iptables 规则

已于 2024-07-31 16:56:03 修改
阅读量861 收藏 3
点赞数 8
分类专栏: 网络服务 文章标签: 网络 服务器 安全 linux 运维 iptables
于 2024-04-03 11:00:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73562288/article/details/137333626
版权

目录

一、四表五链

1.四表

2.五链

二、参数说明

1.指定规则的位置

2.数据包的过滤条件

3.数据包的处理机制

三、示例

1.ipset集合

2.iptables规则

3.iptables实现地址转发

一、四表五链

1.四表

filter	# 决定数据包是否可以通行,不指定表名时为默认表。

nat		# 决定数据包是否可以转发(源地址或目标地址转换)

mangle	# 进行修改

raw		# 进行数据包标记跟踪

2.五链

# 以下三个决定数据包是否通行
INPUT		# 在进来之前的入口处进行数据包过滤
OUTPUT		# 在出去之前的出口处进行数据包过滤
FORWARD		# 数据包转发

# 以下两个决定数据包是否进行源地址和目标地址修改
PREROUTING	# 路由转发前路径
POSTROUTING	# 路由转发后

二、参数说明

1.指定规则的位置

    -A|-I        # 添加防火墙规则,-A在最后添加,-I在首行或指定行添加

    -t 表名      # 指定规则写入到哪个表,不指定表名时,filter为默认表

2.数据包的过滤条件

	-i|-o	            # 指定数据包的入站和出站网卡
	-s|-d	            # 指定数据包的来源地址或目标地址
	--sport | --dport	# 匹配数据包的源端口或目标端口(必须指定协议类型)
	-p 协议		        # 协议可以独立出现,写端口必须作为辅助条件出现,而且要写在端口前面

3.数据包的处理机制

	-j	ACCEPT|REJECT|DROP      # 放行|拒绝|丢弃
		DNAT|SNAT
		DNAT --to-destination 	# $ip:$port
		SNAT --to-source		# $ip

        MASQUERADE              # 伪装源地址,确保返回流量能正确返回容器

三、示例

1.ipset集合

#创建ipset fsipsetlist集合
ipset create fsipsetlist hash:net
#删除集合
ipset destroy fsipsetlist
#删除所有集合
ipset destroy fsi
#向fsipsetlist集合添加ip
ipset add fsipsetlist 10.88.96.66
#删除fsipsetlist集合中的IP
ipset del fsipsetlist 192.168.1.0/24
#查看fsipsetlist集合中有哪些IP
ipset list fsipsetlist
#清空集合
ipset flush fsipsetlist
#查看有哪些集合
ipset list
ipset list -n
#将集合添加为防火墙规则
#当源ip在fsipsetlist集合中,并且目的端口为80才允许进入
#当目的IP在fsipsetlist集合中,并且源端口为80的请求,才允许出。
iptables -I INPUT -p tcp --dport 80 -m set  --match-set fsipsetlist src -j ACCEPT
iptables -I OUTPUT -p tcp --sport 80 -m set  --match-set fsipsetlist dst -j ACCEPT

2.iptables规则

#查看防火墙规则
# filter、nat、mangle、ram
# INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING
iptables -t nat -nvL --line-number
#添加规则
iptables -t $表名 -I INPUT -s 10.88.112.0/25 -p tcp --dport 62222 -j ACCEPT
iptables -t $表名 -I OUTPUT -d 10.88.112.0/25 -p tcp --sport 62222 -j ACCEPT
#设置防火墙规则默认为拒绝
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#删除规则
iptables -nvL --line-number
iptables -t nat -D PREROUTING 1
#备份iptables规则
iptables–save > /etc/iptables/iptables.rules 

#恢复iptables规则
#注意:恢复时,如果原规则中有ipset集合,需要先创建集合,否则会报错失败!!!
iptables–restore < /etc/iptables/iptables.rules

3.iptables实现地址转发

#入站流量:
raw表(PREROUTING链)-->mangle表(PREROUTING链)-->nat表(PREROUTING链)-->filter表(INPUT链)

