LINUX中iptables工具

已于 2023-11-03 17:06:35 修改
阅读量159 收藏
点赞数 4
文章标签: linux 网络 运维
于 2023-11-03 17:05:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42165363/article/details/134206655
版权

iptables是Linux操作系统上的一个用于配置和管理网络防火墙的工具。它通过定义规则集来控制网络流量,实现网络安全和访问控制。

iptables有四张表,分别是:

1. `filter`表:这是iptables默认使用的表,用于过滤和控制数据包的流动。它包含了`INPUT`、`OUTPUT`和`FORWARD`三个默认的链。

2. `nat`表:用于网络地址转换(Network Address Translation,NAT)。它包含了`PREROUTING`、`POSTROUTING`和`OUTPUT`三个默认的链。`PREROUTING`链用于处理数据包在路由之前的转换,`POSTROUTING`链用于处理数据包在路由之后的转换,`OUTPUT`链用于处理从本机发出的数据包的转换。

3. `mangle`表:用于修改数据包的特殊选项和标记。它包含了`PREROUTING`、`INPUT`、`FORWARD`、`OUTPUT`和`POSTROUTING`五个默认的链。`PREROUTING`链用于修改数据包在路由之前的选项和标记,`INPUT`链用于修改进入本机的数据包的选项和标记,`FORWARD`链用于修改通过本机转发的数据包的选项和标记,`OUTPUT`链用于修改从本机发出的数据包的选项和标记,`POSTROUTING`链用于修改数据包在路由之后的选项和标记。

4. `raw`表:用于配置连接跟踪系统和一些特殊的数据包处理。它包含了`PREROUTING`和`OUTPUT`两个默认的链。`PREROUTING`链用于在数据包进入路由之前进行处理,`OUTPUT`链用于在数据包从本机发出之前进行处理。

每个表都包含了默认的链,但也可以通过使用`-t`选项来指定不同的表和链。例如,可以使用`iptables -t nat -A PREROUTING`来在`nat`表的`PREROUTING`链中添加规则。

iptables的基本使用语法为:
```
iptables <选项> <链名> <规则>
```

常用的选项有:
- `-A`:添加规则到指定链的末尾
- `-D`:从指定链中删除规则
- `-I`:在指定链的开头插入规则
- `-F`:清空指定链中的所有规则
- `-L`:列出指定链中的所有规则
- `-P`:设置指定链的默认策略
常用的链名有:
- `INPUT`:用于处理进入本机的数据包
- `OUTPUT`:用于处理从本机发出的数据包
- `FORWARD`:用于处理通过本机转发的数据包
- `PREROUTING`:用于对数据包进行路由之前的处理
- `POSTROUTING`:用于对数据包进行路由之后的处理
常用的规则参数有:
- `-p`:指定协议,如TCP、UDP等
- `-s`:指定源IP地址或IP段
- `-d`:指定目标IP地址或IP段
- `--sport`:指定源端口号
- `--dport`:指定目标端口号
- `-j`:指定动作,如ACCEPT、DROP、REJECT等

通过组合使用这些选项、链名和规则参数,可以创建具有不同功能的防火墙规则,例如允许或拒绝特定端口的进出流量,限制特定IP地址的访问等。

注意,iptables规则的执行顺序很重要,它们按照规则列表中的顺序依次进行匹配和处理。因此,在配置iptables规则时需要注意规则的顺序,确保规则能够按照预期的方式生效。

在iptables中,-m参数用于加载不同的扩展模块(match extensions),以便在过滤规则中进行更复杂的匹配条件。-m参数后面跟着要加载的模块的名称。

扩展模块可以提供额外的匹配条件,使您能够根据数据包的各种属性进行更精确的过滤。以下是一些常见的扩展模块及其作用:

1. conntrack:用于跟踪连接状态,并根据连接状态进行过滤。
2. state:与conntrack模块一起使用,用于指定要匹配的连接状态(如ESTABLISHED、RELATED等)。
3. tcp:用于对TCP数据包进行匹配。
4. udp:用于对UDP数据包进行匹配。
5. icmp:用于对ICMP数据包进行匹配。
6. mac:用于对MAC地址进行匹配。
7. limit:用于限制数据包的传输速率。
8. multiport:用于匹配多个端口。

