IPTABLES的详细介绍

最新推荐文章于 2024-10-09 15:50:47 发布
最新推荐文章于 2024-10-09 15:50:47 发布
阅读量1.2k 收藏 35
点赞数 25
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mkjc_hj/article/details/135547811
版权

iptables/ip6tables — IPv4/IPv6数据包过滤和NAT的管理工具

SYNOPSIS
```
iptables [-t 表] {-A|-C|-D} 链 规则说明

ip6tables [-t 表] {-A|-C|-D} 链 规则说明

iptables [-t 表] -I 链 [规则号] 规则说明

iptables [-t 表] -R 链 规则号 规则说明

iptables [-t 表] -D 链 规则号

iptables [-t 表] -S [链 [规则号]]

iptables [-t 表] {-F|-L|-Z} [链 [规则号]] [选项...]

iptables [-t 表] -N 链

iptables [-t 表] -X [链]

iptables [-t 表] -P 链 目标

iptables [-t 表] -E 旧链名 新链名

规则说明 = [匹配项...] [目标]

匹配项 = -m 匹配名 [每项匹配的选项]

目标 = -j 目标名 [每个目标的选项]
```

DESCRIPTION
```
Iptables和ip6tables用于在Linux内核中设置、维护和检查IPv4和IPv6数据包过滤规则的表。可以定义多个不同的表。每个表包含一些内置链,还可以包含用户定义的链。

每个链是一系列可以匹配一组数据包的规则。每个规则指定对匹配的数据包采取的操作。这被称为“目标”,它可以是跳转到同一表中的用户定义链。

TARGETS
防火墙规则指定数据包的条件和目标。如果数据包不匹配,将检查链中的下一个规则;如果匹配,则由目标的值指定下一个规则,该值可以是用户定义链的名称、iptables-extensions(8)中描述的目标之一,或者是特殊值ACCEPT、DROP或RETURN。

ACCEPT表示允许数据包通过。DROP表示将数据包丢弃。RETURN表示停止遍历此链,并在前一个(调用)链中的下一个规则处恢复。如果到达内置链的末尾或匹配带有RETURN目标的内置链的规则,则由链策略指定数据包的命运。

TABLES
目前有五个独立的表(任何时候存在哪些表取决于内核配置选项和哪些模块存在)。

-t, --table 表
此选项指定命令应在其上运行的数据包匹配表。如果内核配置为自动加载模块,则将尝试加载该表的适当模块(如果尚未加载)。

表如下:

filter:
这是默认表(如果没有-t选项传递)。它包含内置链INPUT(用于发送到本地套接字的数据包)、FORWARD(用于通过该盒进行路由的数据包)和OUTPUT(用于本地生成的数据包)。

nat:
当遇到创建新连接的数据包时,将查询此表。它由三个内置链组成:PREROUTING(用于尽快更改进入的数据包)、OUTPUT(用于在路由之前更改本地生成的数据包)和POSTROUTING(用于在数据包即将离开时更改数据包)。自内核3.7以来支持IPv6 NAT。

mangle:
此表用于专门的数据包更改。直到内核2.4.17,它有两个内置链:PREROUTING(用于在路由之前更改传入的数据包)和OUTPUT(用于在路由之前更改本地生成的数据包)。自内核2.4.18以来,还支持其他三个内置链:INPUT(用于传入该盒的数据包)、FORWARD(用于更改通过该盒进行路由的数据包)和POSTROUTING(用于在数据包即将离开时更改数据包)。

raw:
此表主要用于与NOTRACK目标结合配置对连接跟踪的豁免。它以更高的优先级注册在netfilter钩子上,因此在ip_conntrack或任何其他IP表之前调用。它提供以下内置链:PREROUTING(用于通过任何网络接口到达的数据包)OUTPUT(用于由本地进程生成的数据包)

security:
此表用于强制访问控制(MAC)网络规则,例如由SECMARK和CONNSECMARK目标启用的规则。强制访问控制由Linux安全模块(如SELinux)实现。安全表在filter表之后调用,允许filter表中的任何自主访问控制(DAC)规则在MAC规则之前生效。此表提供以下内置链:INPUT(用于传入该盒的数据包)、OUTPUT(用于在路由之前更改本地生成的数据包)和FORWARD(用于更改通过该盒进行路由的数据包)。
```

OPTIONS
```
