iptables用法总结

已于 2022-12-07 15:32:06 修改
阅读量2k 收藏 6
点赞数
分类专栏: linux 文章标签: linux 服务器 网络
于 2022-12-07 15:09:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiuweifan/article/details/128219776
版权

iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。

1、iptables语法格式

iptables 命令的基本语法格式如下:

[root@l ~]# iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

命令全景图如下:

 

2、具体使用场景

1)查看规则

对规则的查看需要使用如下命令:

[root@~]# iptables -nvL  --line-number

各参数的含义为:

-L 表示查看当前表的所有规则,默认查看的是 filter 表,如果要查看 nat 表,可以加上 -t nat 参数。
-n 表示不对 IP 地址进行反查,加上这个参数显示速度将会加快。
-v 表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。

--line-number 表示显示序号

其他链表查看规则,依此类推,比如查看nat表规则,同时删除POSTROUTING 链表的第1条规则:

iptables -t nat  -nL  --line-number

iptables -t nat  -D POSTROUTING  1

2)添加/清除默认规则

#拒绝全部input(过滤除iptables规则之外的所有请求)

iptables -P INPUT DROP

#接受全部input

iptables -P INPUT ACCEPT

其他链表的默认规则,依此类推,

比如添加OUTPUT的默认规则就改成iptables -P OUTPUT DROP

比如添加FORWARD的默认规则就改成iptables -P FORWARD  DROP

iptables -F    //安装完成基本配置-清空所有默认规则

iptables -X    //安装完成基本配置-清空所有自定义规则

iptables -Z    //安装完成基本配置-所有计数器归0

iptables -D INPUT 8    //要删除INPUT里序号为8的规则

3) 添加ssh规则

添加规则有两个参数分别是 -A 和 -I。其中

-A 是添加到规则的末尾;

-I 可以插入到指定位置,

默认:没有指定位置的话插入到规则的首部

eg:添加一条拒绝22端口的规则到尾部。 :

iptables -A INPUT -p tcp --dport 22 -j REJECT

eg:添加一条放通某个IP地址的22端口

iptables -A INPUT -s 10.245.182.10 -p tcp --dport 22 -j ACCEPT

由于最后一条总是生效,先将所有22端口失效,再允许某个IP有效就行。

4)放通samba文件服务器端口

samba新版的已不再使用137.138.139等端口,仅使用445端口。而且仅允许192.168.1网段可以访问。

iptables -I INPUT -s 192.168.1.0/24 -p tcp  --dport 445 -j ACCEPT

5)放通mysql数据库3306端口:

仅允许192.168.1网段可以访问3306端口

iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 3306 -j ACCEPT

6)端口转发

首先开启系统的转发功能

vi /etc/sysctl.conf

将net.ipv4.ip_forward=0修改成net.ipv4.ip_forward=1

#编辑后使用命令让配置马上生效
sysctl -p

其次需要配2条规则:

#目标地址端口为3389的,转换为 192.168.1.1:3389

iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.1.1:3389

#凡目标地址为192.168.1.1:3389的,把源地址转换为192.168.1.2

iptables -t nat -I POSTROUTING  -p tcp -d 192.168.1.1 --dport 3389 -j SNAT --to 192.168.1.2

mstsc远程访问地址192.168.1.2,iptables就会帮你转换成192.168.1.1的桌面了。

3、归档备存

最后建议建一个excel表,将各个规则写一写,包括 放通的客户机是在哪些位置啦,以及放通的原因是哪些啦。后续方便查看放通的原因。好记性不如笔头嘛。相信对于一堆iptables配置规则,如果没有文档辅助记忆,我会很抓狂。

 

