iptables基本匹配

最新推荐文章于 2024-05-21 22:42:10 发布
最新推荐文章于 2024-05-21 22:42:10 发布
阅读量731 收藏
点赞数
分类专栏: Iptables 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kakaka666/article/details/131037720
版权

文章目录

Iptables命令

iptables -t ${表名}  ${Commands} ${链名}  ${链中的规则号} ${匹配条件} ${目标动作}

* 表名:4张表,filter、nat、mangle、raw
    
* Commands:
            -t:					指定操作的表
            -A, --append		追加一条规则到链中,在对应链的末尾添加规则
            -D, --delete		删除链中的规则
            -I, --insert		插入一条规则,插入到顶部
            -R, --replace		修改
            -L, --list			列出当前的规则
            -S, --list-rules	列出所有的规则
            -F, --flush			清空
            -Z, --zero			清空计数器(  包数量 、包大小)
            -N, --new-chain		创建一个自定义 链
            -X, --delete-chain	删除一个自定义链
            -P, --policy		指定链的默认策略  
    
* 链名:5条链,PREROUTING、INPUT、FORWOARD、OUTPUT、POSTROUTING
    
* 匹配条件:-p协议、-s 源地址、-d 目标地址、-i 网络接口名
            源地址:-s 192.168.1.0/24
            目标地址:-d 192.168.1.11
            协议:-p tcp|udp|icmp
            从哪个网卡进来:-i eth0|lo
            从哪个网卡出去:-o eth0|lo
            目标端口(必须制定协议):-p tcp|udp --dport 8080
            源端口(必须制定协议):-p tcp|udp --sport 8080
    
* 目标动作:	 拒绝访问-j REJECT、
            允许通过-j ACCEPT、
            丢弃-j DROP、
            记录日志 -j LOG、
            源地址转换-j snat、
            目标地址转换-j dnat、
            还有RETURN、QUEUE

可以通过像如下查看使用帮助文档。主要可以分如下三个部分

# iptables --help
 Usage:    # 使用案例
 Commands: # 命令选项
 Options:  # 其他可选项

1.1 列出表中链的规则

# iptables -t filter -L  -n -v
Chain INPUT (policy ACCEPT 1 packets, 40 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

可以看出表filter中有三条链,分别是INPUTFORWARDOUTPUT。默认规则为policy ACCEPT允许通过。

-t filter:指定用filter表
-L 列出当前的规则
-n 地址和端口的数字输出,不解析IP地址
-v 详细模式
-line-numbers:显示规则的序号(简写为--line)

省略 -t 选项时,表示默认操作 filter 表中的规则:

1.2 添加规则

添加禁止ping本机规则

# iptables -t filter -I INPUT -p ICMP -j REJECT
# iptables -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 156 packets, 10871 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        3   252 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 102 packets, 11225 bytes)
num   pkts bytes target     prot opt in     out     source               destination

-I INPUT: 	往INPUT链中插入规则
-p ICMP 	指定协议条件
-j REJECT 	指定动作拒绝

规则号 收到的报数 收到的长度
num   pkts bytes target     prot opt in     out     source               destination         
1        3   252 REJECT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

1.3 修改规则

# iptables -t filter -R INPUT 1  -p ICMP -j DROP
root@kaka-virtual-machine:/home/kaka# iptables -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 7 packets, 732 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 6 packets, 576 bytes)
num   pkts bytes target     prot opt in     out     source               destination     

-R INPUT 1 修改INPUT链中的第一条规则
j DROP 动作丢弃

清空计数器,pkts和bytes

# iptables -t filter -Z	
# iptables -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 8 packets, 488 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 5 packets, 556 bytes)
num   pkts bytes target     prot opt in     out     source               destination

1.4 删除规则

指定编号删除规则

# iptables -t filter -D INPUT 1
# iptables -t filter  -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 56 packets, 3936 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 39 packets, 3204 bytes)
num   pkts bytes target     prot opt in     out     source               destination

1.5 清空所有规则

# iptables -t filter  -F
root@kaka-virtual-machine:/home/kaka# iptables -t filter  -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

示例1

仅允许 192.168.213.130 访问 192.168.213.137 的80端口,其他的都拒绝。

1.先允许
	1.添加到filter表,		 INPUT链
	2.指定来源的IP地址    		192.168.213.130 
	3.指定目标的IP地址	   		192.168.213.137 
	4.指定具体的协议      		tcp
	5.指定具体的端口	   		80
	6.指定匹配后的动作是什么     ACCEPT

2.后拒绝:
	1.添加到filter表,INPUT链、
	2.明确指定拒绝所有

3.具体的配置:
	[root]# iptables -t filter -I INPUT -s 192.168.213.130  -d 192.168.213.137  -p tcp --dport 80 -j ACCEPT
	[root]# iptables -t filter -A INPUT -p tcp -j DROP	#无条件拒绝所有tcp的请求包

