linux iptables 命令

最新推荐文章于 2024-07-29 09:01:02 发布
最新推荐文章于 2024-07-29 09:01:02 发布
阅读量596 收藏 6
点赞数 1
分类专栏: Linux命令 文章标签: iptables iptables 命令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqy971966/article/details/112235629
版权

linux iptables 命令

1. iptables 定义

iptables 防火墙可以用于创建过滤(filter)与NAT规则,有效地管理Linux防火墙

1.1 iptables 的结构:表->链->规则

iptables的结构:iptables -> Tables -> Chains -> Rules.
简单地讲, tables 由chains组成,而chains又由rules组成。

iptables 的四种内建表
iptables 具有Filter, NAT, Mangle, Raw四种内建表:

raw:高级功能,如:网址过滤。
mangle:数据包修改(QOS),用于实现服务质量。
net:地址转换,用于网关路由器。
filter:包过滤,用于防火墙规则。

1.1.1 Filter 表

Filter 表示iptables的默认表,因此如果你没有自定义表,那么就默认使用filter表,它具有以下三种内建链:

iptables -t filter –list 

INPUT 链 – 处理来自外部的数据。
OUTPUT 链 – 处理向外发送的数据。
FORWARD 链 – 将数据转发到本机的其他网卡设备上。

1.1.2 NAT表 Mangle表 Raw表

查看mangle表:
# iptables -t mangle –list

查看NAT表:
# iptables -t nat –list

查看RAW表:
# iptables -t raw –list

参考:
https://blog.csdn.net/u011537073/article/details/82685586

1.2 iptables 规则(Rules)

规则链名包括:

INPUT链:处理输入数据包。
OUTPUT链:处理输出数据包。
PORWARD链:处理转发数据包。
PREROUTING链:用于目标地址转换(DNAT)。
POSTOUTING链:用于源地址转换(SNAT)。

牢记以下三点式理解iptables规则的关键:

Rules包括一个条件和一个目标(target)
如果满足条件,就执行目标(target)中的规则或者特定值。
如果不满足条件,就判断下一条Rules。

1.2.1 动作

ACCEPT :允许防火墙接收数据包
DROP :防火墙丢弃包
REDIRECT :重定向、映射、透明代理。
SNAT :源地址转换。
DNAT :目标地址转换。
MASQUERADE :IP伪装(NAT),用于ADSL。
LOG :日志记录。

2. iptables 使用语法

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] 
		<-i/o 网卡名> 
		-p 协议名 
		<-s 源IP/源子网> 
		--sport 源端口 <-d 目标IP/目标子网> 
		--dport 目标端口 
		-j 动作


iptables -[ACD] chain rule-specification [options]
	-A 在规则链的末尾加入新规则/检查/删除 规则
iptables -I chain [rulenum] rule-specification [options]
	在规则链的头部加入新规则
iptables -R chain rulenum rule-specification [options]
	替换
iptables -D chain rulenum [options]
	删除指定规则
iptables -[LS] [chain [rulenum]] [options]
	显示打印
iptables -[FZ] [chain] [options]
	Zero counters in chain or all chains
	清空所有iptables规则
	慎用!!!
	重启可恢复原样
iptables -[NX] chain
	删除用户定义链
iptables -E old-chain-name new-chain-name
	更改链名称
iptables -P chain target [options]
	更改策略
iptables -h (print this help information)
	帮助信息

2.1 iptables 命令

来自 iptables -h

-I:insert 向规则链中插入条目;
	insert in chain as rulenum (default 1=first)
-D:delete 从规则链中删除条目
	delete chain rulenum 
-L:list 显示规则链中已有的条目
	list the rules in a chain or all chains
-A:增加 
-R:替换

2.1.1 iptables 选项

-j: jump 执行目标(jump to target)
	可能的值是 ACCEPT, DROP, QUEUE, RETURN,MASQUERADE
-n: numeric 以数字输出地址和端口
-s 匹配来源地址IP/MASK,加叹号"!"表示除这个IP外。
-d 匹配目标地址
-i 网卡名称 匹配从这块网卡流入的数据
	例如:-i eth0指定了要处理经由eth0进入的数据包
	如果不指定-i参数,那么将处理进入所有接口的数据包
-o 网卡名称 匹配从这块网卡流出的数据
-p 匹配协议,如tcp,udp,icmp
--dport num 匹配目标端口号
--sport num 匹配来源端口号

2.2 链的默认策略

链的默认政策设置为”ACCEPT”(接受),若要将INPUT,FORWARD,OUTPUT链设置成”DROP”(拒绝),命令如下:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