一个高效工作的家伙
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
iptables命令参数大全
05-15
1. 打开ip包转发功能  echo 1 > /proc/sys/net/ipv4/ip_forward 2. 在NAT/防火墙计算机上的NAT表中添加目的地址转换规则: iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80
iptables 使用总结
07-04
总结iptables原理,在各个场景下的使用方法,并给出了sh脚本的实现过程
iptables查看、添加、删除规则
zhaoyang10的专栏
01-05 2973
查看带序号的规则 iptables -L -n --line-number 删除指定序号的规则 iptables -D INPUT 15 添加一条规则到尾部: iptables -A INPUT -p tcp -s 10.73.24.173 --dport 8501 -j ACCEPT iptables -A INPUT -s 10.73.24.173 -j DROP 添加一条规则到指定行: iptables -I INPUT 14 -p tcp -s 10.73.24.173 --dport 8501
iptables相关操作
wangrui5240的专栏
08-22 489
iptables是linux系统自带的防火墙,功能强大,学习起来需要一段时间,下面是一些习iptables的时候的记录。如果iptables不熟悉的话可以用apf,是一款基于iptables的防火墙,挺好用的。请参考:linux apf 防火墙 安装 配置 一,安装并启动防火墙 [root@linux ~]# /etc/init.d/iptables start 当我们用
iptables 插入规则-I和追加规则-A。
热门推荐
zhaodayeyeye的博客
11-19 2万+
研究了大半天的iptables 开放端口 (改了22端口)ssh一直连接不上,查看网上资料很多用iptables -A INPUT -p tcp --dport 80 -j ACCEPT 修改了也一直连接不上,最后发现而两个规则放行规则的差异只是 -A 和 -I ,-A 追加规则在DROP 规则后,-I增加规则在DROP 规则前。 iptables 是由上而下的进行规则匹配,放行规则需在禁行规则之...
iptables语法规则(一)
ruth13156402807的博客
11-29 1887
iptables 一、简介 1、iptables 内核:netfilter 2、四表 raw:数据包跟踪 mangle:标记数据包 nat:网络地址转换 filter:数据包过滤 3、五链 PREROUTING:路由之前 INPUT:数据包流入 FORWARD:数据包经过 OUTPUT:数据包流出 POSTROUTING:路由之后 执行顺序由上到下 4、匹配条件 协议: ​ -p tcp ​ -p icmp (仅有ping使用) ​ -p udp 端口:必须和协议一起写 ​ --dport 目标端
8、iptables 语法规则
LiuWei
05-10 427
文章目录1.语法构成2.常见的动作类型3.添加新的规则4.查看规则列表5.删除清空规则6.设置默认策略7.通用匹配8.隐含匹配9.显示匹配10.SNAT11.DNAT12.备份和还原 1.语法构成 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 注意事项: 不指定表名时,默认指filter表 不指定链名时,默认指表内的所有链 选项、链名、控制类型使用大写字母,其余均为小写 2.常见的动作类型 ACCEPT:允许通过 DROP:直接丢弃,不给出任何回应 REJECT:拒绝
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理之 iptables 防火墙、filter 表控制、扩展匹配、nat 表典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter ...同时,学生还将掌握 iptables 命令的基本使用方法和常用选项。
sshd 限制登陆的几种方法总结
09-15
请注意,这些规则会在重启后失效,若要持久化,需要将规则保存到`/etc/sysconfig/iptables`或使用firewalld等服务。 3. **修改`/etc/ssh/sshd_config`配置** 你可以通过编辑`/etc/ssh/sshd_config`文件来控制哪些...
MySQL数据库设置远程访问权限方法小结
09-10
如果你的服务器运行着防火墙,如iptables或ufw,你需要打开3306端口(MySQL的默认端口)以允许外部访问。这通常通过添加相应的防火墙规则来完成。 3. **创建或更新用户权限**: 接下来,我们需要在MySQL中为特定...
Hadoop使用常见问题以及解决方法
08-21
解决方法是停止 iptables 服务,例如使用 `sudo /etc/init.d/iptables stop` 命令。 更改 namenode 后,在 hive 中运行 select 依旧指向之前的 namenode 地址 更改 namenode 后,在 hive 中运行 select 依旧指向...
iptables系列教程(二) iptables语法规则_iptables -a output -d
最新发布
2401_83621784的博客
04-17 285
匹配数据进入的网络接口,此参数主要应用nat表,例如目标地址转换。注意:-F 是清空链中规则,但并不影响 -P 设置的默认规则。匹配源地址,可以是IP、网段、域名,也可空(代表任何地址)源地址转换,支持转换为单IP,也支持转换到IP地址池。当数据包没有被任何规则匹配时,则按默认规则处理。匹配协议类型,可以是TCP、UDP、ICMP等。可以是单个端口,也可以是端口范围。Insert,在指定的位置插入规则。Delete,从规则列表中删除规则。Policy,设置某个链的默认规则。Flush,清空规则。
iptables--基础--02--命令
zhou920786312的博客
05-27 2125
iptables–基础–02–命令 前提 要安装iptables,开启防火墙 1、语法 1.1、语法格式 iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转] 1.2、说明 表名、链名 用于指定iptables命令所操作的表和链 命令选项 用于指定管理iptables规则的方式,比如插入、增加、删除、查看等 条件匹配 用于指定对符合什么样条件的数据包进行处理 目标动作或跳转 用于指定数据包的处理方式,比如允许通过、拒绝、丢弃、跳转(Jump)给其它链处理。