查看添加的规则

# iptables -t filter -I INPUT -s 192.168.213.130  -d 192.168.213.137  -p tcp --dport 80 -j ACCEPT
# iptables -t filter -A INPUT -p tcp -j DROP
# iptables -t filter  -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 18 packets, 1339 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       192.168.213.130      192.168.213.137      tcp dpt:80
2       23  2196 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 26 packets, 2714 bytes)
num   pkts bytes target     prot opt in     out     source               destination

当数据包来到的时候先匹配第一条规则,如果符合规则则接受。如果不符合第一条规则,接着匹配第二条规则,如果是tcp包执行DROP动作,丢弃报文。如果不是tcp包执行默认规则ACCEPT。

将规则修改成拒绝所有包

[root]# iptables -t filter -R INPUT 2 -j DROP	#无条件拒绝所有tcp的请求包
# iptables -t filter  -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       192.168.213.130      192.168.213.137      tcp dpt:80
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination

示例2

凡是由本机发出的TCP协议报文都允许出去,其他的协议不允许;

先允许:
	1.添加到filter表, OUTPUT链

后 拒绝:
	1.拒绝所有

3.具体配置:
[root@lb01 ~]# iptables -t filter -F	#清空全部规则
[root@lb01 ~]# iptables -t filter -I OUTPUT -p tcp -j ACCEPT
[root@lb01 ~]# iptables -t filter -A OUTPUT -j DROP

查看添加的规则

# iptables -t filter  -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           
2        0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0

当数据包发出的时候先匹配第一条规则,如果TCP包符合规则则接受发出。如果不符合第一条规则,接着匹配第二条规则,不是tcp包执行DROP动作,丢弃报文。

示例3

示例3:禁止其他主机 从ens38发送来的ping请求

1.添加到filter表,INPUT链
2.指定从哪个网络接口过来的数据包  ens38   -i  
3.指定具体的协议  icmp
4.指定具体的动作  DROP

[root@lb01 ~]# iptables -t filter -I INPUT -i ens38 -p icmp -j DROP

查看添加的规则

# iptables -t filter  -L -n -v --line-numbers
Chain INPUT (policy ACCEPT 33 packets, 1944 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        6   504 DROP       icmp --  ens38  *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 30 packets, 5336 bytes)
num   pkts bytes target     prot opt in     out     source               destination

