iptables框架
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。
四表五链介绍
表里存放链,链里存放规则
四表:
filter(iptables默认表):用于对数据包进行过滤
包含三个链:INPUT,OUTPUT,FORWRD
nat(地址转换表):用于数据包中源IP与目的IP和端口映射
包含三个链:PREROUTING,POSTROUTING,OUTPUT
mangle(包标记表):主要修改数据包的一些标志位,便于对数据包进行策略路由
包含五个链:PREROUTING,FORWARD,POSTROUTING,INPUT,OUTPUT
raw(状态跟踪表):用于跟踪数据包
包含两个链:OUTPUT,PREROUTING
五链:
INPUT链:入站规则,限制客户端数据包目的地址是防火墙主机的上层应用的链
OUTPUT链:出站规则,限制防火墙主机上层应用产生的数据包是否可以出站需要的链
FORWARD链:用于将数据包转发到本机的另一个网络所需的链
PREROUTING链:用于处理刚到达本机并在路由转发前的数据包,它会转换数据包中的目标IP地址,通常用于D-NAT目标地址转换。
POSTROUTING链:用于处理路由转发后的数据包
iptables命令格式
命令格式:iptables [-t 表名] COMMAND [chain] CRETIRIA [-j ACTION]
-t table,是指操作的表,filter、nat、mangle或者raw,默认使用filter
COMMAND,子命令,定义对规则的管理
chain,链名
CRETIRIA,匹配的条件或者标准
ACTION,操作行动,有ACCEPT、DROP、REJECT、REDIRECT(重定向)、SNAT(源地址转换)、DNAT(目标地址转换)、MASQUERADE(IP伪装)、LOG(日志记录)
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作
命令常用选项
添加规则:
-A #追加一条防火墙规则至链的末尾
-I #插入一条防火墙规则至链的开头
查看规则:
-L #查看iptables所有规则,与-n连用时,n放L前面
-n #以数字形式显示地址、端口等信息
–line-numbers #查看规则时,显示规则的行号
删除规则:
-D #删除链内指定的序号(或内容)的一条规则
-F #清空指定表的所有规则
默认规则:
-P #为指定的链设置默认规则
重要目标操作
ACCEPT:允许通过/放行
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,有明确回应
操作用例:
查看iptables列表
iptables -nL
添加一条不允许192.168.10.0/24网段主机访问本机的tcp 80端口,并且不给提示信息
iptables -I INPUT -s 192.168.10.0/24 -p tcp --dport 80 -j DROP
添加一条允许访问22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
清除已有iptables所有规则
iptables -F
查看iptables列表并以序号标识
iptables -nL --line-numbers
清理INPUT链中第2条规则
iptables -D INPUT 2
241
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