iptables和ip6tables识别的选项可以分为几个不同的组。

COMMANDS
这些选项指定要执行的操作。除非另有说明,否则在命令行上只能指定其中一个。对于命令和选项名称的长版本,您只需使用足够的字母以确保iptables可以将其与所有其他选项区分开即可。

-A, --append chain 规则说明
向所选链的末尾添加一个或多个规则。当源和/或目标名称解析为多个地址时,将为每种可能的地址组合添加一个规则。

-C, --check chain 规则说明
检查所选链中是否存在与规范匹配的规则。此命令使用与-D相同的逻辑查找匹配项,但不更改现有的iptables配置,并使用其退出代码指示成功或失败。

-D

, --delete chain 规则说明
-D, --delete chain 规则号
从所选链中删除一个或多个规则。有两个版本的此命令:规则可以指定为链中的数字(从1开始,表示第一个规则),也可以指定要匹配的规则。

-I, --insert chain [规则号] 规则说明
在所选链中插入一个或多个规则,作为给定规则号的规则。因此,如果规则号为1,则规则或规则将插入到链的头部。如果未指定规则号,则这也是默认操作。

-R, --replace chain 规则号 规则说明
替换所选链中的规则。如果源和/或目标名称解析为多个地址,则该命令将失败。规则从1开始编号。

-L, --list [链]
列出所选链中的所有规则。如果没有选择链,则将列出所有链。与iptables命令的所有其他部分一样,它适用于指定的表(filter是默认值),因此NAT规则通过
iptables -t nat -n -L
请注意,通常与-n选项一起使用,以避免进行长时间的反向DNS查找。还可以合法地指定
-Z, --zero [链 [规则号]]
在所有链中或仅在给定链中或仅在给定规则中将包和字节计数器清零。也可以合法地指定-L, --list(列表)选项,以在清除之前立即查看计数器。 (见上文。)

-N, --new-chain chain
通过给定的名称创建新的用户定义链。该名称不得已存在相应的目标。

-X, --delete-chain [chain]
删除指定的可选用户定义链。链不能有引用。如果有引用,必须在删除链之前删除或替换引用规则。链必须为空,即不包含任何规则。如果未给出参数,则将尝试删除表中的每个非内置链。

-P, --policy chain 目标
将链的策略设置为给定的目标。请参阅TARGETS部分,了解合法的目标。只有内置(非用户定义)链可以有策略,既不能是内置链也不能是策略目标。

-E, --rename-chain old-chain new-chain
将用户指定的链重命名为用户提供的名称。这是一种美学处理,对表的结构没有影响。

-h     帮助。提供(当前非常简短的)命令语法描述。

PARAMETERS
以下参数构成规则说明(用于add、delete、insert、replace和append命令)。

-4, --ipv4
此选项在iptables和iptables-restore中无效。如果使用(仅使用)ip6tables-restore插入具有-4选项的规则,则将静默地忽略它。任何其他用途将引发错误。此选项允许在单个规则文件中放置适用于iptables-restore和ip6tables-restore的IPv4和IPv6规则。

-6, --ipv6
如果使用(仅使用)iptables-restore插入具有-6选项的规则,则将静默地忽略它。任何其他用途将引发错误。此选项允许在单个规则文件中放置适用于iptables-restore和ip6tables-restore的IPv4和IPv6规则。此选项在ip6tables和ip6tables-restore中无效。

[!] -p, --protocol 协议
规则或要检查的数据包的协议。指定的协议可以是tcp、udp、udplite、icmp、icmpv6、esp、ah、sctp、mh或特殊关键字“all”,也可以是一个数字值,表示这些协议之一或其他协议。也允许来自/etc/protocols的协议名称。在协议之前的“!”参数将反转测试的意义。数字零等同于所有。省略此选项时,“all”将与所有协议匹配,并且在省略此选项时将视为默认值。请注意,在ip6tables中,除了esp之外,不允许IPv6扩展头。esp和ipv6-nonext可以在内核版本2.6.11或更高版本中使用。数字零等同于所有,这意味着您不能直接测试值为0的协议字段。要匹配HBH标头,即使它是最后一个标头,您不能使用-p 0,而总是需要使用-m hbh。

[!] -s, --source 地址[/掩码][,...]
