日期

–datestop 2020-10-20 结束日期

  1. connlimit
    限制每个IP地址同时链接到server端的链接数量

    –connlimit-above 10 限制每个ip最多有十个连接,

    –connlimit-mask 27 在255.255.255.224 网段中,表示最多有多少个连接,比如27则最多有30个连接

  2. limit

    对"报文到达速率"进行限制,如:可以以秒为单位进行限制,也可以以分钟、小时、天作为单位进行限制。比如,限制每秒中最多流入3个包,或者限制每分钟最多流入30个包,都可以

    “–limit-burst"指定"空闲时可放行的包的数量”

    –limit 10/minute 表示每分钟10个,即6秒钟一个,同理

    /second

    /minute

    /hour

    /day

    –limit-burst 3 指定闲时最多三个连接

扩展匹配条件之’–tcp-flags’

https://www.zsythink.net/archives/1578

ICMMP扩展

https://www.zsythink.net/archives/1588

state扩展

http://www.zsythink.net/archives/1597

自定义链

http://www.zsythink.net/archives/1625

作为边缘主机网络防火墙

http://www.zsythink.net/archives/1663

NAT

root@cjs-virtual-machine:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 9 packets, 922 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    3   180 DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT 7 packets, 802 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 85 packets, 6070 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER     all  --  *      *       0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT 85 packets, 6070 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      !docker0  172.17.0.0/16        0.0.0.0/0           

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0       
    
    
    
root@cjs-virtual-machine:~# iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 1 packets, 67 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    5   284 DOCKER     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ADDRTYPE match dst-type LOCAL

Chain INPUT (policy ACCEPT 1 packets, 67 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 10 packets, 793 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DOCKER     all  --  *      *       0.0.0.0/0           !127.0.0.0/8          ADDRTYPE match dst-type LOCAL

Chain POSTROUTING (policy ACCEPT 12 packets, 897 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      !docker0  172.17.0.0/16        0.0.0.0/0           
    0     0 MASQUERADE  tcp  --  *      *       172.17.0.2           172.17.0.2           tcp dpt:55555

Chain DOCKER (2 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  docker0 *       0.0.0.0/0            0.0.0.0/0           
    2   104 DNAT       tcp  --  !docker0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:55555 to:172.17.0.2:55555

  1. SNAT
    内部的主机可以借助SNAT隐藏自己的IP地址,同时还能够共享合法的公网IP,让局域网内的多台主机共享公网IP访问互联网。

    iptables -t nat -A POSTROUTING -s 内部ip -j SNAT --to-source 外部ip

  2. DNAT
    将公网客户端发送过来的报文的目标地址与端口号做了映射,将访问web服务的报文转发到了内网中的C主机中,将访问远程桌面的报文转发到了内网中的D主机中。

    iptables -t nat -I PREROUTING -d 外部ip -p tcp --dport 外部端口 -j DNAT --to-destination 内部ip:内部端口

  3. MASQUERADE

    与SNAT相似,只不过不用绑定外部ip,绑定对应的物理interface就行

    iptables -t nat -A POSTROUTING -s 内部ip -j MASQUERADE -o 出口interface

  4. REDIRECT

    将本机的端口映射到另外一个端口

    iptables -t nat -A PREROUTING -p tcp --dport 源端口 -j REDIRECT --to-ports 目标端口

ubuntu保存

#若是第一次使用iptables
vim /etc/network/if-pre-up.d/iptables

#!/bin/bash
iptables-restore < /etc/iptables.rules
#保存后
iptables-save > /etc/iptables.rules 