iptables unknown optin “--to-destination“
AI_Fanatic的博客
01-18 2905
思路 提供解决思路 首先可以通过strace命令查看系统调用 提前切换root用户 然后运行strace -t -f后面接你的iptables命令,例如strace -t -f iptables -t nat -A OUTPUT --dst 114.114.114.114 -j DNAT --to-destination 127.0.0.1:53 查看输出,应该在最后一页,我能够看到我是有No such file or directory 可以直接看这里 对于我个人是没有加载xt_nat模块,一个可以正
iptables 常用使用命令
u011029104的专栏
01-31 1168
iptables 使用三个不同的链来允许或阻止流量:输入(input)、输出(output)和转发(forward)输入(input) —— 此链用于控制传入连接的行为输出(output) —— 此链用于传出连接转发(forward) —— 这条链用于传入的连接,这些连接实际上不是在本地传递的,比如路由和 NATing。
iptables
码农
06-12 614
iptables is a user-space application program that allows a system administrator to configure the tables provided by the Linux kernel firewall (implemented as different Netfilter modules) and the chains and rule
Iptables 规则用法小结
zhiweiaixiaosang的专栏
11-16 1050
iptables是组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。在日常Linux运维工作中,经常会设置iptables防火墙规则,用来加固服务安全。以下对iptables的规则使用做了总结性梳理: iptables首先需要了解的: 1)规则概念 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存
iptables】增加规则和删除规则
m0_56573171的博客
12-28 3376
看来顺序很重要,如果报文已经被前面的规则匹配到,iptables则会对报文执行对应的动作,即使后面的规则也能匹配到当前报文,很有可能也没有机会再对报文执行相应的动作了,就以上图为例,报文先被第一条规则匹配到了,于是当前报文被”放行”了,因为报文已经被放行了,所以,即使上图中的第二条规则即使能够匹配到刚才”放行”的报文,也没有机会再对刚才的报文进行丢弃操作了。-F选项为flush之意,即冲刷指定的链,即删除指定链中的所有规则,但是注意,此操作相当于删除操作,在没有保存iptables规则的情况下,请慎用。
iptables规则的查看、添加、插入、删除和修改
llxx1234的博客
01-26 3723
http://blog.csdn.net/l241002209/article/details/43987933
iptables怎么用
09-21
### 回答1: iptables是Linux操作系统的防火墙工具。它允许用户控制网络流量进出计算机,并通过设置规则来保护计算机免受网络攻击。 使用iptables的基本步骤如下: 1. 运行以下命令,以管理员权限登录系统: ``` sudo su ``` 2. 运行以下命令,查看当前防火墙规则: ``` iptables -L ``` 3. 运行以下命令,添加新的防火墙规则: ``` iptables -A INPUT -p tcp --dport 80 -j ACCEPT ``` 此命令将允许所有TCP流量到达计算机的端口80。 4. 运行以下命令,将新的防火墙规则永久保存到系统中: ``` iptables-save > /etc/iptables.rules ``` 5. 运行以下命令,以使新规则在系统重新启动时生效: ``` echo 'iptables-restore < /etc/iptables.rules' >> /etc/rc.local ``` 注意:使用iptables需要一定的网络基础知识和系统管理经验,请谨慎操作。如果不确定如何使用iptables,请先查阅相关文档或咨询专业人士。 ### 回答2: Iptables 是一种用于 Linux 操作系统的防火墙工具,可以用于配置和管理网络流量的过滤规则。下面是 iptables 的基本使用方法: 1. 查看当前的 iptables 配置:可以使用 `iptables -L` 命令来查看当前的 iptables 配置,包括已定义的规则和链。 2. 创建新的防火墙规则:可以使用 `iptables -A` 命令来添加新的防火墙规则。例如,`iptables -A INPUT -p tcp --dport 80 -j ACCEPT` 表示接受所有进入端口 80 的 TCP 连接。 3. 修改或删除现有的规则:可以使用 `iptables -R` 命令来修改现有的规则,使用 `iptables -D` 命令来删除现有的规则。 4. 指定规则的位置:在添加或删除规则时,可以使用 `-I` 参数指定规则的位置。例如,`iptables -I INPUT 2 -p tcp --dport 22 -j ACCEPT` 表示在 INPUT 链的第二个位置添加一个接受进入端口 22 的 TCP 连接的规则。 5. 保存和加载规则:可以使用 `iptables-save` 命令将当前的 iptables 规则保存到文件中,并使用 `iptables-restore` 命令从文件中加载规则。 6. 使用链:Iptables 支持多个预定义链,如 INPUT、OUTPUT 和 FORWARD。可以使用 `-A` 参数将规则添加到特定的链上,例如,`iptables -A INPUT ...`。 7. 拒绝或接受流量:可以使用 `-j` 参数指定要对匹配的流量执行的操作。例如,`-j REJECT` 表示拒绝匹配的流量,`-j ACCEPT` 表示接受匹配的流量。 8. 设置规则条件:可以使用各种条件选项来限制规则匹配的源 IP、目标 IP、端口号、协议类型等。 总结来说,iptables 是一个功能强大的 Linux 防火墙工具,可以使用命令行界面来配置和管理网络流量的过滤规则,从而增强系统的安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个高效工作的家伙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值