源规范。地址可以是网络名称、主机名、网络IP地址(带有/掩码)或纯粹的IP地址。主机名将仅解析一次,然后将规则提交给内核。请注意,指定要使用远程查询(例如DNS)解析的任何名称都是一个非常糟糕的主意。掩码可以是ipv4网络掩码(对于iptables)或纯数字,表示网络掩码左侧的1的数量。因此,iptables的掩码为24等同于255.255.255.0。在地址规范之前使用“!”参数将反转地址的含义。--src标志是此选项的别名。可以指定多个地址,但这将扩展为多个规则(在使用-A添加时),或将导致删除多个规则(在使用-D删除时)。

[!] -d, --destination 地址[/掩码][,...]
目标规范。有关语法的详细说明,请参见-s(源)标志的描述。--dst标志是此选项的别名。

**-m, --match match**
指定要使用的匹配条件,即测试特定属性的扩展模块。匹配条件是在命令行上按顺序评估的,并以短路方式工作,即如果一个扩展返回false,则停止评估。

**-j, --jump target**
指定规则的目标,即如果数据包与之匹配,则执行的操作。目标可以是用户定义的链(不同于此规则所在的链),特殊的内置目标之一,该目标立即决定数据包的命运,或者是一个扩展(见下面的EXTENSIONS)。如果在规则中省略了此选项(并且未使用-g),则匹配规则不会对数据包的命运产生影响,但规则上的计数器将增加。

**-g, --goto chain**
指定处理应该继续在用户指定的链中。与--jump选项不同,return不会继续在此链中进行处理,而是在通过--jump调用我们的链中进行处理。

**[!] -i, --in-interface name**
数据包接收时经过的接口的名称(仅适用于进入INPUT、FORWARD和PREROUTING链的数据包)。当在接口名称之前使用"!"参数时,其含义被反转。如果接口名称以"+"结尾,则以此名称开头的任何接口都将匹配。如果省略此选项,则任何接口名称都将匹配。

**[!] -o, --out-interface name**
数据包将要发送时经过的接口的名称(用于进入FORWARD、OUTPUT和POSTROUTING链的数据包)。当在接口名称之前使用"!"参数时,其含义被反转。如果接口名称以"+"结尾,则以此名称开头的任何接口都将匹配。如果省略此选项,则任何接口名称都将匹配。

**[!] -f, --fragment**
这意味着规则仅涉及分段数据包的第二个及更后面的IPv4分段。由于无法告知此类数据包的源或目标端口(或ICMP类型),因此此类数据包将不匹配指定了这些信息的任何规则。当"!"参数在"-f"标志之前时,规则仅匹配头分段或未分段的数据包。此选项仅适用于IPv4,不适用于ip6tables。

**-c, --set-counters packets bytes**
这使管理员能够初始化规则的数据包和字节计数器(在INSERT、APPEND、REPLACE操作期间)。

**其他选项**
以下是一些额外的选项:

**-v, --verbose**
详细输出。此选项使list命令显示接口名称、规则选项(如果有)和TOS掩码。还列出数据包和字节计数器,后缀为'K'、'M'或'G',表示1000、1,000,000和1,000,000,000的倍数,但请参见-x标志以更改此设置。对于追加、插入、删除和替换,这将导致打印规则或规则的详细信息。可以多次指定-v以可能发出更详细的调试语句。

**-w, --wait [seconds]**
等待xtables锁。为了防止程序的多个实例同时运行,程序将尝试在启动时获取独占锁。默认情况下,如果无法获取锁,则程序将退出。此选项将使程序等待(无限期或可选秒数),直到获取独占锁。

**-W, --wait-interval microseconds**
每次迭代的等待间隔。在运行对延迟敏感的应用程序时,等待xtables锁的时间可能不可接受。此选项将使每次迭代花费指定的时间量。默认间隔为1秒。此选项仅适用于-w。

**-n, --numeric**
数值输出。IP地址和端口号将以数值格式打印。默认情况下,程序将尝试将它们显示为主机名、网络名或服务(如果适用)。

