iptables 规则记录

最新推荐文章于 2024-03-19 09:46:20 发布
最新推荐文章于 2024-03-19 09:46:20 发布
阅读量759 收藏 1
点赞数
分类专栏: system 文章标签: iptables

本博客参考博客地址朱双印的博客

iptables 分为链,表,,匹配条件,处理动作
- 链:prerouting ,forward ,postrouting ,input,output
- 表:filter,mangle,nat,raw
- 匹配条件:源地址,目标地址,源端口,目标端口
- 处理动作
ACCEPT,DROP,REJECT,SNAT,MASQUERADE,DNAT,REDIRECT,LOG

链,表,处理动作之间的关系

数据经过防火墙的流程

iptables 的管理规则:

1.查看指定链的规则:

iptables -nL 链名
iptables -nL INPUT

2.刷新之前规则:

iptables -F 链名
iptables -F INPUT

3.增加规则:

iptables -t-I/A 链 -s 源地址 -j 处理动作
-I表示在最前插入,-A表示在最后追加
如果报文被前边的规则匹配到,那么就不会再被后边的规则匹配。
iptables -t filter -I INPUT  -s 192.168.1.1 -j DROP
如果表是filter 可以默认不使用
iptables -nvL
Chain INPUT (policy ACCEPT 28 packets, 1900 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       192.168.1.1          0.0.0.0/0 
在iptables 中,target 表示动作
pkts 表示有多少包被匹配到,bytes 表示匹配的总大小为多少

4.删除规则:

删除规则有两种方法:
根据规则编号
根据规则匹配条件和动作
查看规则编号:
iptables --line -vnL INPUT
iptables --line -nvL INPUT
Chain INPUT (policy ACCEPT 236 packets, 24265 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       all  --  *      *       192.168.1.1          0.0.0.0/0  
进行删除规则:
iptables -t filter -D INPUT  1
iptables -D INPUT -s 192.168.1.1 -j DROP 
删除表上的规则
iptables -t 表名 -F
iptables -F

5.修改规则:

iptables -R INPUT 1 -s 192.168.1.1 -j REJECT 
-R 选项表示修改指定的链, 1 表示指定链的第一条规则,-s 选项表示规则对应的源地址,且**-s 不可省略**,即使我们已经指定了规则对应的编号,使用-R修改规则时,也不能省略,如果么有指定的话,修改完成后,规则中的源地址自动变为0.0.0.0/0 ,-j 又是REJECT ,这样,所有的ip 请求都被拒绝。
建议 先删除,再重建。

6.保存规则:

service iptables save
cat /etc/sysconfig/iptables
iptabls-save ,将所有的规则输出到屏幕上
可以使用重定向将其放入配置文件中,原有规则会被覆盖

7.设置默认规则

iptables -t 表名 -P 链名 动作
表示将链名中的默认规则设置为动作。

匹配条件的更多用法

-s 指定多个IP或者指定地址段

iptables -t filter -I INPUT -s 192.168.1.1,182.234.21.1 -j DROP
iptables -t filter -I INPUT -s 192.168.1.0/24  -j DROP

对源地址匹配条件取反

iptables -I INPUT ! -s 120.26.48.161 -j ACCEPT
iptables -t filter  -P INPUT ACCEPT
! s 表示对120.26.48.161 不匹配,并没有指定如果是120 的话,如何处理,所以,当120 进行ping 时,匹配不到这个规则,所以继续向下匹配,最后匹配到默认规则。默认规则 时ACCEPT

-d 匹配目标地址

iptables -t filter -I INPUT -s 192.168.21.1 -d 192.158.13.2 -j ACCEPT 
表示只有报文来自192.168.21.1,且目的地是192.158.13.2  才会被匹配到。

-p 协议类型
如果要拒绝所有tcp 请求,那么可以如下设置:

iptables -t filter -I INPUT  -s 192.168.1.1 -d 192.168.1.2 -p tcp -j REJECT 
在centos6 中,-p 选项支持:
tcp ,udp,udplite icmp esp ah ,sctp
tcp : ssh 
icmp : ping

