iptables 用于设置、维护和检查 IP 数据包的过滤规则。其基本用法是通过命令行界面配置流量的过滤策略,分为以下几类规则链:INPUT(入站流量)、OU

最新推荐文章于 2025-05-05 10:06:22 发布
最新推荐文章于 2025-05-05 10:06:22 发布
阅读量832 收藏 11
点赞数 7
文章标签: tcp/ip 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58223765/article/details/144151399
版权

iptables 是 Linux 下的一个强大的防火墙工具,用于设置、维护和检查 IP 数据包的过滤规则。其基本用法是通过命令行界面配置流量的过滤策略,分为以下几类规则链:INPUT(入站流量)、OUTPUT(出站流量)、FORWARD(转发流量)。常用的参数有:

  1. -A:添加规则到链中。
  2. -D:删除链中的规则。
  3. -I:在链的指定位置插入规则。
  4. -L:列出所有规则。
  5. -F:清空所有规则。
  6. -P:设置默认策略(如 ACCEPT 或 DROP)。
  7. -s:源 IP 地址。
  8. -d:目标 IP 地址。
  9. -p:协议(如 tcpudpicmp)。
  10. --dport 和 --sport:指定目标或源端口。
  11. -j:指定跳转动作(如 ACCEPTDROPREJECT)。

iptables 中三大基本链(INPUTOUTPUTFORWARD)的详细说明和示例:

1. INPUT 链(入站流量)

INPUT 链用于处理进入本机的流量,即目标是本机的流量。当你希望控制哪些流量可以进入到你的系统时,使用 INPUT 链。

示例 1: 允许来自 192.168.1.100 IP 地址的 HTTP 请求(端口 80)

iptables -A INPUT -p tcp --dport 80 -s 192.168.1.100 -j ACCEPT

解释

  • -A INPUT:将规则添加到 INPUT 链。
  • -p tcp:匹配 TCP 协议。
  • --dport 80:目标端口是 80(HTTP 端口)。
  • -s 192.168.1.100:只允许来自 IP 地址 192.168.1.100 的流量。
  • -j ACCEPT:如果满足条件,允许该流量通过。

示例 2: 拒绝来自 10.0.0.0/24 网段的所有 ICMP 请求(ping)

iptables -A INPUT -p icmp -s 10.0.0.0/24 -j REJECT

解释

  • -p icmp:匹配 ICMP 协议(如 ping 请求)。
  • -s 10.0.0.0/24:源地址为 10.0.0.0/24 网段。
  • -j REJECT:拒绝该流量。

2. OUTPUT 链(出站流量)

OUTPUT 链用于处理从本机发出的流量。通常,这些规则用于控制哪些程序或服务能够访问外部网络。

示例 1: 允许本机通过 HTTP(端口 80)访问外部网络

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

解释

  • -A OUTPUT:将规则添加到 OUTPUT 链。
  • -p tcp:匹配 TCP 协议。
  • --dport 80:目标端口是 80(HTTP 端口)。
  • -j ACCEPT:允许流量通过。

示例 2: 禁止本机通过 SSH(端口 22)访问外部服务器

iptables -A OUTPUT -p tcp --dport 22 -j REJECT

解释

  • -A OUTPUT:将规则添加到 OUTPUT 链。
  • -p tcp:匹配 TCP 协议。
  • --dport 22:目标端口是 22(SSH 端口)。
  • -j REJECT:拒绝流量。

3. FORWARD 链(转发流量)

FORWARD 链用于处理转发到其他主机的流量。这个链在路由器或网关设备上尤为重要,特别是那些需要转发流量的场景。只有在本机开启了 IP 转发功能,才会使用该链。

示例 1: 允许从本机转发流量到特定网络

假设你有一个网络接口 eth0,并且想要允许流量从该接口转发到 192.168.2.0/24 网段。

iptables -A FORWARD -i eth0 -d 192.168.2.0/24 -j ACCEPT

解释

  • -A FORWARD:将规则添加到 FORWARD 链。
  • -i eth0:匹配输入接口为 eth0
  • -d 192.168.2.0/24:目标地址是 192.168.2.0/24 网段。
  • -j ACCEPT:允许该流量通过。

示例 2: 拒绝从本机转发流量到特定 IP

假设你不想让任何流量通过本机转发到 IP 地址 203.0.113.10

iptables -A FORWARD -d 203.0.113.10 -j DROP

解释

  • -A FORWARD:将规则添加到 FORWARD 链。
  • -d 203.0.113.10:目标地址是 203.0.113.10
  • -j DROP:丢弃该流量。