**-x, --exact**
展开数字。显示数据包和字节计数器的确切值,而不仅仅是K(1000的倍数)、M(1000K的倍数)或G(1000M的倍数)的四舍五入值。此选项仅适用于-L命令。

**--line-numbers**
在列出规则时,在每个规则的开头添加行号,对应于链中的规则位置。

**--modprobe=command**
在向链中添加或插入规则时,使用command加载任何必要的模块(目标、匹配扩展等)。

**MATCH AND TARGET EXTENSIONS**
iptables可以使用扩展的数据包匹配和目标模块。这些模块的列表在iptables-extensions(8)手册页中可用。

**DIAGNOSTICS**
各种错误消息被打印到标准错误。正确运行的退出代码为0。由于无效或滥用的命令行参数引起的错误导致退出代码为2,其他错误导致退出代码为1。

**BUGS**
Bugs?这是什么?;-)好吧,你可能想看看 [http://bugzilla.netfilter.org/](http://bugzilla.netfilter.org/)。

**与IPCHAINS的兼容性**
此iptables与Rusty Russell的ipchains非常相似。主要区别在于INPUT和OUTPUT链仅用于分别进入本地主机的数据包和由本地主机发出的数据包。因此,每个数据包只通过三个链中的一个(除了

环回流量,涉及INPUT和OUTPUT链);以前,转发的数据包将通过所有三个链。

另一个主要区别是,-i指的是输入接口;-o指的是输出接口,两者都适用于进入FORWARD链的数据包。

各种形式的NAT已分开;使用默认的`filter`表时,iptables是一个纯粹的数据包过滤器,具有可选的扩展模块。这应该简化以前有关IP伪装和数据包过滤组合的混乱。因此,以下选项处理方式不同:
- -j MASQ
- -M -S
- -M -L
iptables中还有一些其他变化。

mkjc_hj
关注
防火墙:iptables详细介绍
Shelly的博客
02-20 1193
Iptables详细介绍 1、 iptables 简介 2 2、iptables常用规则操作 4 2.1.增加规则(-I) 4 2.2. 追加规则(-A) 5 2.3. 删除规则 (–D ) 5 2.4. 修改规则 –R 5 2.5. 保存规则 (save) 6 3、iptables匹配条件用法 6 3.1 匹配条件:源IP地址(-s) 6 3.2 匹配条件:目的IP地址(-d) 7 3.3 匹配...
Iptables防火墙详细介绍
qq_42158153的博客
10-28 816
一:Linux防火墙基础: Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络层防火墙); Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。 1.Netfilter和iptables的区别: Netfilter: 指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(KernelSpace,又称内核空间)的防火墙功能体系; Iptables:指的是用来管理Linux.
iptables详细介绍
Coohx
04-10 487
原文出处:http://blog.csdn.net/tennysonsky/article/details/44595913一:前言防火墙,其实说白了讲,就是用于实现 Linux 下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测
firewalld切换iptables以及iptables详细介绍
小树苗
05-07 512
命令切换: #先检查是否安装了iptables service iptables status #安装iptables yum install -y iptables #升级iptables yum update iptables #安装iptables-services yum install iptables-services #停止firewalld服务 systemctl stop firewalld #禁用firewalld服务 systemctl mask firewalld 执行如下命.