要加载扩展模块,请在iptables规则中使用-m参数,并在参数后面指定要加载的模块的名称。例如,要使用conntrack模块匹配连接状态,可以使用以下规则:

```
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
```

这个规则将允许已建立的和相关的连接通过INPUT链。

请注意,不同的扩展模块有不同的选项和使用方法。要了解特定模块的详细信息,请参考相关文档或使用man命令查看手册页。

要允许IP为10.1.1.1的主机入站SSH连接(端口22),可以按照以下方式配置iptables:

1. 清除所有规则:

```
iptables -F
```

2. 设置默认策略为拒绝所有入站连接:

```
iptables -P INPUT DROP
```

3. 允许已建立的和相关的入站连接:

```
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
```

4. 允许IP为10.1.1.1的主机的SSH连接:

```
iptables -A INPUT -p tcp -s 10.1.1.1 --dport 22 -j ACCEPT
```

5. 允许回环连接:

```
iptables -A INPUT -i lo -j ACCEPT
```

6. 最后,保存和应用配置:

```
iptables-save > /etc/iptables/rules.v4
```

请注意,这只是一个简单的例子,实际的iptables配置可能需要更多规则和定制化。此外,确保在更改iptables配置之前备份您的系统,并确保您了解规则的含义和影响。如果您不熟悉iptables配置,请务必谨慎操作或咨询专业人士。

请一定要自己手动多敲命令!!!