#之后保存只需
iptables-save > /etc/iptables.rules
GasDuck
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
运行中的docker容器如何动态更改端口映射
贝师东去
05-21 425
运行中的docker容器如何动态更改端口映射 问题起因:mysql数据库 端口没有在映射时没有做端口映射先想在宿主机使用该数据库 查看 docker run 的-p命令 就是端口转发,就想在宿主机添加一个端口转发规则。 a, 获取容器ip docker inspect $container_name | grep IPAddress b. 添加转发规则 iptables -t nat -A DOCKER -p tcp --dport $host
王锐学习linux服务器应用个人总结
07-23
教程名称:王锐学习linux服务器应用个人总结课程目录:【】iptables NAT代理服务器【】linux下-VSFTP的基本配置【】linux下DHCP的基本配置-及中继代理【】linux下dns的基本配置【】linux下LAMP的基本配置【】linux下...
解读-m addrtype --dst-type LOCAL -j DOCKER
bob的博客
02-09 3202
比方说我们使用docker容器,一定会在iptables的NAT表中看到下在这样的一条配置规则: -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER 从整体上看,这条规则是要把符合什么匹配规则的数据包,在数据包进入NAT表PREROUTING链时,让它直接jump到一个名为DOCKER的链。至于在这个DOCKER的链中有哪些继续生效的NAT规则,不是我们要讨论的。 我们主要是分析一下“-m addrtype --dst-type”的数据包匹配规则该做怎
Tomcat 系统架构(下):聊聊多层容器的设计
小楼一夜听春雨,深巷明朝卖杏花
11-02 464
专栏上一期我们学完了连接器的设计,今天我们一起来看一下 Tomcat 的容器设计。先复习一下,上期我讲到了 Tomcat 有两个核心组件:连接器和容器,其中连接器负责外部交流,容器负责内部处理。具体来说就是,连接器处理 Socket 通信和应用层协议的解析,得到 Servlet 请求,而容器则负责处理 Servlet 请求。我们通过下面这张图来回忆一下。 容器,顾名思义就是用来装载东西的器具,在 Tomcat 里,容器就是用来装载 Servlet 的。那 Tomcat 的 Servlet 容器是如..
linux】Ubuntu上的防火墙iptables的基本配置与使用_ubuntu iptables
2401_83620654的博客
05-02 357
缺省规则是给予设置有很大的方便,比如说,你要设置只允许别人访问本机的http服务,那么可以设置INPUT和OUTPUT缺省为DROP,拒绝接收,设置一条从外部通过http访问的规则为ACCEPT即可。-A代表append添加规则,后面带OUTPUT代表这种数据包,-p代表使用的协议为tcp,–dport代表端口为80,-j代表使用DROP还是ACCEPT,DROP为拒绝。这句话的意思为拒绝tcp协议端口为80的数据包进入,而通常http使用的端口为80,所以此时本机访问http服务80时被拒绝。
【BUG记录】docker 报错:driver failed programming external connectivity on endpoint
小灰狼与大白兔的博客
02-17 1023
原文地址 docker端口映射或启动容器时报错 Error response from daemon: driver failed programming external connectivity on endpoint seata-server 报错 场景:看错误来判断应该是端口映射或者网络出现了问题,端口映射问题几率较大! 原因: docker服务启动时定义的自定义链DOCKER由于 centos7 firewall 被清掉 firewall的底层是使用iptables进行数据过滤,建立在ipta
wireguard下启用防火墙策略
超级无敌棒棒糖
08-16 1064
wireguard下启用防火墙策略 # 防止未加密走wg PostUp = iptables -I OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j REJECT PreDown = iptables -D OUTPUT ! -o %i -m mark ! --mark $(wg show %i fwmark) -m addrtype ! --dst-type LOCAL -j RE
【Ubuntu安装和配置iptables防火墙】
热门推荐
weixin_36032459的博客
06-06 1万+
提示:Ubuntu 20.04.4 LTS例如:netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。示例:netfilter/iptables 的最大优点是它可以配置有状态的防火墙,这是 ipfwadm 和 ipchains 等以前的工具都无法提供的一种重要功能。有状态的防火墙能够指定并记住为发送或接收信息包所建立的连接的状态。防火墙可以从信息包的连接跟踪状态获得该信息。在决定新的信息包过滤时,防火墙所
