linux下iptables的使用

最新推荐文章于 2024-02-20 17:44:27 发布
最新推荐文章于 2024-02-20 17:44:27 发布
阅读量741 收藏 2
点赞数
分类专栏: linux运维 文章标签: linux iptables kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsl_zhulin/article/details/116194383
版权

Iptables 规则用法小结https://www.cnblogs.com/kevingrace/p/6265113.html

iptables只是Linux防火墙的管理工具;真正实现防火墙功能的是 netfilter,它是Linux内核中实现包过滤的内部结构。

Iptables采用“表”和“链”的分层结构,在Linux中现在是四张表五个链:(每个链可有N条规则)

iptables数据包报文的处理过程:

 以mangle表中的INPUT链为例:

root@sonic:/home/admin# iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

创建一个ssh-acl的规则链(vty):iptables -t mangle -N vty

root@sonic:/home/admin# iptables -t mangle -N vty
root@sonic:/home/admin# iptables -t mangle -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain vty (0 references)
target     prot opt source               destination

向规则链(vty)中添加规则:(-A 在vty链的尾行添加;-I 默认在vty链的首行添加,配合rulenum使用可以指定位置插入)

root@sonic:/home/admin# iptables -t mangle -A vty -s 192.168.15.0/24 -p tcp --dport 22 -j ACCEPT
root@sonic:/home/admin# iptables -t mangle -A vty -s 0.0.0.0/0 -p tcp --dport 22 -j DROP
root@sonic:/home/admin# iptables -t mangle -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain vty (0 references)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.15.0/24      anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh
root@sonic:/home/admin# iptables -t mangle -I vty -s 192.168.14.0/24 -p tcp --dport 22 -j ACCEPT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain vty (0 references)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.14.0/24      anywhere             tcp dpt:ssh
ACCEPT     tcp  --  192.168.15.0/24      anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh
root@sonic:/home/admin# iptables -t mangle -I vty 3 -s 192.168.16.0/24 -p tcp --dport 22 -j ACCEPT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain vty (0 references)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.14.0/24      anywhere             tcp dpt:ssh
ACCEPT     tcp  --  192.168.15.0/24      anywhere             tcp dpt:ssh
ACCEPT     tcp  --  192.168.16.0/24      anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh

将规则链(vty)添加到INPUT链:iptables -t mangle -I INPUT -g vty

root@sonic:/home/admin# iptables -t mangle -I INPUT -g vty
root@sonic:/home/admin# iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
vty        all  --  anywhere             anywhere            [goto]

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain vty (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.15.0/24      anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh

将规则链(vty)从INPUT链中摘除:iptables -t mangle -D INPUT -g vty 

root@sonic:/home/admin# iptables -t mangle -D INPUT -g vty
root@sonic:/home/admin# iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain vty (0 references)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.15.0/24      anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh

将规则链(vty)中的规则删除:iptables -t mangle -F vty

或者逐条规则删除: iptables -t mangle -D vty -s 192.168.15.0/24 -p tcp --dport 22 -j  ACCEPT

root@sonic:/home/admin# iptables -t mangle -F vty
root@sonic:/home/admin# iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain vty (0 references)
target     prot opt source               destination

删除mangle表中的规则链(vty):iptables -t mangle -X vty     

要想删除vty链,需要保证链中所有规则已经全部删除.

root@sonic:/home/admin# iptables -t mangle -X vty
root@sonic:/home/admin# iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

iptables中规则匹配的顺序:(ACL-seq)优先级高的规则先匹配

如下表所示【规则代表只有192.168.16.0/24网段的源IP才能ssh到该设备管理口】,规则表中从上至下顺序执行,如果没遇到匹配的规则,就一条一条往下执行,如果遇到匹配的规则后,就执行相应的动作(accept, drop等),规则表中后续规则不再匹配。

root@sonic:/home/admin# iptables -t mangle -I INPUT -g vty
root@sonic:/home/admin# iptables -t mangle -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
vty        all  --  anywhere             anywhere            [goto]

