iptables入门操作

最新推荐文章于 2024-06-13 22:50:39 发布
最新推荐文章于 2024-06-13 22:50:39 发布
阅读量358 收藏
点赞数
分类专栏: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liang_operations/article/details/83653711
版权

文章目录

一、iptables的增删查改

1.查

[root@mysql ~]# iptables -t filter -L -nv --line-numbers
Chain INPUT (policy ACCEPT 40 packets, 3056 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all – * * 10.0.0.66 0.0.0.0/0
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 30 packets, 3592 bytes)
num pkts bytes target prot opt in out source destination

-t 指定表
-L 查看-t指定表的规则
-v 显示详细信息
pkts:规则匹配到的报文个个数
bytes:报文包的大小总和
target: 动作
prot:协议
opt:规则的选项
in:表示数据包从哪个接口(网卡)流入
out:表示数据包从哪个接口(网卡)流出
source:规则的源地址
destination:规则的目标地址
policy ACCEPT:默认规则的策略,表示默认动作的ACCEPT
-n 不对IP地址进行反解
–line-numbers 显示规则序号

2.增

[root@mysql ~]# iptables -t filter -A INPUT -s 10.0.0.66 -j DROP

[root@mysql ~]# iptables -t filter -L -nv --line-numbers
Chain INPUT (policy ACCEPT 6 packets, 396 bytes)
num pkts bytes target prot opt in out source destination
1 0 0 ACCEPT all – * * 10.0.0.66 0.0.0.0/0
2 0 0 DROP all – * * 10.0.0.66 0.0.0.0/0

-A 追加
-I 为第一行插入,可以 -I INPUT 2表示在第二行插入
-s 源地址,表示匹配来自10.0.0.66的报文
-j 动作,DROP为丢弃,REJECT拒绝,ACCEPT允许
注:如果报文被前面的规则匹配到了,则会被执行对应的动作,及时后面也能匹配到当前的报文,也没有机会再对报文执行相应的动作了。如上两条规则,第一条是允许,第二条是拒绝,当匹配的第一条允许后就不会再匹配拒绝了。

3.删

方法1;根据规则的编码删除

[root@mysql ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all – 10.0.0.66 anywhere
2 DROP all – 10.0.0.66 anywhere
[root@mysql ~]# iptables -t filter -D INPUT 2
[root@mysql ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all – 10.0.0.66 anywhere

-D 删除
方法2:根据匹配条件与动作删除

[root@mysql ~]# iptables -t filter -D INPUT -s 10.0.0.66 -j ACCEPT
[root@mysql ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination

方法3:删除所有规则

[root@mysql ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all – 10.0.0.66 anywhere
2 ACCEPT all – 10.0.0.88 anywhere
3 ACCEPT all – 10.0.0.99 anywhere
Chain FORWARD (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

[root@mysql ~]# iptables -t filter -F

[root@mysql ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination

-F flush,冲刷指定的链

4.改

修改表规则

[root@mysql ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all – 10.0.0.66 anywhere

[root@mysql ~]# iptables -t filter -R INPUT 1 -s 10.0.0.66 -j DROP

[root@mysql ~]# iptables -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 DROP all – 10.0.0.66 anywhere

修改默认策略

[root@mysql ~]# iptables -L
Chain FORWARD (policy ACCEPT)
[root@mysql ~]# iptables -t filter -P FORWARD DROP
Chain FORWARD (policy DROP)

5.保存规则

在默认情况下,我们队防火墙的修改都是临时的,当重启iptables时,所做的修改就会失效。
为了防止这种情况发生,我们需要将规则保存
方法1:

[root@mysql ~]# service iptables save
iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ]

方法2:

[root@mysql ~]# iptables-save>/etc/sysconfig/iptables
重载规则
[root@mysql ~]# iptables-restore </etc/sysconfig/iptables

二、匹配更多条件

1.源地址与目标地址

匹配多个源地址

[root@mysql ~]# iptables -t filter -F INPUT
[root@mysql ~]# iptables -t filter -A INPUT -s 10.0.0.66,10.0.0.88 -j ACCEPT
[root@mysql ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all – 10.0.0.66 anywhere
ACCEPT all – 10.0.0.88 anywhere