-i -o 网卡接口
当主机有多个网卡时,我们可以使用-i 选项来匹配报文是通过那块网卡流入本机的。
由于是流入本机,根据上边的数据流向图可以看出:
-i 选项只适用于PREROUTING ,FORWARD , INPUT 三条链
当主机有多个网卡时,我们可以使用-o选项来匹配报文是通过那块网卡流出本机的。
由于是流出本机,根据上边的数据流向图可以看出:
FORWARD OUTPUT POSTROUTING 三条链, FORWARD 属于中立链,能同时适用于-i 和-o
扩展匹配条件
除了上边的匹配地址,匹配网卡,匹配协议,剩下的都是扩展匹配,扩展匹配要指定扩展模块
如果没有使用-m 指定对应的扩展模块,那么就会默认使用与-p 对应协议名称相同的模块

iptables -t filter -I INPUT -s 192.168.1.22 -p tcp -m tcp --dport 22 -j REJECT
-p 指协议 -m 指模块 --dport 指目标端口 --sport 指源端口 可以指定范围但无法离散指定多个不连续的端口:--dport 20:3306 。 如果需要指定多个离散的端口,需要借助multiport 模块
--dport 22: 指22 端口后的所有端口
iptables -t filter -I INPUT  -s 192.168.1.22 -p tcp -m multiport --dport 22,33,44 -j REJECT
 ``` 
 **iprange 扩展模块**
 如果我们需要指定一段连续的IP地址范围,用于匹配报文的源地址或者目标地址,就需要指定iprange模块
 iprange 的两个扩展匹配条件:
 --scr-range     --dst-range 用来匹配范围IP

iptables -I INPUT -s 192.168.1.22 -m iprange –src-range 192.168.1.22-192.168.1.33 -j DROP
iptables -I INPUT -s 192.168.1.22 -p tcp -m iprange –src-range 192.168.1.22-192.168.1.33 -j DROP

**string扩展模块**
使用string 模块,可以指定需要匹配的字符串,如果报文中包含对应的字符串,那么符合匹配条件

创建一个http 服务,在首页写上要过滤的字符。
iptables -I OUTPUT -m string –algo bm –string “hello” -j REJECT
那么,无法通过http 协议访问到该网页
–algo 用于表示匹配算法,可选算法有bm 和kmp ,此选项为必选项,可以任意指定一个
–string 用于指定需要匹配那个字符串

**time 模块**
用于限制访问时间
**connlimit 扩展模块**
connlimit 模块可以限制每个IP地址同时连接到server 的链接数量,不用指定IP,默认就是所有。
如果我们要限制,每个IP,最多只能有两个ssh  连接到server,那么,可以如下:

iptables -I INPUT -p tcp -m tcp –dport 22 -m connlimit –connlimit-above 2 -j REJECT
表示每个客户端IP的ssh 请求最多不能高于2
iptables -I INPUT -p tcp –dport 22 -m connlimit –connlimit-above 2 –connlimit-mask 24 -j DROP
表示在24位子网内,只有2个客户端可以连接。

**limit 扩展模块**
connlimit 是针对链接数量进行限制的,limit模块是对"报文到达速率"限制的
我们可以用limit 限制单位时间内流入的流量。
我们可以以秒,分钟,小时,计算。 
比如,限制每秒最多流入3个包,每分钟限制30个包,等等。。

iptables -I INPUT -m limit -p icmp –limit 10/minute -j ACCEPT
iptables -A INPUT -p icmp -j REJECT
第一条规则: 每6秒放行一个包,到第六秒时,达到的报文就会进行规则匹配,执行对应的动作,而上面的动作是ACCEPT,在6秒之前到达的包是无法被上述规则匹配到的,而默认匹配规则是ACCEPT,所以,所有的报文包,都会被接受
添加上第二条规则后,报文默认是REJECT ,没有到第6个包之前,所有的包都拒绝,到第六个包,接受。 所以,ping 报文放行的速率就会发生变化。
注意: limit模块使用了令牌桶算法,使用–limit 用于指定多长时间生成一个新令牌,而–limit-bust 用于指定木桶中存放几块令牌,只有持有令牌的包才能从防火墙中穿过。
(实验未成功,需要外加验证)

tcp 扩展模块”tcp-flags”
TCP报文结构
tcp 报文结构
TCP的三次握手
TCP三次握手
在使用iptables 时,使用TCP扩展模块”–TCP-flags”选项对应上述的标志位进行匹配。判断指定的标志位值是否为1

iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT

SYN,ACK,FIN,RST,URG,PSH 表示我们需要匹配报文的TCP头中的那些标志位,根据上述的配置,我们要匹配报文中的6个标志位。
SYN表示在第一部分的表示列表中,那些标志位必须为1 。 

iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
表示匹配第一次握手的标志位的情况
iptables -t filter -I INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN,ACK -j REJECT
表示匹配第二次握手的情况
ginkgo_dia
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 原理详解
叱咤少帅的博客
08-24 748
iptables 原理详解
iptables 匹配规则
weixin_37583747的博客
06-20 6252
iptables 匹配规则1.    源地址匹配:    a.    ip地址匹配                iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP        用“,”分隔多个源地址,地址与“,”之间不能有空格    b.    网段匹配        iptables -t filter -I ...
Linux系统Iptables规则执行顺序详解
weixin_34150503的博客
07-31 1089
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。   1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. ...
iptables 防火墙笔记(一)
小鲸鱼大梦想
02-07 482
扩展模块:-m tcp 表示使用 tcp 扩展模块,上述省略了( iptables 默认会调用与 -p 选项对应的协议名称相同的模块);-p tcp与 -m tcp 并不冲突,-p 用于匹配报文的协议,-m 用于指定扩展模块的名称,正好,这个扩展模块也叫 tcp。请看下面:要注意看表名和链名呢,是有关系的,在什么点进行规则设置,才能有效的拦截,虽然有时候我也要去前面翻翻,记不住。这个工具是属于一种包过滤的软件防火墙,它是免费的,不要钱,就很nice。请看下面:阻止了回环网卡的流量(我也不知道说的对不对)
iptables详解(2):iptables管理
qq_42502583的博客
08-12 637
iptables管理 本文转载自朱双印个人日志 iptables详解(2):iptables实际操作之规则查询 本文转载自朱双印个人日志 iptables详解(3):iptables规则管理 查看规则 iptables为我们预定义了4张表,它们分别是raw表、mangle表、nat表、filter表,不同的表拥有不同的功能。 查看filter表中的规则 iptables -t filter -L -t 指定要操作的表, -L 查看-t选项对应的表的规则,不加默认为所有规则 )] 上图中红色框部分为规则
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 9258
这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
iptables的基本规则
hahaha_yan的博客
12-06 716
一、相关概念 Iptables 利用的是数据包过滤的机制,所以他会分析数据包的报头数据,根据报头数据与定义的规则来决定该数据包是否可以进入主机或者被丢弃,也就是说,根据数据包的分析资料比对预先定义的规则内容,若数据包数据与规则内容相同则进行动作,否则就继续下一条规则的比对,重点在比对与分析顺序。 Iptables的表格和链 Iptables名字的来由:因为这个防火墙软件里面有多个表格,每个表
iptables语法
10-15
#### iptables的语法规则 1. **命令格式**:`iptables [options] chain [match] target`。 2. **选项**:用于控制命令的行为,如`-A`(添加)、`-D`(删除)、`-I`(插入)等。 3. **规则链**:指定规则所属的链,...
iptables指南1.1.19电子书
05-06
4.2. conntrack记录 4.3. 数据包在用户空间的状态 4.4. TCP 连接 4.5. UDP 连接 4.6. ICMP 连接 4.7. 缺省的连接操作 4.8. 复杂协议和连接跟踪 5. 保存和恢复数据管理规则 5.1. 速度 5.2. restore的不足之处...
iptables应用手册详细介绍
04-06
iptables 是 Linux 核心里的 Netfilter 子系统所提供的唯一工具程序,用于创建防火墙、网址转换、数据包记录、流量统计等功能。iptables 的接口很可能是 Linux 有史以来最精致的,使得 Linux 成为最有弹性的网络过滤...