Iptables 详细介绍
netinnet的专栏
10-11 971
一、Iptables概念 iptables 是与最新的 2.6.x 版本Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则
Linux网络命令:用于设置、维护和检查 IPv4 数据包过滤规则的工具iptables详细介绍
weixin_70208651的博客
10-04 1029
iptables 是 Linux 下用于设置、维护和检查 IPv4 数据包过滤规则的工具。它是 Linux 内核 netfilter 模块的用户空间接口,允许系统管理员定义规则表,这些表决定了如何处理通过网络接口传输的数据包。Netfilter 是 Linux 内核的一部分,它提供了一组钩子(hook)点,允许内核模块拦截网络流量并在数据包通过网络堆栈的不同阶段对其进行过滤、修改或转发。iptables 通过命令行接口来管理定义的规则集,允许用户定义复杂的网络规则来控制数据包的流向。用于配置系统防火墙规则。
netfilter/iptables详细介绍
mjj291268154的专栏
05-28 354
防火墙的简介 防火墙是指设置在不同网络网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性。它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务。它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。 防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做
iptables详细讲解及用法
wyf_wyf_001的博客
05-26 1929
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
linux iptables防火墙最详细讲解
weixin_46407419的博客
12-27 296
架构图 防火墙 1. 什么是防火墙: 防止其他用户恶意访问 2. 防火墙种类 硬件防火墙 :F5 软件防火墙 :iptables firewalld 安全组 iptables 用户 ---> 调用iptables ---> ip_tables内核模式 ---> Netfilter(系统安全构架) ---> 过滤请求 什么是包过滤防火墙 什么是包: ...
Linux防火墙——iptables原理介绍
匠人精神,持之以恒!
06-13 1325
从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙:从物理上讲,防火墙可以分为硬件防火墙和软件防火墙:硬件防火墙:在硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高。软件防火墙:应用软件处理逻辑运行于通用硬件平台之上的防火墙,性能低,成本低。表:负责过滤功能,防火墙;内核模块:iptables_filter表: network address translation,网络地址转换功能;内核模块:iptable_nat表:拆解报文,做出修改,并重新封装 的功能;iptable_man
linux防墙iptables详细介绍、配置方法与案例
09-14
主要介绍了linux防墙iptables详细介绍、配置方法与案例,需要的朋友可以参考下
Linux防火墙_iptables详细介绍
08-29
Linux 防火墙 iptables 详 细 介 绍
项目管理-信息技术发展
GAVIN
10-04 712
对称加密:DES 3DES AES RC5 IEDA SM1 SM4。2)分类:PAN LAN MAN WAN 公用网 专用网。4)数据结构模型 层次模型 网状模型 关系模型。1)存储 分类:DAS FAS NAS SAN。物联网(IoT) 感知层 网络层 应用层。8) 5G 高速率 低时延 大连接。设备安全 数据安全 内容安全 行为安全。4.信息安全 保密性 完整性 可用性。3)网络协议 语法 语义 时许。5)IEEE 802 规范。6)TCP/IP 协议。4)网络标准协议 7层。
使用socket编程来实现一个简单的C/S模型(TCP协议)
caiji0169的博客
10-02 1733
下图是基于TCP协议的客户端/服务器程序的一般流程:服务器调用socket()、bind()、listen()完成初始化后,调用accept()阻塞等待,处于监听端口的状态,客户端调用socket()初始化后,调用connect()发出SYN段并阻塞等待服务器应答,服务器应答一个SYN-ACK段,客户端收到后从connect()返回,同时应答一个ACK段,服务器收到后从accept()返回。数据传输的过程:建立连接后,TCP协议提供全双工的通信服务,但是一般的客户端/服务器程序的流程是由客户端主动发起请求,
Macbook ToDesk 无法连接网络
Primer5
10-04 316
检查登录项,看到后台运行项目是关闭状态,允许后台运行之后返回查看立马显示网络连接正常。网络连接的是 Wi-Fi,打开浏览器能跟正常浏览内容,说明 Wi-Fi 是正常的。检查防火墙是没有阻止ToDesk 的任何连接,说明防火墙也是正常的。
网络风暴产生原因、危害、预防和解决方法
最新发布
luotuo28的博客
10-09 211
网络风暴是指由于某种原因引发的网络中数据流量急剧增加,导致网络性能严重下降甚至瘫痪的现象。
从零开始实现RPC框架---------项目介绍及环境准备
qq_41934502的博客
10-02 465
从零开始实现rpc架构项目介绍
Netty 相比原生IO模型的优势
lssffy的博客
10-09 371
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
iptables 详细介绍
07-16
iptables 是一个用于配置 Linux 内核防火墙的工具。它允你定义规则以控制网络流,并提供了强大的网络安全。 iptables 使用规则集来过滤、转发和修改网络数据包。每个规则由若干匹配条件和动作组成。当一个数据包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值