匹配一个网段

[root@mysql ~]# iptables -t filter -I INPUT -s 10.0.0.0/24 -j DROP

取反

[root@mysql ~]# iptables -t filter -A INPUT -s ! 10.0.0.66 -j ACCEPT
注:这条规则的意思是只要不是10.0.0.66的报文都允许,但是不代表10.0.0.66的报文就会被拒绝,因为没有指定对.66的执行的动作。
目标地址
源地址表示报文从哪里来,目标地址表示报文到哪去
目标地址也可以使用取反,逗号隔IP,网段。
[root@mysql ~]# ifconfig |grep 10.0.|grep -v coll
inet addr:10.0.0.132 Bcast:10.0.0.255 Mask:255.255.255.0
inet addr:10.0.0.133 Bcast:10.0.0.255 Mask:255.255.255.0
丢弃10.0.0.66报文通过本机的10.0.0.33
[root@mysql ~]# iptables -t filter -F
[root@mysql ~]# iptables -t filter -A INPUT -s 10.0.0.66 -d 10.0.0.133 -j DROP
[root@mysql ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all – 10.0.0.66 10.0.0.133
[root@liang ~]# ping -c 2 10.0.0.133
PING 10.0.0.133 (10.0.0.133) 56(84) bytes of data.
— 10.0.0.133 ping statistics —
2 packets transmitted, 0 received, 100% packet loss, time 999ms
[root@liang ~]# ping -c 2 10.0.0.132
PING 10.0.0.132 (10.0.0.132) 56(84) bytes of data.
64 bytes from 10.0.0.132: icmp_seq=1 ttl=64 time=0.833 ms
64 bytes from 10.0.0.132: icmp_seq=2 ttl=64 time=0.480 ms
— 10.0.0.132 ping statistics —
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 0.480/0.656/0.833/0.178 ms

2.协议类型

丢弃10.0.0.66报文通过本机的10.0.0.33的tcp类型请求

[root@liang ~]# iptables -F INPUT
[root@liang ~]# iptables -A INPUT -s 10.0.0.66 -d 10.0.0.133 -p tcp -j REJACE
[root@liang ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP tcp – 10.0.0.66 10.0.0.133
[root@liang ~]# ssh 10.0.0.133
ssh: connect to host 10.0.0.133 port 22: Connection refused
[root@liang ~]# ping -c 2 10.0.0.133
PING 10.0.0.133 (10.0.0.133) 56(84) bytes of data.
64 bytes from 10.0.0.133: icmp_seq=1 ttl=64 time=0.476 ms
64 bytes from 10.0.0.133: icmp_seq=2 ttl=64 time=0.481 ms

-p 指定协议,不使用则所有协议类型都会匹配。centos6支持
centos6支持tcp,udp,udplite,icmp,esp,ah,sctp;centos7支持tcp,udp,udplite,icmp,esp,ah,sctp,icmpv6,mh

3.网卡接口

当本机有多个网卡时

[root@liangl ~]# ifconfig |grep eth
eth0 Link encap:Ethernet HWaddr 00:0C:29:28:84:39
eth1 Link encap:Ethernet HWaddr 00:0C:29:28:84:43

拒绝eth1网卡的报文流入

[root@mysql ~]# iptables -F INPUT
[root@mysql ~]# iptables -I INPUT -i eth1 -p icmp -j REJECT
eth1的网卡是源主机的网卡

4.扩展匹配条件

  • 匹配条件分为扩展匹配条件与基本匹配条件,基本匹配条件我们可以直接使用,而扩展匹配条件则需要依赖一些扩展模块,或者说在使用扩展匹配条件之前,需要指定相应的模块。

4.1源端口与目标端口

源端口 --sport
目标端口 --dport
可以使用感叹号取反,端口范围使用冒号22:55,:22表示0到22,22:表示22到65535
–dports 指定多个端口 22,23,24或者22,80: 不过需要指定扩展模块-m multiport
拒绝10.0.0.66连接本机的22端口

[root@mysql ~]# iptables -F INPUT
[root@mysql ~]# iptables -A INPUT -s 10.0.0.66 -p tcp -m tcp --dport 22 -j REJECT
[root@mysql ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp – 10.0.0.66 anywhere tcp dpt:ssh reject-with icmp-port-unreachable
[root@liang ~]# ssh 10.0.0.132
ssh: connect to host 10.0.0.132 port 22: Connection refused

–dport属于扩展匹配条件,指定匹配报文的目标端口,而在使用–dport之前,使用-m来指定扩展模块为tcp,也就是说如果想使用–dport这个扩展匹配条件则必须依靠tcp扩展模块来完成。
当使用-p选项指定报文协议时,不指定-m,默认会使用与报文协议名称相同的扩展模块。也就是说这条规则指定了-p tcp后可以不指定-m tcp。

4.2源地址与目标地址

-m iprange 指定一段连续的IP范围
–src-range 源地址范围
–det-range 目标地址范围

[root@liang ~]# iptables -A INPUT -m iprange --src-range 10.0.0.66-10.0.0.77 -j DROP
[root@liang ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all – anywhere anywhere source IP range 10.0.0.66-10.0.0.77