从ens38进来的icmp包全都丢弃,从其他网络接口就来的包不匹配第一条规则,执行默认规则ACCEPT

kaka的卡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 匹配规则
weixin_37583747的博客
06-20 6267
iptables 匹配规则1.    源地址匹配:    a.    ip地址匹配                iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP        用“,”分隔多个源地址,地址与“,”之间不能有空格    b.    网段匹配        iptables -t filter -I ...
IPtables 匹配条件
小楼一夜听春雨,深巷明朝卖杏花
08-30 1728
规则从上到下匹配,如果IP来源10.0.0.1符合规则,那么下面规则就不执行了,如果来源于其他规则不满足,那么就走下面,任何地址到本机的22都拒绝。如果不符合这条drop的规则,那么就继续往下去匹配,下面没有规则就回到链的默认规则,默认规则是ACCEPT,只要没有符合这条规则,那么就都允许。drop就是什么消息都不返回,reject就会返回因为防火墙阻止了,也就是一个会返回消息,一个不会返回消息。仅允许'10.0.0.1'访问'10.0.0.200'服务器的'22'端口、其他地址全部拒绝。......
Linux防火墙篇——iptables
最新发布
aran2002的博客
05-21 1340
Linux 系统的防火墙 :IP信息包过滤系统,它实际上由两个组件netfilter 和 iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上。
iptables规则链执行顺序
热门推荐
houlc的专栏
12-20 1万+
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。 1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. 2。The second
【Linux】iptables之防火墙概述及规则匹配+实例(1)
liu_chen_yang的博客
08-09 8068
多端口匹配:-m multiport --sports | --dports 端口列表。多端口匹配:-m multiport --sports | --dports 端口列表。入站: PREROUTING→INPUT。IP范围匹配:-m iprange --src-range IP范围。MAC地址匹配:-m mac --mac-source MAC地址。IP范围匹配:-m iprange --src-range IP范围。MAC地址匹配:-m mac --mac-source MAC地址。......
Iptables防火墙基本匹配应用
江晓龙的博客
07-08 631
所谓的规则就是由运维配置的一条条防火墙策略,只有满足策略的源才会被防火墙放行,一条规则通常是由条件+动作来组合的。Iptables防火墙定义规则时的命令格式以及常用参数`:命令格式:常用参数`:查看filter表的规则详细信息。 2.2.设置一条防火墙规则 设置一条防火墙规则,禁止所有来源ping本机。ping属于ICMP协议,禁ping属于来源客户端ping目标主机,需要在INPUT链的filter表中添加一条防火墙规则,禁止ICMP协议进入。 规则解释:在INPUT链的filter表中添加了一条对于IC
iptables基本命令规则简介
11-21
* 设定默认规则iptables 规则中没有匹配规则则使用默认规则进行处理 * iptables -P INPUT DROP * iptables -P OUTPUT ACCEPT * iptables -P FORWARD DROP * 配置 SSH 规则: + iptables -A INPUT -p tcp --...
iptables详解
09-04
#### iptables操作命令与匹配条件 - **常见的操作命令**: - `-L` 查看现有规则。 - `-A` 在链尾追加规则。 - `-I` 插入规则,默认为第一条。 - `-D` 删除规则。 - `-F` 清空链上的所有规则。 - `-P` 设置链...
iptables自定义设置
05-22
以上iptables脚本主要实现了对网络流量的基本管理和控制,包括但不限于清除已有规则、设置默认策略、加载必要的内核模块以及限制SYN包流量等。通过合理的配置,可以有效提升系统的安全性和稳定性。在实际应用中,还...
iptables 1.1中文指南
10-11
- **基础概念**:理解iptables基本结构和语法。 - **Tables**:不同表的功能和用法。 - **Commands**:如 `iptables -A` 添加规则,`iptables -D` 删除规则等。 - **Matches**: - **通用匹配**:如 `-p tcp` 或 ...
Linux上iptables防火墙的基本应用教程.docx
10-29
显示具体信息,包括每条规章的匹配包数量和匹配字节数:iptables -L -n -v 6. 删除已添加的 iptables 规章 将全部 iptables 以序号标志显示:iptables -L -n --line-numbers 删除 INPUT 里序号为 8 的规章:...
Linux iptables防火墙详解(三)——iptables匹配条件
永远是少年
12-06 2624
今天继续给大家介绍Linux基础知识,本文主要内容是Linux iptables防火墙配置命令匹配条件。 一、iptables匹配参数介绍 二、iptables匹配参数使用示例
iptables规则匹配是有顺序的
jesseszr的博客
10-17 987
因此,如果需要加新ip地址,则需要在加完ip后重新设置一下。假设要只允许1个ip访问,设置以下两条规则,如果顺序为。
防火墙——iptables防火墙(四表五链、防火墙配置方法、匹配规则详解)
Axic123的博客
05-20 2862
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。
iptablesiptables表、链、规则匹配模式、扩展模块、连接追踪模块(一)
u011029104的专栏
01-30 408
默认情况当禁止ping后,其他主机无法ping通本主机,本主机也无法ping通其他主机,现需要本主机可以ping通其他主机,而其他主机依然无法ping同本主机。3.请求从本机发出:local Process(本机) --> OUTPUT --> POSTROUTING。1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)
iptables详解(4):iptables匹配条件总结之一
ss810540895的博客
10-20 945
s用于匹配报文的源地址,可以同时指定多个源地址,每个IP之间用逗号隔开,也可以指定为一个网段。#示例如下-d用于匹配报文的目标地址,可以同时指定多个目标地址,每个IP之间用逗号隔开,也可以指定为一个网段。#示例如下-p用于匹配报文的协议类型,可以匹配的协议类型tcp、udp、udplite、icmp、esp、ah、sctp等(centos7中还支持icmpv6、mh)。#示例如下。
【无标题】iptables之防火墙概述及规则匹配
xzy8088的专栏
08-21 481
iptables之防火墙实例
Linux之iptables(三)iptables匹配条件
qq1319713925的博客
04-06 485
如上图,iptables命令风格,第一部分指定表名,第二部分指定对规则的增删改查的动作。 第三部分指定规则匹配条件,第四部分指定数据包匹配规则时执行的动作。 其中:命令的第一部分第二部分没啥好说的了,现在总结第三部分,匹配条件。 一:-s 匹配报文的原地址 #示例如下 1.匹配多个IP iptables-tfilter-IINPUT-s192.168.1.111...
iptables规则的顺序
yi_Afly的专栏
08-17 1416
iptables的INPUT CHAIN、FORWARD CHIAN和OUTPUT CHAIN中,每当遇到匹配的ACCEPT或者REJECT或者DROP规则时,就不会再继续向下匹配。 所以,以INPUT CHAIN为例,如果想打开某一个特定端口(比如TCP 1990),而屏蔽掉其它端口,应该这样配置:-A INPUT -p tcp --dport 1990 -j ACCEPT -A INPUT
iptables规则基本chain
07-13
基本iptables规则可以分为以下几个部分: 1. 链(Chain):链是规则的容器,它指定了要执行规则的位置。常见的链包括INPUT(用于处理进入系统的数据包)、OUTPUT(用于处理从系统发出的数据包)和FORWARD(用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值