3. 例子说明

3.1 插入一条规则,丢弃此ip 的所有协议请求: -I INPUT

能ping自己
[root@localhost sock]# ping 192.88.8.114
PING 192.88.8.114 (192.88.8.114) 56(84) bytes of data.
64 bytes from 192.88.8.114: icmp_seq=1 ttl=64 time=0.054 ms
64 bytes from 192.88.8.114: icmp_seq=2 ttl=64 time=0.040 ms
^C
--- 192.88.8.114 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.040/0.047/0.054/0.007 ms
[root@localhost sock]#

丢弃本地 ip 
[root@localhost sock]# iptables -I INPUT -s 192.88.8.114 -j DROP 
[root@localhost sock]# 

将所有iptables以序号标记显示
[root@localhost sock]# iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       all  --  192.88.8.114         0.0.0.0/0           
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0           
5    INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
6    INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
7    DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
8    REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

不能ping自己
[root@localhost sock]# ping 192.88.8.114
PING 192.88.8.114 (192.88.8.114) 56(84) bytes of data.
^C
--- 192.88.8.114 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

[root@localhost sock]#

扩展:封整个网段

iptables -I INPUT -s 123.0.0.0/8 -j DROP      #封整个段即从123.0.0.1到123.255.255.254的

3.2 将所有iptables以序号标记显示: -L -n --line-numbers

如果不指定 -t选项,就只会显示默认的 filter表。因此,以下两种命令形式是一个意思:

# iptables -t filter –list 
(or) 
# iptables –list


[root@localhost sock]# iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       all  --  192.88.8.114         0.0.0.0/0           
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0           
5    INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
6    INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
7    DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
8    REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibit

3.2 删除指定规则: -D INPUT

[root@localhost sock]# iptables -D INPUT 1
[root@localhost sock]#
[root@localhost sock]# iptables -L -n --line-numbers
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            ctstate RELATED,ESTABLISHED
2    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
3    INPUT_direct  all  --  0.0.0.0/0            0.0.0.0/0           
4    INPUT_ZONES_SOURCE  all  --  0.0.0.0/0            0.0.0.0/0           
5    INPUT_ZONES  all  --  0.0.0.0/0            0.0.0.0/0           
6    DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
7    REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

[root@localhost sock]# ping 192.88.8.114
PING 192.88.8.114 (192.88.8.114) 56(84) bytes of data.
64 bytes from 192.88.8.114: icmp_seq=1 ttl=64 time=0.059 ms
^C
--- 192.88.8.114 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.059/0.059/0.059/0.000 ms
[root@localhost sock]#

3.3 清空所有iptables规则: iptables -F (iptables –flush )

清空所有iptables规则 慎用!!!
重启可恢复原样
防火墙关闭清空,端口任意连接
本机执行 iptables -F 之后

[root@localhost sock]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         

Chain FORWARD (policy DROP)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

3.4 允许外部主机ping内部主机

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

3.5 允许回环访问

例:在服务器上允许127.0.0.1回环访问。

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

4. 永久生效–保存iptables更改

当你删除、添加规则后,这些更改并不能永久生效,这些规则很有可能在系统重启后恢复原样。

CentOS下

# 保存iptables规则 
service iptables save

# 重启iptables服务
service iptables stop
service iptables start

查看当前规则:
cat  /etc/sysconfig/iptables

参考:

https://blog.csdn.net/qq_26959879/article/details/89642344
https://www.linuxprobe.com/25-iptables-common-examples.html
https://blog.csdn.net/u011537073/article/details/82685586