4.3string模块

拒绝带有字符串”aaa“的报文进入本机。

[root@liang ~]# iptables -A INPUT -m string --algo bm --string “aaa” -j REJECT
[root@liang ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT all – anywhere anywhere STRING match “aaa” ALGO name bm TO 65535
–algo bm 指定匹配算法
–string 要匹配的字符

4.4time模块

禁止本机每天09到10点访问80端口

[root@mysql ~]# iptables -R OUTPUT 1 -p tcp --dport 80 -m time --timestart 09:00:00 --timestop 10:00:00 -j REJECT
[root@mysql ~]# iptables -L
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp – anywhere anywhere tcp dpt:http TIME from 09:00:00 to 10:00:00 reject-with icmp-port-unreachable

禁止本机周六周日访问80端口

[root@mysql ~]# iptables -R OUTPUT 1 -p tcp --dport 80 -m time --weekdays 6,7 -j REJECT
[root@mysql ~]# iptables -L
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp – anywhere anywhere tcp dpt:http TIME on Sat,Sun reject-with icmp-port-unreachable

禁止本机每月10号与11号访问80端口

root@mysql ~]# iptables -R OUTPUT 1 -p tcp --dport 80 -m time --monthdays 10,11 -j REJECT
[root@mysql ~]# iptables -L
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp – anywhere anywhere tcp dpt:http TIME on 10th,11st reject-with icmp-port-unreachable

4.5state状态扩展模块

state的五个状态
NEW:新连接的第一个包。
ESTABLISHED:NEW后的状态,表示已建立连接
RELATED:启动新连接,但有旧的连接与新的连接相关联。
INVALID:没法被识别的包或无状态的包
UNTRACKED:表示为被追踪的报文
只允许本机连接其他机器,不允许其他机器主动连接。

[root@mysql ~]# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@mysql ~]# iptables -A INPUT -j REJECT
[root@mysql ~]# ssh 10.0.0.66
root@10.0.0.66’s password:
Last login: Tue Oct 23 03:38:07 2018 from 10.0.0.1
[root@liang ~]# ssh 10.0.0.132
ssh: connect to host 10.0.0.132 port 22: Connection refused

