iptables命令

最新推荐文章于 2024-03-22 16:38:58 发布
最新推荐文章于 2024-03-22 16:38:58 发布
阅读量1.3k 收藏 12
点赞数 1
分类专栏: iptables 文章标签: 网络 服务器 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57730097/article/details/121750379
版权

#### 选项

iptables -h    获取帮助
iptables -V   显示版本信息
iptables -L    列出链详细信息,可指定链
iptables -vL    显示更详细链信息
iptables -vnL   显示更详细链信息,并以数字化显示
iptables -vnL --line-number   列出信息时,显示规则序号
iptables -F     清除所有规则,不包括默认规则,可指定链
iptables -D 链名 规则序号    删除指定规则
iptables -I 链名 规则序号   插入规则,之后的规则依次向后排序
iptables -Z     链的计数器清零
iptables -t 表名    指定配置哪个表, filter是默认表,不指明就默认
iptables -A  链名   追加到链里,附加或追加规则,默认配置的规则在最后一条,规则按次序执行。
iptables -s ip     指定源IP地址或源网段信息
iptables -d ip   指定目标IP地址或目标网段信息
iptables -i 网卡名   指定从哪个网卡接口进入的流量信息,只应用于INPUT、 FORWARD、PREROUTING链
iptables -o 网卡名  指定从哪个网卡接口出去的流量信息,只应用于 FORWARD、OUTPUT、POSTROUTING链 
iptables -p  协议    指定规则协议,包括tcp、udp、icmp
iptables -j 动作   匹配数据包后执行的动作

iptables -m    用于指定扩展模块

#### ptables -j的动作

ACCEPT  允许   

DROP 丢弃(无响应)

REJECT  拒绝(回应请求者明确的拒绝)

MASQUERADE  伪装上网使用

SNAT   共享地址上网

DNAT   目标地址改写

#### 自定义链

除了系统默认五链,还可以自定义链,实现在链下规则分类。

iptables -N 链名   添加一条新自定义链
iptables -E  链名 新名    重命名链
iptables -X  链名  删除用户自定义的链,被挂着不能删,里面有内容不能删
iptables -P  链名 策略   更改默认规则策略,ACCEPT是黑名单,只要没有拒绝的都可以连,DROP反之

iptables -I链名 位置 -s IP或网段 -j 自定义链名  将自定义链挂到默认链,否则不生效

#### 协议扩展选项

iptables -p  协议    指定规则协议,使用p选项时无需使用m指明扩展模块

tcp 协议的扩展选项
iptables -p tcp --sport  源端口    指定源端口
iptables -p tcp --dport  目标端口    指定目标端口
iptables -p tcp --syn     检查三次握手的第一次握手
iptables -p tcp --tcp-flags SYN,ACK,FIN,RST  SYN,ACK  检查三次握手的第二次握手

udp 协议的扩展选项
iptables -p udp --sport  源端口    指定源端口
iptables -p udp --dport  目标端口    指定目标端口

icmp 协议的扩展选项
iptables -p --icmp-type 8    指定请求包
iptables -p --icmp-type 0    指定应答包

#### 网络扩展选项

multiport模块精确到传输层,可以指定最多15个不连续的端口
iptables -m multiport --sports 端口,端口  指定多个不连续的源端口
iptables -m multiport --dports 端口,端口  指定多个不连续的目标端口

iprange模块精确到网络层,可以指定一个连续的ip地址范围
iptables -m iprange --src-range 地址-地址  指定连续的源ip地址范围
iptables -m iprange --dst-range 地址-地址  指定连续的目标ip地址范围

mac模块精确到了数据链路层,可以指定mac地址
iptables -m mac --mac-source mac地址  指定源mac地址

#### 报文扩展选项

string模块可以对报文中的应用层数据做字符串模式匹配检测
iptables -A OUTPUT -p tcp --sport 80 -m string --algo bm --from 62  --string   "字符串" -j REJECT    指定算法、跳过报文头、字符串
禁止用户访问,所以指定OUTPUT,算法包括bm和kmp,报文头跳过了8字节的前导信息、6字节的目标mac、6字节的源mac、上层协议的2个类型、ip和tcp分别20个固定头,共62个。

time模块可以根据将报文到达的时间与指定的时间范围进行匹配
iptables -m time --timestart 起始时分 --timestop 结束时分  指定时间段,每天
iptables -m time --timestart 起始时分 --timestop 结束时分 -- weekdays Wed,Thu   指定时间段,按周几
iptables -m time --timestart 起始时分 --timestop 结束时分 --monthdays 几号,几号       指定时间段,按每月几号

connlimit模块可以根据每客户端IP做并发连接数数量匹配
iptables -m connlimit --connlimit-upto N 连接的数量小于等于N时匹配
iptables -m connlimit --connlimit -above N 连接的数量大于N时匹配

limit模块,基于收发报文的速率做匹配 , 实现限流
iptables -m limit -- limit 10/minute --limit-burst 5  前5个不限制,之后每分钟至多过10个
/second|/minute|/hour|/day  分别代表每秒、每分钟、每小时、每天