Chain vty (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.16.0/24      anywhere             tcp dpt:ssh #高优先级
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh #低优先级

iptables中的创建规则并指定rulenum时,必须从1开始累加赋值,删除rulenum=1的规则后,rulenum=2的规则自动升级为1,以此类推;

root@sonic:/home/admin# iptables -t mangle -I vty 1 -s 192.168.16.0/24 -p tcp --dport 22 -j ACCEPT
root@sonic:/home/admin# iptables -t mangle -I vty 2 -s 0.0.0.0/0 -p tcp --dport 22 -j DROP
root@sonic:/home/admin# iptables -t mangle -L
Chain vty (0 references)
target     prot opt source               destination
ACCEPT     tcp  --  192.168.16.0/24      anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh
root@sonic:/home/admin# iptables -t mangle -D vty 1
root@sonic:/home/admin# iptables -t mangle -L
Chain vty (0 references)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh
root@sonic:/home/admin# iptables -t mangle -D vty 2
iptables: Index of deletion too big.
root@sonic:/home/admin# iptables -t mangle -D vty 1
root@sonic:/home/admin# iptables -t mangle -L
Chain vty (0 references)
target     prot opt source               destination

 

竹林
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linuxiptables使用
02-02
介绍iptables编译,安装,启动以及iptables的工作原理,以及一些编写规则和范例
LinuxIPTABLES配置详解
01-30
如果你的IPTABLES基础知识还不了解,建议先去看看.我们来配置一个filter表的防火墙.可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.如果你在安装linux时没有选择启动防火墙,是这样的什么规则都没有.不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.[root@tp~]#iptables-F清除预设表filter中的所有规则链的规则[root@tp~]#iptables-X清除预设表filter中使用者自定链中的规则我们在来看一下什么都没有了吧,和我们在安装linux时没有启动防火
linux防火墙——iptables
最新发布
gua_da的博客
02-20 384
iptables学习
Linuxiptables配置申明.doc
11-30
Linuxiptables配置申明.doc
LinuxIPtables的配置全攻略
07-23
教程名称:LinuxIPtables的配置全攻略课程目录:【】Iptables学习笔记【】Iptables服务全攻略之实战配置【】Iptables配置指南【】iptables配置案例【】Linux Iptables配置文件【】LINUXIPtables的详细配置【】实现iptables教学视频 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
无法远程连接redis
Py.ziMing的博客
11-23 829
无法远程连接Redis数据库 问题如下: [....] Starting redis-server (via systemctl): redis-server.serviceJob for redis-server.service failed because a timeout was exceeded. See "systemctl status redis-server.service" a...
iptables防火墙
weixin_56669056的博客
06-15 872
Linux包过滤防火墙概述 netfilter 位于Linux内核中的包过滤功能体系 称为Linux防火墙的“内核态” iptables 位于/sbin/iptables,用来管理防火墙规则的工具 称为Linux防火墙的“用户态” 包过滤的工作层次 主要是网络层,针对IP数据包 体现在对包内的IP地址、端口等信息的处理上 iptables的表、链接构 规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机 默认包括5种规则链 INPUT:处理入站数据包
docker、iptables、centos7多个虚拟网卡,网卡容器之间无法通信
Zq
08-06 1056
docker 会创建一定的隔离策略使用的是iptables;包括-p的映射也是通过iptables策略完成的。 今天服务器的两个容器(不同网卡,不同网段)无法正常通信。但是网关有ping的通 执行iptables -nvL 看到下图信息 # 删除,阻止两个不同网段的容器之间ping的规则 # 这个命令多执行几次; [root@localhost ~]# iptables -D DOCKER-ISOLATION-STAGE-1 iptables: Bad rule (does ...
防火墙开放相应端口 3306 开启方式 和 iptables: Index of insertion too big. 和 Unknown operationiptables
热门推荐
huaishitou的专栏
05-20 1万+