#出站流量:
raw表(OUTPUT链)-->mangle表(OUTPUT)-->nat表(OUTPUT链)-->filter表(OUTPUT表)-->nat表(POSTROUTING链)
#物理机发出47.103.9.124:1883请求,重定向到10.88.0.140:1883
iptables -t nat -I OUTPUT -p tcp --dport 1883 --destination 47.103.9.124 -j DNAT --to-destination 10.88.0.140:1883
#容器发起访问,重定向容器目的地址。
sudo iptables -t nat -A PREROUTING -p tcp --dport 1883 --destination 47.103.9.124 -j DNAT --to-destination 10.88.0.140:1883
#MASQUERADE伪装源地址,确保返回流量能正确地回送到服务器
#这条规则在启动docker后已经有了,无需手工添加
sudo iptables -t nat -A POSTROUTING -p tcp -d 10.88.0.140 --dport 1883 -j MASQUERADE
刘某的Cloud
关注
专栏目录
iptables的基本规则
hahaha_yan的博客
12-06 760
一、相关概念 Iptables 利用的是数据包过滤的机制,所以他会分析数据包的报头数据,根据报头数据与定义的规则来决定该数据包是否可以进入主机或者被丢弃,也就是说,根据数据包的分析资料比对预先定义的规则内容,若数据包数据与规则内容相同则进行动作,否则就继续下一条规则的比对,重点在比对与分析顺序。 Iptables的表格和链 Iptables名字的来由:因为这个防火墙软件里面有多个表格,每个表
配置一个生产的iptables防火墙规则
pur_e的专栏
01-16 1117
注意执行顺序,-A表示Append,是在所有规则之后添加新的规则iptables是从上往下匹配规则,成功后则不继续匹配,所以建议匹配量最大的规则放在最上面。一、规则配置1.清空原有规则iptables会有一些初始规则配置)iptables -F #清空所有规则 iptables -X #清空用户自定义的空链(iptables -N xx创建) iptables -Z #清空计数2.添加正常
iptables添加有线网卡与无线网卡桥接转发规则
最新发布
匠心码农
09-24 476
iptables添加有线网卡与无线网卡桥接转发规则
iptables 命令介绍
weixin_33964094的博客
04-19 1294
原文链接 iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工作原理,你会发现其实它很简单。 首先介绍iptables的结构:iptables -&gt; Tables -&...
iptables规则
seaskyccl的博客
01-28 1368
"说明后,指的是相反的名称。可能的状态是:INVALID表示包是未知连接,ESTABLISHED表示是双向传送的连接,NEW表示包为新的连接,否则是非双向传送的,而RELATED表示包由新连接开始,但是和一个已存在的连接在一起,如FTP数据传送,或者一个ICMP错误。目标可以是用户自定义链(不是这条规则所在的),某个会立即决定包的命运的专用内建目标,或者一个扩展(参见下面的EXTENSIONS)。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
iptables入门教程配置详解--iptables规则
01-15 435
iptables入门教程配置详解--iptables规则本章将详细地讨论如何构件你自己的iptables规则规则就是指向标,在一条链上,对不同的连接和数据包阻塞或允许它们去向何处。插入链的每一行都是一条规则。我们也会讨论基本的matche及其用法,还有各种各样的target,以及如何建立我们自己的target(比如,一个新的子链)。 MRDoP90U(  1. 基础 WCxMm^"s
25 个常用的 Linux iptables 规则
weixin_30847939的博客
04-26 255
# 1. 删除所有现有规则 iptables -F # 2. 设置默认的chain 策略 iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP # 3. 阻止某个特定的 IP 地址 #BLOCK_THIS_IP="x.x.x.x" #ipta...
quicktables:iptables规则集生成器
05-05
快速表已不再开发 quicktables是iptables防火墙和防火墙/ nat(网关)脚本生成器。 创建它是为了快速提供一组安全iptables规则。 quicktables将要求您回答一小部分问题,并生成您自己的个性化防火墙脚本。
Docker中iptables规则iptables重启后丢失的完整过程
09-29
主要给大家介绍了关于Docker中iptables规则iptables重启后丢失的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Docker具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Shell脚本实现监控iptables规则是否被修改
09-15
主要介绍了Shell脚本实现监控iptables规则是否被修改,本文直接给出实现代码,需要的朋友可以参考下
IPTABLE 规则
10-16
很全的IPTABLE规则,封杀BT QQ,端口间的NAT,好东东值得分享
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封包需转送处理则检查Postrouting,如果是来自...
rebuild-iptables:从片段构建一个 iptables 规则文件
07-09
iptables配置区的前缀、标准和后缀文件构造一个iptables规则文件,添加命令行中指定的任何附加模块,并将生成的iptables规则打印到标准输出(适合保存到/var/lib/iptables或系统上的其他适当位置)。 要求 支持的...
iptables规则总结
weixin_53139887的博客
01-10 5552
五链四表 链的概念 iptables开启后,数据报文从进入服务器到出来会经过5道关卡,分别为Prerouting(路由前)、Input(输入)、Outpu(输出)、Forward(转发)、Postrouting(路由后) 每一道关卡中有多个规则,数据报文必须按顺序一个一个匹配这些规则,这些规则串起来就像一条链,所以我们把这些关卡都叫“链” 其中INPUT、OUTPUT链更多的应用在“主机防火墙”中,即主要针对服务器本机进出数据的安全控制;而FORWARD、PREROUTING、POSTROUTI
iptables详解(图文)
热门推荐
Linux的成长历程
11-13 6万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、
Linux中防火墙Iptables】【指令详解】【中文】
依然的专栏
05-24 2059
iptables 指令 语法:iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。个规则表的功能如下:nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进
iptables常用规则
qq_37369726的博客
01-17 2395
1.服务器能ping其他主机,其他主机不能ping通它: iptables -I INPUT -p icmp -d 192.168.247.100 --icmp-type 8 -j REJECT ping别人发出的icmp类型为8,INPUT是在流入的时候过滤,所以我们能ping通他人。 2.除了192.168.247.100的22端口能访问,其他端口都禁止访问: iptables -I INPUT -d 192.168.247.100 -p tcp ! --dport 22 -j REJECT 3.m
iptables(3)规则管理(新增、插入、修改、删除、保存)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-20 2234
上一篇文章中,我们已经介绍了怎样使用iptables命令查看规则,那么这篇文章我们就来介绍一下,怎样管理规则,即对iptables进行”增、删、改”操作。注意:在进行iptables实验时,请务必在个人的测试机上进行,不要再有任何业务的机器上进行测试。在进行测试前,为保障我们环境的纯粹性,我们需要将iptables清空,以便进行后续的各项实验测试。可以通过一下命令清空防火墙规则
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值