Linux基础课件-iptables安装与启动.pptx
11-02
总结一下,学习iptables主要包括以下步骤: 1. 检查iptables是否已安装,如果没有,使用`yum install iptables-services -y`进行安装。 2. 管理iptables服务,使用`systemctl`或`service`命令启动、停止、重启和查询...
linux--program.rar_linux程序
09-24
总结来说,"linux--program.rar_linux程序"可能包含了Linux系统下的各种实用工具和应用程序,涵盖了从基本命令行工具到复杂的服务软件,通过学习和理解这些程序,用户可以更好地理解和利用Linux系统。
linux基础学习文档总结-新人入门必备.doc
10-14
Linux基础学习文档总结 Linux 是一个开源操作系统,广泛应用于服务器、超级计算机、嵌入式系统等领域。本文档总结Linux 基础知识,涵盖了文件系统、目录操作、基本命令、文件权限、进程管理、网络配置等方面的...
linux学习总结
04-06
本文将基于“Linux学习总结”这一主题,深入探讨其中的关键知识点,以期为你的学习提供帮助。 一、Linux系统介绍 Linux是一个开源的操作系统,其内核由林纳斯·托瓦兹于1991年创建。Linux系统以自由软件和开放源...
Docker系列十四:Ingress Network数据包通过lvs进入到有服务的主机
Jesse技术博客
08-19 4243
Internal Load Balancing 内部负载平衡 Ingress Network:外部访问的负载均衡,我们在节点访问地址和端口服务的时候,都可以请求到数据,他的 原理是通过LVS把真正的服务转发到真正具有服务的节点上。 例如,访问docker3的8080,但是docker3 8080并没有这个服务,他会将这个服务转发到有服务docker2的主机上,然后在吧数据返回。 在Ma...
Linux:Couldn‘t load match `state‘:No such file or direct
hhd1988的专栏
07-12 1466
iptables : Couldn't load match `state':No such file or directory
使用netfilter/iptables时经常能在匹配规则中看到-m addrtype --dst-type这样的内容,何解
watermelonbig的专栏
05-15 9514
比方说我们使用docker容器,一定会在iptables的NAT表中看到下在这样的一条配置规则:-A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER从整体上看,这条规则是要把符合什么匹配规则的数据包,在数据包进入NAT表PREROUTING链时,让它直接jump到一个名为DOCKER的链。至于在这个DOCKER的链中有哪些继续生效的NAT规则,不...
6个步骤轻松实现 postman 接口压力测试(建议收藏),2024年最新2024阿里软件测试高级面试题总结
2401_84240431的博客
04-15 559
行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
iptables-extensions拓展模块
奔跑的路
06-11 4865
iptables-extensions Section: iptables 1.4.18 (8) Updated: Index   NAME iptables-extensions --- list of extensions in the standard iptables distribution  SYNOPSIS ip6tables [-m name [module-
iptables详解(8):iptables扩展模块之state扩展
weixin_34082789的博客
06-25 384
所属分类:IPtablesLinux基础 在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下 iptables零基础快速入门系列 当我们通过http的url访问某个网站的网页时,客户端向服务端的80端口发起请求,服务端再通过80端口响应我们的请求,于是,作为客户端,我们似乎应该理所应当的放行...
Linux防火墙之你必须知道的iptables
權llll的博客
06-15 2789
iptables四表五链、基本用法、黑白名单、网络防火墙、自定义链和处理动作详解
iptables -F;iptables -X;iptables -Z;iptables-save
最新发布
05-17
iptablesLinux系统上的一个强大的防火墙工具,它可以让系统管理员通过定义规则来控制网络数据包的流动...4. iptables-save:该命令用于将当前iptables的规则保存到文件中,以便在系统重启后恢复iptables的规则设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值