3306 开启方式 通过以下命令查询,3306端口,竟然返回空的,3306端口没有开启 netstat -an|grep 3306 然后就使用以下命令 iptables -I INPUT 4 -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 来开启3306,但是显示以下错误 iptables: Index of insertion too big. 是什么原因呢? 还有什么方法可以开启3306的端口吗? 需要做远程链接
ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule
lightserver.cn
06-30 381
使用命令 docker-compose up 出现以下错误 ERROR: Failed to Setup IP tables: Unable to enable SKIP DNAT rule: (iptables failed: iptables --wait -t nat -I DOCKER -i br-99d4a76aae8f -j RETURN: iptables: Index of insertion too big. (exit status 1)) 原因:关闭防火墙后,docker
防火墙服务例题
m0_56153480的博客
10-25 167
服务端开启firewalld或者iptables服务,客户端可以通过http://ip/访问到的页面信息为hello,world;客户端可以通过端口2000访问服务器的ssh服务 关闭防火墙和selinux: [root@143 html]# systemctl stop firewalld [root@143 html]# setenforce 0 装包: [root@143 ~]# yum install httpd -y 输入内容: [root@143 ~]# cd /var/www/html/ [
linuxiptables手册
01-18
iptables手册
禁止某个app联网
snailuncle2的博客
04-23 3034
//作者: 家 QQ203118908 //本来打算用iptables-restore用文件形式更新防火墙规则, //可是iptables-restore出现了bug,2013年就有人提过这个bug //https://linux.debian.bugs.dist.narkive.com/J0hbJiR6/bug-710379-xtables-addons-common-quota2-module-iptables-save-creates-invalid-record //又得改,坑爹 //马丹,
rancher问题
zyzn1425077119的博客
07-17 1225
1  rancher下liferay服务 采用 应用公开主机端口8080冲突 由于rancherzhan占用8080端口,而liferay启动后,则会与rancher冲突,此之后无法访问rancher。 解决方案:  获取liferay容器IP: (1)docker inspect  容器ID| grep IPAddress  (2)查看8080端口的规则  iptables -t n...
linux iptables:安全应用,防火墙
weixin_33847182的博客
02-18 152
iptables:安全应用,防火墙 windows和linux都有防火墙,企业的边缘会部署防火墙保证企业内部的局域网是安全的。针对个人电脑会有防火墙保证系统是安全的。 防火墙是唯一通道。 防火墙分类(这里的分类只是一个简单的分类,还有很多种): 1.包过滤防火墙,速度快,但是只检查包头,不检查数据区,不建立连接状态表,安全性能低。 2.应用代理防火墙。安全高,性能高。只检查包头,不检查数...
2-7-配置iptables防火墙增加服务器安全
weixin_30346033的博客
05-16 208
本节所讲内容: • iptables常见概念 • iptables服务器安装及相关配置文件 • 实战:iptables使用方法 • 例1:使用iptables防火墙保护公司web服务器 • 例2:使用iptables搭建路由器,通过SNAT使用内网机器上网 • 例3:限制某些IP地址访问服务器...
iptables的mangle表
IOsetting的专栏
02-13 2354
mangle表的主要功能是根据规则修改数据包的一些标志位,以便其他规则或程序可以利用这种标志对数据包进行过滤或策略路由。 使用策略路由 对应的场景, 都是有多个网口, 常见的使用步骤 1. 创建路由表 Create new routing table 编辑 /etc/iproute2/rt_tables , 添加 [ID of your Table] [Name of your table] 使...
linux iptables停在载入额外iptables 模块,linux iptables模块中的Bug
weixin_39880490的博客
05-13 144
玩蛇网推荐图文教程:python 列表linux iptables模块中的Bug:BUGSBugs? What's this? ;-) Well, you might want to have a look at http://bugzilla.netfilter.org/OK,我去netfilter的bug站点...唉,这帮人啊!我相信很多人都遇到过iptables规则无法删除的问题,比如我使...
SVN服务端搭建
qq_39414590的博客
08-22 187
1. 进出到svn 目录 2. svnadmin create your_project 3. cd your_project/conf 4. 编辑其中的三个文件 authz passwd svnserve.conf authz (添加用户权限) passwd (添加用户账号密码) svnserve.conf (svn 配置) 5. svnserve -d --list...
linux 使用iptables 添加端口
06-07
要在 Linux使用 iptables 添加端口,可以使用以下命令: 1. 首先,打开终端并以 root 用户身份登录。 2. 然后,使用以下命令打开 iptables 配置文件: ``` sudo nano /etc/sysconfig/iptables ``` 3. 在文件的开头添加以下代码来定义要打开的端口和协议: ``` -A INPUT -p tcp --dport [端口号] -j ACCEPT ``` 其中,[端口号] 是你要打开的端口号。 4. 保存并关闭文件。 5. 最后,重新加载 iptables 配置以使更改生效: ``` sudo service iptables restart ``` 这样就可以添加端口并允许来自该端口的传入连接。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值