笔记来源 http://www.zsythink.net/archives/category/运维相关/防火墙/

聪明勇敢有力气...
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Iptables入门
run
08-22 910
IPTABLES入门防火墙是什么?防火墙是通过制定一些有顺序的规则,用来管理进入到特定网络范围内数据封包的一种机制。防火墙从实现方法可以分为硬件防火墙和软件防火墙。硬件防火墙 是由厂商设计好的硬件设备,能够在硬件层面上实现解包封包,但离不开软件的辅助。而软件防火墙 由纯软件逻辑实现。本文所论述的防火墙是由内核空间的 netfilter 来读取,并实现让防火墙工作,而放进的地方必须要是特定的位置,
零基础入门 iptables
02-17 608
Iptables作为linux的一个服务,可以提供数据包过滤、网络地址转换(nat)、数据包内容修改等功能。但是其实准确的来说,这些功能并不是iptables本身实现的,而位于linux内...
iptables匹配string
redwingz的博客
05-15 3181
string匹配帮助信息如下。其中模式匹配算法可指定bm(Boyer-Moore)或者kmp(Knuth-Pratt-Morris)。选项icase表示在匹配时忽略大小写。 # iptables -m string -h string match options: --from Offset to start searching from --to Offset to stop searching --algo
Linux命令02 - - iptables 防火墙策略管理工具
szb521的博客
08-19 1070
Linux命令03 - - iptables 防火墙策略管理工具
iptables教程
最新发布
06-13 1822
如果一个数据包没有匹配到一个链中的任何一个规则,那么将对该数据包执行这个链的默认策略(default policy),默认策略可以是 ACCEPT 或 DROP。链中默认策略的存在使得我们在设计防火墙时可以有两种选择:设置默认策略 DROP 所有的数据包,然后添加规则接受(ACCEPT)来自可信 IP 地址的数据包,或访问我们的服务监听的端口的数据包,比如 bittorrent、FTP 服务器、Web 服务器、Samba 文件服务器等等。
iptables 命令介绍
weixin_33964094的博客
04-19 1266
原文链接 iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单。 首先介绍iptables的结构:iptables -&gt; Tables -&...
Android 通过adb禁止某个应用上网
热门推荐
ytuglt的博客
02-27 1万+
#通过包名查找应用的uid ➜ apk adb shell cat /data/system/packages.xml | grep com.xzh.hbls <package name="com.xzh.hbls" codePath="/data/app/com.xzh.hbls-htP4fJSjJ2QQGmIifZ6xpA==" nativeLibraryPath="/data/app/com.xzh.hbls-htP4fJSjJ2QQGmIifZ6xpA==/lib" publicFl
iptables的使用规则
大宇进阶之路的博客
08-24 556
-t 表名]:该规则所操作的哪个表,可以使用filter、nat等,如果没有指定则默认为filter。[规则编号]:插入、删除、替换规则时用,--line-numbers显示号码。-D:从规则链中删除一条规则,要么输入完整的规则,或者指定规则编号加以删除。-I:插入一条规则,原本该位置上的规则会往后顺序移动,没有指定编号则为1。[--dport目标端口号]:数据包的IP的目标端口号。[--sport 源端口号]:数据包的IP的源端口号。-nL:-L、-n,查看当前运行的防火墙规则列表。
Linux防火墙iptables入门教程
09-15
Iptables是专为Linux操作系统打造的极其灵活的防火墙工具。对Linux极客玩家和系统管理员来说,iptables非常有用。本文将向你展示如何配置最通用的Linux防火墙
Unix类操作系统入门
09-16
Unix类操作系统入门 在计算机世界中,Unix类操作系统占据着非常重要的地位,特别是在服务器市场上。由于Unix操作系统的稳定性、可靠性和安全性,它们广泛应用于各种Internet服务的计算机运行中。因此,Unix类操作...
Linux入门教程之Linux的基本操作-综合文档
05-22
Linux是世界上最受欢迎的开源操作系统之一,它为个人用户、企业乃至科研机构提供了强大的服务器和开发环境。本教程将深入浅出地介绍Linux...这份"Linux入门教程之Linux的基本操作"将引导你逐步踏入这个充满魅力的世界。
rust-iptables:iptables的Rust绑定
05-07
[ dependencies ]iptables = " 0.4 "入门1-导入板条箱iptables操作链: let ipt = iptables :: new ( false ). unwrap ();assert! (ipt. new_chain ( "nat" , "NEWCHAINNAME" ). is_ok ());assert! (ipt. append ...
String Matching 字符串匹配算法——干货从头放到尾
芝麻挞
02-25 1244
写这篇技术博客的动机是因为做 Leetcode “Implement strStr” 一题学会了KMP算法,觉得这个第一次学还挺绕的就想记录一下解题思路,不过后来又补充了好多好多前前后后关于字符串匹配的算法知识,这篇文章就变成了...
String对象的match方法
Arrogant_ant的博客
03-12 7405
String对象的match方法 RegExp对象的exec方法和String对象的match方法用法十分相似。 定义与语法 【定义】 match() 方法可在字符串内检索指定的值,或找到一个或多个正则表达式的匹配。 【语法】 stringObject.match(searchvalue) stringObject.match(regexp) 【返回值】存放匹配结果的数组。 以下分3种情况讲解: ...
iptables的 status状态
opkg list
03-25 2151
这几天遇到一个问题,iptablesINPUT已经禁止wan口的所有端口,并且没有放开1701端口,为啥vpn拨号还能成功? 本文比较浅显,只是记录下问题过程。 1.首先理解下iptables的四种状态 NEW状态:与协议无关,每一条连接中的第一个数据包。 ESTABLISHED状态:当在使用tcp,udp协议时,假使主机发的第一个包成功传过防火墙,那么接下来主机发出和接收到的包的...
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 2820
iptables防火墙详解
linux iptables
u013015301的博客
07-12 3407
一、iptables基础 ①规则(rules):网络管理员预定义的条件 ②链(chains): 是数据包传播的路径 ③表(tables):内置3个表filter表,nat表,mangle表分别用于实现包过滤网络地址转换和包重构的功能 ④filter表是系统默认的,INPUT表(进入的包),FORWORD(转发的包),OUTPUT(处理本地生成的包),filter表只能对包进行授受和丢弃的操作。 ⑤...
查看防火墙状态service iptables status报错
weixin_40750633的博客
02-28 3543
查看防火墙状态service iptables status iptables.service找不到! 安装源 yum install iptables-services 再次查看防火墙状态
linux防火墙查看状态firewall、iptable
gong_wejoy的专栏
06-22 1460
linux防火墙查看状态firewall、iptable
Iptables入门与深入解析
他提供了具体的编译与安装步骤,例如在Red Hat 7.1操作系统上的安装方法,确保读者能够顺利在自己的系统上启用iptables功能。 接下来,章节详细讲解了iptables的三个核心表:mangle表,nat表,以及filter表。每个表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值