iptables常用命令和使用
02-21
**iptables** 是一款强大的包过滤防火墙工具,它允许用户通过定义一系列复杂的规则来控制进出主机的数据包。此工具需要Linux内核版本至少为2.4及以上,对于2.6及更高版本的内核同样兼容。iptables的工作原理在于对...
Iptables 中文指南
07-23
4.2. conntrack记录 4.3. 数据包在用户空间的状态 4.4. TCP 连接 4.5. UDP 连接 4.6. ICMP 连接 4.7. 缺省的连接操作 4.8. 复杂协议和连接跟踪 5. 保存和恢复数据管理规则 5.1. 速度 5.2. restore的不足之处...
iptables规则总结
weixin_53139887的博客
01-10 5440
五链四表 链的概念 iptables开启后,数据报文从进入服务器到出来会经过5道关卡,分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后) 每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像一条链,所以我们把这些关卡都叫“链” 其中INPUT、OUTPUT链更多的应用在“主机防火墙”中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTI
iptables防火墙详解
虎哥LoveDroid
02-16 1805
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,iptables免费开源,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 是用来设置、维护和检查 Linux 内核的防火墙 IP 报文过滤规则和网络地址转换规则的。Linux 防火墙通常包含两部分,分别为 iptables 和 netfilter。iptables 是 Linux 管理防火墙规则的命令行工具,处于用户空间。
linux命令采集用户信息&刷新iptables
xxf_love521的专栏
03-19 674
# root权限执行 #!/bin/bash log_path="/tmp/log" tmp_path="/tmp/tmp" collect_log="$log_path/collect.log" mkdir -p $log_path USER="xx" DATABASE="xx" HOST="xx" PORT=xx MY_NAME=`basename $0` mip=`/sbin/ifco...
iptables防火墙概念-规则命令详解-配置文件修改
weixin_45266856的博客
02-15 3434
防火墙在做数据包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的数据包过滤表中,在数据包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 数据包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则
【网络教程】IPtables官方教程--学习笔记4--IPTABLES RULES
jackhh1的博客
09-12 1222
如何设计iptables规则
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
使用 React 和 Redux 进行井字游戏并附带源代码.zip
最新发布
07-24
项目:使用 React 和 Redux 进行井字游戏并附带源代码 使用 react 和 redux 的井字游戏是一个简单的 react 项目。整个项目都是使用 react components 和redux制作的。游戏很简单,玩法也很多。要运行此项目,您必须先安装 NodeJS。 关于项目 井字游戏反应而 redux 是使用ReactJS开发的。说到这个游戏,它具有高级功能和游戏玩法。要运行此项目,首先,您必须安装费用到您的系统。然后运行npm安装然后开始运行npm开始。游戏启动后,您可以选择不同的游戏选项。您还可以选择所需的网格框数量。此外,您还可以选择对手的类型。 要运行此项目,您需要 在计算机上安装NodeJS 并使用现代浏览器,例如 Google Chrome、  Mozilla Firefox。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
iptables规则转发
06-28
iptables规则转发通常遵循这样的流程: 1. **链(Chains)**:iptables分为几个主要链,如`PREROUTING`(对进入系统的流量预处理)、`INPUT`(对到达本地接口的流量处理)、`FORWARD`(对转发到其他接口的流量处理)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值