iptables使用详解

已于 2024-01-24 10:19:56 修改
阅读量298 收藏 3
点赞数 3
分类专栏: Linux 文章标签: linux
于 2024-01-22 15:08:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liulanba/article/details/135748676
版权

iptables 是 Linux 系统上用于配置 IPv4 数据包过滤规则的工具。它可以用于设置和管理防火墙规则,网络地址转换(NAT),网络地址端口转换(PAT)等。iptables 是 Linux 内核中 Netfilter 框架的一部分。

以下是 iptables 的一些基本概念和常见用法:

基本概念

表(Table): iptables 使用不同的表来组织规则,包括 filter、nat、mangle、raw 等。
链(Chain): 每个表包含一组链,如 INPUT、OUTPUT、FORWARD 等,用于指定规则应用于输入、输出、转发等数据包。
规则(Rule): 规则是由匹配条件和相应的动作组成的。如果数据包满足规则中定义的匹配条件,将执行规则中定义的动作。

常用命令和选项

查看规则:

iptables -L  # 列出所有规则
iptables -L -n -v  # 列出规则,显示 IP 地址和详细信息

清除规则:

iptables -F  # 清除所有规则

添加规则:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许 SSH 连接

删除规则:

iptables -D INPUT -p tcp --dport 22 -j ACCEPT  # 删除指定规则

保存规则:

service iptables save  # 保存规则到配置文件
service iptables restart  # 重新加载规则

规则示例

允许所有本地流量:

iptables -A INPUT -i lo -j ACCEPT

允许已建立的连接:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

允许SSH连接:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

允许HTTP连接:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

拒绝所有其他连接:

iptables -A INPUT -j DROP

NAT(网络地址转换)

iptables 还可以用于配置网络地址转换,允许在不同网络之间转发数据包。

开启IP转发:

sysctl -w net.ipv4.ip_forward=1

配置端口转发:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80

连接跟踪和状态

iptables 具有连接跟踪和状态机制,用于跟踪网络连接的状态,这在设置规则时非常有用。

查看连接跟踪信息:

cat /proc/net/nf_conntrack

允许相关和已建立的连接:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

高级匹配条件和匹配模块

iptables 提供了多种匹配条件和匹配模块,可以根据需要使用。例如:

匹配源和目标 IP 地址:

iptables -A INPUT -s 192.168.1.0/24 -d 192.168.1.2 -j ACCEPT

使用 --protocol 选项匹配协议:

iptables -A INPUT --protocol tcp --dport 22 -j ACCEPT

使用 --mac-source 匹配源 MAC 地址:

iptables -A INPUT --protocol tcp --dport 80 --mac-source 00:11:22:33:44:55 -j ACCEPT

防止DDoS攻击

使用 iptables 可以实施一些策略来减缓或阻止 DDoS(分布式拒绝服务)攻击。

限制连接数:

iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 50 -j DROP

限制请求速率:

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

这些规则可以帮助减轻来自大量请求的负载,并提高系统对恶意攻击的抵抗力。

注意事项:
在配置 iptables 规则时,确保不要阻断自己的远程连接,以防远程连接被中断。

在生产环境中修改 iptables 规则时要谨慎,可以在测试环境中进行验证。

在某些发行版上,防火墙规则的配置文件可能位于 /etc/sysconfig/iptables 或 /etc/iptables/rules.v4。

使用 iptables-save 命令可以将当前规则保存到文件,使用 iptables-restore 命令可以从文件加载规则。

liulanba
关注
专栏目录
iptables 使用详解
qq_14932665的博客
09-16 373
iptables -L -n 查看本机关于IPTABLES的设置情况 参考
iptables 的用法
09-11
iptables的用法,linux上。 关于他的详细介绍
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
Iptables 应用和命令(详细介绍使用
L08130421的博客
07-29 1407
iptables 可以检测、修改、转发、重定向和丢弃 IPv4 数据包。过滤 IPv4 数据包的代码已经内置于内核中,并且按照不同的目的被组织成表的集合。表由一组预先定义的链组成,链包含遍历顺序规则。每一条规则包含一个谓词的潜在匹配和相应的动作(称为目标),如果谓词为真,该动作会被执行。也就是说条件匹配。
iptables的用法
weixin_43908020的博客
06-16 2492
Linux 防火墙分为应用层防火墙和包过滤防火墙,iptables防火墙属于包过滤防火墙,底层使用的是 Linux 内核 netfilter,性能优秀。 iptables的结构da zh
iptables基本用法
翔云
03-30 1030
iptables是一个很好用的数据包过滤工具,可以针对host,port等进行数据包拦截等操作。 本文主要介绍iptables的两个操作:drop和reject. 1.drop drop顾名思义,就是丢包,不回复任何数据。 设置策略: iptables -A OUTPUT -p tcp --dport 3306 -d 192.168.0.101 -j DROP 查看策略: [root@local...
iptables详细讲解及用法
wyf_wyf_001的博客
05-26 1878
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
linuxiptables的用法
wuhengwudi的专栏
03-12 2107
iptables由表和链组成: 4条链分别是INPUT、OUTPUT、PREROUTING和POSTROUTING。 1.INPUT:针对那些目的地址是本地的包 2.OUTPUT:改变本地产生的包的目的地址 3.PREROUTING:在包刚刚到达时改变目的地址 4.POSTROUTING:在包最后离开前改变包的源地址,(一般此链作用在最后) 三个表分别是nat表、filter表和m
iptables 使用指南
08-19
iptables 使用指南 内容比较详细
iptables使用方法
xiaokea
08-17 415
借鉴了ChinaUnix博客中的一篇,写的很不错!!!
iptables 使用与简单示例
aicsswo的博客
02-25 2039
#删除fliter表中ACCOUNRT链想到了在慢慢编辑,
iptables命令使用详解
weixin_46082443的博客
04-08 1267
iptables命令使用详解 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四表五链”及“堵通策略” A.“四表”是指,iptables的功能——filter, nat, mangle, raw. filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的
iptables 使用方法
gnufre的专栏
03-24 798
一、Iptables 的表链结构 1、.默认有四个规则表 *           raw表:确定是否对数据包进行状态跟踪 *           mangle表:为数据包设置标记 *           nat表:修改数据包中的源、目标地址和端口 *           filter表:确定是否对该数据包放行(过滤) 2、默认的5个规则链 *           INPUT链:
Iptables使用方法
sxy2475的博客
10-20 2227
Iptables使用方法 Iptables使用方法 Iptables的组成 四张表 五个链 添加规则的要点 Iptables使用 对表进行的操作 对链进行的操作 对规则进行的操作 匹配条件 基本匹配 扩展匹配 处理动作 保存规则的方法Iptables的组成 iptables由四个表和五个链以及一些规则组成 四张表四张表及其功能简介 表名 功能 filter表 过滤规则表,根据预定
iptables用法详解(1)
后来者居上
07-22 362
总览用iptables -ADC 来指定链的规则,-A添加-D删除-C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rul
iptables命令 详解
最新发布
08-27
1. **链(Chains)**:iptables 分为几个不同的处理链,如 `INPUT`(接收数据包)、`OUTPUT`(发送数据包)、`FORWARD`(转发数据包),以及一些内部使用的链。 2. **规则(Rules)**:每个链由一系列规则组成,每...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值