默认策略和链操作

你可以通过设置默认策略来控制没有匹配规则的流量,例如:

# 设置默认策略为 DROP(丢弃)所有入站流量 iptables -P INPUT DROP # 设置默认策略为 ACCEPT(接受)所有转发流量 iptables -P FORWARD ACCEPT

总结

  • INPUT 链:控制进站流量(目标为本机)。
  • OUTPUT 链:控制出站流量(源自本机)。
  • FORWARD 链:控制转发流量(路由流量,目标不为本机)。
运维佬
关注
使用iptables进行TCP数据包过滤
智识帮的博客
01-17 5151
在Linux系统内核空间中,有面向网络的防火墙实现。这个防火墙是由软件实现的,是逻辑上的防火墙。用户可以设置某些的“安全设定”,配置到这个网络防火墙的“安全框架”中。这个“安全框架”就是netfilter。 netfilter是处于内核态的,netfilter是Linux操作系统核心层内部的一个数据包处理模块,它具有如下功能: 1. 网络地址转换(Network Address...
基于linux下的iptables网络过滤
Logbook的博客
06-11 2035
iptables是什么? 1,IPTABLES 是与最新的3.5版本Linux内核集成的IP信息包过滤系统。如果 Linux系统连接到因特网或LAN服务器或连接LAN因特网的代理服务器, 则该系统有利于在Linux系统上更好地控制IP信息包过滤防火墙配置。 2,防火墙在做信息包过滤决定时,有一套遵循组成的规则,这些规则存储 在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息...
iptable
weixin_33768481的博客
04-23 686
http://qiliuping.blog.163.com/blog/static/1023829320105245337799/ netfilter/iptables全攻略 LINUX 2010-06-24 17:03:37 阅读353 评论0 字号:大中小订阅 内容简介 防火墙的概述 iptables简介 iptables基础 iptables...
iptables 关于URL过滤
weixin_42191545的博客
11-02 4363
iptables 关于URL过滤 方法1: 1.首先可以利用nslookup 查看下URL的IP地址:例如我禁止www.baidu.com nslookup www.baidu.com 2.禁止转发源IP为103.235.46.39 同时禁止转发 目的IP为103.235.46.39 即可实现过滤URL的作用: iptables -t filter -I FORWARD -s 103.235.46.39 -j DROP iptables -t filter -I FORWARD 2 -d 103.235
项目10——iptables过滤
jyj09的博客
12-10 1155
实训项目10,初步了解iptables如何做
网络安全与防护】防火墙设置与管理:介绍UFW、firewalld的基本用法规则配置
[【网络安全与防护】防火墙设置与管理:介绍UFW、firewalld的基本用法规则配置](https://linuxconfig.org/wp-content/uploads/2019/11/01-how-to-open-ssh-port-22-on-ubuntu-20-04-focal-fossa-linux.png) ...
数据包追踪】:在Docker网络中监控iptables规则数据流
本文系统地介绍了Docker网络基础、iptables规则的深入解析、数据流追踪工具及方法、在Docker环境中管理监控iptables规则以及数据包追踪的实战案例。通过对iptables规则的类型、作用、高级特性及实际应用进行分析,...
wireshark 过滤omci包_一文搞定 Wireshark 网络数据包分析
weixin_35327612的博客
12-28 1360
为了让大家更容易「看得见」 TCP,我搭建不少测试环境,并且数据包抓很多次,花费了不少时间,才抓到比较容易分析的数据包。接下来丢包、乱序、超时重传、快速重传、选择性确认、流量控制等等 TCP 的特性,都能「一览无云」。没错,我把 TCP 的"衣服扒光"了,就为了给大家看的清楚,嘻嘻。提纲显形“不可见”的网络网络世界中的数据包交互我们肉眼是看不见的,它们就好像隐形了一样,我们对着课本学...
第七章 使用iptables与firewalld防火墙
u012616827的博客
11-18 914
在图 8-7 所示的局域网中有多台 PC,如果网关服务器没有应用 SNAT 技术,则互联网中的网站服务器在收到 PC 的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络IP 地址,所以 PC 也就收不到响应数据包了。换句话说,Linux 系统中其实有两个层面的防火墙,第一种是前面讲到的基于 TCP/IP 协议的流量过滤工具,而 TCP Wrappers 服务则是能允许或禁止 Linux 系统提供服务的防火墙,从而在更高层面保护了 Linux 系统的安全运行。文件来阻止对服务的请求流量