#### 状态扩展选项

state 模块,可以根据"连接追踪机制"去检查连接的状态,较耗资源
iptables -m state --state NEW     匹配第一次连接 
iptables -m state --state ESTABLISHED   匹配第一次之后的连接
iptables -m state --state RELATED   匹配相关的连接
iptables -m state --state INVALID    匹配无效的连接
iptables -m state --state UNTRACKED    匹配未追踪的连接

cat /proc/sys/net/netfilter/nf_conntrack_max  查看连接跟踪最大数量
超过最大数量时,主机将无法被访问,解决方法:
vi /etc/sysctl.conf 
net.nf_conntrack_max = 数量 net.netfilter.nf_conntrack_max = 数量

------

七月不与
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
iptables(5)常用扩展模块iprange、string、time、connlimit、limit
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1408
之前我们已经介绍过扩展模块的简单使用,比如使用-m tcp/udp ,-m multiport参数通过--dports,--sports可以设置连续和非连续的端口范围。那么我们如何匹配其他的一些参数呢,比如源地址范围,目的地址范围,时间范围等,这就是我们这篇文章介绍的内容。
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables命令详解和举例(完整版)
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 2775
iptables防火墙详解
iptables命令详解
最新发布
ZBraveHeart的博客
03-22 3915
Netfilter框架在Linux内核中通过一系列的钩子(hooks)实现数据包处理的不同阶段,iptables就可以通过这些钩子来插入自定义的规则,从而实现对数据包的控制。在Linux环境下,iptables就是一款强大而灵活的防火墙工具,它为系统管理员提供了广泛的配置选项,能够有效地控制数据包的流动,实现网络访问的控制和安全性增强。这个命令将通过本机出口的TCP数据包的目标端口为80的流量转发到192.168.1.200,而不改变目标端口。它可以用于改变数据包的目标地址,源地址,目标端口或源端口。
Linux iptables命令详解
热门推荐
一口Linux的专栏
03-22 15万+
iptables 是 Linux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。下面良许小编就将从几个方面对于Linux iptables命令进行详述,希望对大家有所帮助。 iptables简介 iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和
详解Linux iptables 命令
09-15
Linux iptables命令是Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
iptables命令实例
08-04
iptables 命令实例 本文档主要介绍了 Linux 中的iptables 命令的实例,涵盖了 iptables 的基本用法、规则设定、端口控制、NAT 转发等方面的知识点。 一、iptables 的基本概念 iptables 是 Linux 系统中的一个...
iptables命令参数大全
05-15
1. 打开ip包转发功能  echo 1 > /proc/sys/...2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则: iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80
iptables命令整理
10-24
文档包含了iptables命令使用的一些例子,如NAT、端口重定向、访问控制等
Iptables命令大全
qq_42975225的博客
11-11 1万+
1、/etc/init.d/iptables stop #关闭iptables命令 2、iptables -nL #查看iptables详细策略信息 3、iptables -A INPUT -p tcp --dport 8080 -j ACCEPT #放通入方向的8080端口 4、iptables -A OUTPUT -p tcp --sport 8080 -j ACCEPT #放通出方向的8080端口 ...
iptables语法命令汇总
10-16
iptables语法命令汇总,包括添加、查看、删除、插入、清除语法
iptables详解
魏志标的博客
06-26 6660
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5130
本文介绍Linux的iptables命令的用法。
IPtables 扩展模块 Multiport/IPRange
小楼一夜听春雨,深巷明朝卖杏花
09-06 2148
扩展匹配是实现更加高级的功能,扩展模块,这些模块在在IP tables中非常的多,之前--deport只能添加一个端口,或者说是一个连续的端口,mutiport可以添加不连续的端口。示例∶10.0.0.10 访问本机 20、21、80、443允许通过;示例: 允许10.0.0.10访问本机的20-22、21、80、443。-p不属于扩展模块的动作,所以不能放里面。之前是基本的匹配,现在可以看看扩展匹配。
iptables命令、规则、参数详解
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables匹配connlimit限制并发连接数量
redwingz的博客
03-19 4434
以下规则将每个IP的最大并发连接数量控制在5个,使用connlimit-above或者connlimit-upto都可实现。 # iptables -I INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 5 -j DROP # # iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in
iptables--命令行解析
xiakewudi的专栏
09-01 3019
一、iptabls命令行初探:         在linux下执行iptables --help  iptables --help iptables v1.4.21 Usage: iptables -[ACD] chain rule-specification [options]        iptables -I chain [rulenum] rule-specificat
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值