Hani_97
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 4394
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
Linux如何实现镜像端口
互联网
12-22 2119
在所有高端型号,大多数中端型号以及部分低端型号的交换机/路由器上,都可以配置一个或者多个镜像端口,它是流量分析的利器。然而,Linux上没有现成的技术可以实现镜像端口,当然,我指的不是Linux 3.x(x是几,忘了)以上的内核,这些内核已经支持了镜像,但不够好。起码2.6.35的内核是不能支持的,那么Linux实现的软交换机属于哪个档次呢?关键是,很多高端的网络产品也是基于Linux实现的,没有...
Linux iptables命令详解
weixin_43405004的博客
05-02 1102
iptablesLinux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。与大多数的Linux软件一样,这个包过滤防火墙是免费的。 iptables简介 *iptables基础* 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源
Iptables 应用和命令(详细介绍使用)
最新发布
L08130421的博客
07-29 1192
iptables 可以检测、修改、转发、重定向和丢弃 IPv4 数据包。过滤 IPv4 数据包的代码已经内置于内核中,并且按照不同的目的被组织成表的集合。表由一组预先定义的链组成,链包含遍历顺序规则。每一条规则包含一个谓词的潜在匹配和相应的动作(称为目标),如果谓词为真,该动作会被执行。也就是说条件匹配。
Linuxiptables命令
个人学习所用博客,记录日常学习的过程。
10-31 1049
5、在配置IPTABLES白名单时,往往会将链的默认策略设置为ACCEPT,通过在链的最后设置REJECT规则实现白名单机制,而不是将链的默认策略设置为DROP,如果将链的默认策略设置为DROP,当链中的规则被清空时,管理员的请求也将会被DROP掉。iptables:运行在用户空间的应用软件,命令行工具,通过其设置规则,来控制netfilter模块,从而实现网络数据包的管理,从而实现防火墙的配置。在没有顺序要求的情况下,不同类别的规则,被匹配次数多、匹配频率高的规则应放在前面。
Linux iptables 命令(防火墙)
mayue_web的博客
03-28 1265
Linux iptables命令详解Linuxiptables 超详细教程和使用示例iptablesLinux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。iptables 是集成在 Linux 内核中的包过滤防火墙系统。
Linux常用命令——iptables命令
AI的博客
04-21 1468
当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。为了让这些功能交替工作,我们制定出了“表”这个定义,来定义、区分各种不同的工作功能和处理方式。策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,是Linux上常用的防火墙软件,是netfilter项目的一部分。比如,我们要过滤所有TCP连接中的字符串。
【运维必备】Linux iptables命令详解
maizaozao的专栏
06-13 6697
iptables
详解Linux iptables 命令
09-15
Linux iptables命令Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
linux iptables命令详解
09-26
Linux iptablesLinux管理员用来设置IPv4数据包过滤条件和NAT的...以上是Linux iptables命令的简要介绍,如果你想深入了解iptables,可以参考引用和引用提供的详细文章,以及在Linux CentOS系统中安装iptables工具。
Linux iptables 命令详解
SunZLong的博客
01-16 804
语法: iptables (选项) (参数) iptables命令选项输入顺序: iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作 参数说明: 表名包括: r...
linux iptable 命令大全
10-15
Linux Iptables命令列表: 用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改 iptables - [RI] chain rule num rule-specification[option] 用iptables - RI 通过规则的顺序指定 iptables -D chain rule num[option] 删除指定规则 iptables -[LFZ] [chain][option] 用iptables -LFZ 链名 [选项] iptables -[NX] chain 用 -NX 指定链 iptables -P chain target[options] 指定链的默认目标 iptables -E old-chain-name new-chain-name -E 旧的链名 新的链名 用新的链名取代旧的链名 说明 Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。 TARGETS 防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。 ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
Linux必会100个命令(三十二)iptables
bigwood99的博客
03-30 1879
68.iptables iptables是管理linux防火墙安全规则的命令。 --help获得帮助信息。 格式:iptables [-t table] COMMAND chain CRETIRIA -j ACTION -t table :3个filter nat mangle COMMAND:定义如何对规则进行管理 chain:指定你接下来的规则到底是在哪个链上操作的,当定义策略的时候,是可以省略的 CRETIRIA:指定匹配标准 -j ACTION :指定如何进行处理 例1:不允许17
12-iptables配置详解
aa96179001的博客
04-23 104
linuxIPTABLES配置详解 如果你的IPTABLES基础知识还不了解,建议先去看看. 开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source...
iptables中文man文档。
weixin_34186128的博客
11-13 192
总览  用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改  iptables - [RI] chain rule num rule-specification[option]  用iptables - RI 通过规则的顺序指定  iptables -D chain rule num[option]  删除指定规则  iptables -[LFZ] ...
iptables详解
wdt3385的专栏
12-25 4920
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的
linux iptable 使用指南
windstanding的专栏
06-12 928
来自    http://www.51know.info/system_security/iptable/iptable.html   备忘~ linux iptable 使用指南 Author: 北方人 LastUpdate : 2012-03-02 12:12:02 linux系统中,防火墙(Firewall),网址转换(NAT),数据包(pack
iptables命令详解
ZBraveHeart的博客
03-22 5255
Netfilter框架在Linux内核中通过一系列的钩子(hooks)实现数据包处理的不同阶段,iptables就可以通过这些钩子来插入自定义的规则,从而实现对数据包的控制。在Linux环境下,iptables就是一款强大而灵活的防火墙工具,它为系统管理员提供了广泛的配置选项,能够有效地控制数据包的流动,实现网络访问的控制和安全性增强。这个命令将通过本机出口的TCP数据包的目标端口为80的流量转发到192.168.1.200,而不改变目标端口。它可以用于改变数据包的目标地址,源地址,目标端口或源端口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值