Linux端口保护:防火墙规则配置精要与端口过滤技巧
[Linux端口保护:防火墙规则配置精要与端口过滤技巧](https://img-blog.csdnimg.cn/a70c0a7bcf7c4367b6084de879d67998.png) # 1. Linux端口保护概述 在当今充满威胁的网络环境中,端口保护对于维护Linux系统的安全...
iptables 7层过滤
bug_maker
05-04 1167
具体的应用层过滤应用程序,例如qq xunlei这些影响网络性能的应用程序,iptables + netfilter本身是不提供这种过滤机制的,如果需要实现上面的功能,就需要通过第三方的补丁软件来提供上述功能,并且需要注意的是netfilter实现的是规则的执行,iptables实现的是规则的制定,所以需要向两个都打补; 尝试编译linux.26.29内核,并且向内核提供补丁文件 [ro...
iptables详解
JL-LOVE
10-23 2123
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件...
利用iptables过滤URL目标请求的小技巧
Linux512的专栏
09-04 1万+
最近发现越来越多的office里过多的在上班时间滥用视频网站,可能是由于脑残会的影响,但必竟是上班时间,不应该做与工作无关的事,也过多地影响了office的工作带宽。我在路由上测试了一条规则来block视频网站的访问请求,发现非常有效: iptables -A FORWARD  -m string –string “ku6.com” –algo bm -j DROP iptables -A F
iptables之7层过滤(封QQ、MSN、P2P等)
eydwyz的专栏
11-26 2463
简介   在Linux的防火墙体系Netfilter下有一个独立的模块L7 filter 。从字面上看Netfilter是对网络数据的过滤,L7 filter是基于数据流应用层内容的过滤。不过实际上 L7 filter的本职工作不是对数据流进行过滤而是对数据流进行分类。它使用模式匹配算法把进入设备的数据包应用层内容与事先定义好的协议规则进行比对,如果匹配成功就说明这个数据包属于某种协
iptables实现字符串匹配,URL过滤,安全策略
热门推荐
jk110333的专栏
07-03 4万+
通过string匹配域名来过滤,范例如下: iptables -I OUTPUT -p tcp -m string --string "qq.com" --algo bm -j DROP iptables -I OUTPUT -p udp -m string --string "qq.com" --algo bm -j DROP 这样就无法访问与QQ相关的业务了,但是代理好像还是可以 系统要
Iptables过滤型防火墙--马哥运维笔记
gao646467783的博客
11-04 443
文章目录一、一般报文流向:二、功能表:(一)通常情况下功能表包含的链:三、iptables的链:内置链自定义链(一)、内核中的五个钩子:(二)、链:规则检查用法则:四、 规则=匹配条件+处理动作:(一)、匹配条件:(二)、处理动作:(三)、添加规则时的考量点:五、应用:iptables命令(一)、链管理:(二)、规则管理:1、匹配条件:(1)、基本匹配条件:(2)、扩展匹配条件: 需要加载扩展模块,方可生效;①、隐式扩展匹配条件:②、显式扩展匹配条件:2、处理动作:(1)、基本处理动作:(2)、显式扩
RHEL4升级2.6.19内核+L7补丁彻底封QQ,MSN
weixin_34143774的博客
03-20 200
前言:          通常有众多Boss级人物会要求你封锁公司的QQ,msn通信,哪个心里是一百个不愿意啊,现实就是现实     冒着被公司众JJMMDD吐口水的危险你也不得不干啊,说干就干不废话ing了。 主要目的彻底封锁QQ,MSN通信 流程: 打上layer-7补丁 升级内核至2.6.19.7 升级iptables至1.3.7 适用环境:透过NAT共享上网的...
C++负载均衡远程调用学习之TCP连接封装与TCPCLIENT封装
qq_27302885的博客
05-01 1056
C++负载均衡远程调用学习之TCP连接封装与TCPCLIENT封装
用户模块 - IP归属地功能实现与测试
最新发布
m0_53926113的博客
05-05 748
在开发用户系统时,我们有时需要知道用户的真实 IP 地址,比如为了记录用户的登录地点。我们通常会在拦截器(Interceptor)中处理用户请求,比如过去我们在这里提取 token,现在我们可以在同样的位置提取用户 IP。拿到 IP 后,我们可以把它存到一个临时存储位置(通常叫做“附件”)中,后面的登录逻辑会用到它。,比如登录逻辑专注于验证账号密码,IP 解析等事情可以通过事件异步处理,不影响主流程的速度。为了更方便管理 IP 数据,我们单独封装了一个。来获取 IP,这样得到的是网关地址,不是真实 IP
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值