donny_秀
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
火墙管理工具iptables ---iptables的用法、火墙策略的修改
Rengar_Yang的博客
08-23 302
一、常见的两种火墙 iptables 防火墙: iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,如果加载了防火墙的模块,需要在重新加载后进行手动加载防火墙的模块。 firewalld防
LINUXIPTABLES防火墙的基本使用教程
01-20
这里可以使用Linux防火墙netfilter的用户态工具 iptables有4种表:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个表可以配置多个链: * 对于filter来讲一般只能做在3个...
iptables 配置工具比较
ZCatLinux --资讯与技术社区--Open Source World----Linux/Shell/DevOPS--
09-03 2582
作者:Anton Chuvakin 简介 在过去几年Linux作为防火墙平台的应用显著增长。从早期1.2版内核的ipfwadm开始,Linux的防火墙代码也走过了很长一段路程了。在2.4版的Linux内核,使用了netfilter体系。在最新的2.4版Linux大大加强了安全性,例如:更好的加密支持和netfilter体系的使用。netfilter具有完全的向后兼容性。 本文将对ipta
防火墙Firewalld(iptables
最新发布
2201_75444658的博客
08-01 563
要掌握iptables的四表五链,数据包的匹配流程;学会编写防火墙规则;要了解两个策略的原理;了解一下firewalld的9个区域以及配置方法
iptables工具
菜鸟
07-22 2636
1.IPtables和netfilter的关系 iptables并不是真正意义上的防火墙,我们可以理解为一个客户端工具,用户通过ipatbles这个客户端,将用户的安全设定执行到对应的"安全框架",这个"安全框架"才是真正的防火墙,这个框架就是Netfilter 防火墙概念:防火墙是工作在内核的,即防火墙应该是内核所实现的功能. netfilter才是防火墙真正的安全框架,netfilter位于内核空间;iptables是一个命令行工具,位于用户空间,,通过这个命令行工具来操作netfilter ne
Iptables实用脚本工具
weixin_33834137的博客
06-02 146
一:背景要求完成以下功能1.限制300秒内单个IP访问超过300次加入黑名单封杀这个IP访问80,443,25,110,143,934,935等端口,并邮件通知2.实现查看黑名单,剔除黑名单3.实现查看 白名单,新增白名单等功能4.加入黑名单的IP半个小时后恢复(这个占时还做不了,内核要打补丁。)基于以上事实我使用shell脚本实现了以上功能二:脚本第一个脚本是设置iptab...
初识iptables工具
xyx107的博客
02-02 171
1、 配置防火墙的主要工作就是添加、修改和删除一些规则 ,规则(rules)其实就是网络管理员预定义的条件,规则一般的为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时iptables就根据规则所定义的方法来处理这些
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
Linux使用iptables限制多个IP访问你的服务器
01-20
iptables是一个管理netfilter的工具。 多个连续IP操作 1、拆分成多条命令运行 iptables -A INPUT 192.168.122.2 -j ACCEPT iptables -A INPUT 192.168.122.3 -j ACCEPT iptables -A INPUT 192.168.122.4 -j ACCEPT ...
iptablesbuild:大型Linux网络iptables生成工具-开源
05-08
iptablesbuild旨在管理大型linux系统网络iptables配置。 它通过在央位置使用全局配置文件来生成iptables配置,从而发挥作用。 它旨在与现有的Configuration环境结合使用。
iptables Linux防火墙配置工具
gamelife1314的博客
08-12 1956
iptables Linux防火墙配置工具 iptables 是一个配置 Linux 内核 防火墙 的命令行工具 基础架构 请看http://lesca.me/archives/iptables-tutorial-structures-configuratios-examples.html 以及https://wiki.archlinux.org/index.php/Iptables_(%E7%
超详细的iptables设置
04-28
目前所有的HOWTO都缺乏Linux 2.4.x 内核Iptables和Netfilter 函数的信息,于是作者试图回答一些问题,比如状态匹配。作者会用插图和例子 rc.firewall.txt 加以说明,此处的例子可以在你的/etc/rc.d/使用。最初这篇文章是以HOWTO文档的形式书写的,因为许多人只接受HOWTO文档。
Linux常用网络工具系列】iptables
weixin_42072280的博客
12-29 1025
iptables
Linux网络服务之iptables防火墙工具
这是博客的简介的简介
08-20 852
I P T A B L E S
防火墙策略之iptables管理工具
weixin_46138661的博客
04-05 1054
文章目录一.防火墙介绍二.防火墙管理工具切换1.firewalld切换到iptables2.iptales切换到fiewalld三. iptables 的使用四.防火墙默认策略 一.防火墙介绍 问:什么是防火墙? 答:防火墙指的是一个由软件和硬件设备组合而成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障。 防火墙是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Int...
iptables防火墙工具的学习
lpfstudy的博客
04-12 312
iptables --》 是一个防火墙工具 --》linux里的 --》 一个软件iptables 软件防火墙硬件防火墙:装有防火墙的服务器linux的防火墙是基于linux内核实现的内核有一个包过滤机制 netfilter、 它才是真正起作用的方法netfilter 是内核一个数据过滤的模块 保安iptables 是与人打交道的 给保安netfilter传递消息的对讲机kernel:内存 :和硬件打交道作用:1、对CPU进行调度管理2、对内存空间进行分配和管理。
【操作系统】防火墙管理工具-iptables
Sanayeah的博客
03-24 924
netfilter是一个linux内核 功能,用于在 网络数据包 从网络堆栈进入或者离开时进行包过滤和操作。Netfilter 称为防火墙的“内核态”。由软件包iptables提供的命令行工具工作在用户空间,用来编写规则,写好的规则被送往Netfilter-告诉内核如何去处理信息包。
Linux网络安全原理之Linux防火墙工具iptables
qq_41779533的博客
01-23 3470
一、基础的概念性东西,我就不再赘述了点击这里参考网址,netfilter/iptables全攻略 二、iptables用法说明 iptables [-t table] SUBCOMMAND chain [-m matchname [per-match-options]] -j targetname [per-target-options] 1.[-t table]:指定表raw, mangle, nat, [filter]默认 2.SUBCOMMAND:子命令 ,定义如何对规则进行管理 链管理类 -N
iptables配置工具比较
weixin_33862041的博客
11-27 143
在过去几年linux作为防火墙平台的应用显著增长。从早期1.2版内核的ipfwadm开始,Linux的防火墙代码也走过了很长一段路程了。在2.4版的Linux内核,使用了netfilter体系。在最新的2.4版Linux大大加强了安全性,例如:更好的加密支持和 netfilter体系的使用。netfilter具有完全的向后兼容性。 本文将对iptables配置做...
linuxiptables全放通
07-17
Linux系统,`iptables`是一个防火墙工具,用于配置网络包过滤规则。如果需要将所有流量全放通,可以设置默认策略为ACCEPT。以下是基本步骤: 1. 首先,打开终端并以root权限运行`sudo iptables -t nat -F` 和 `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值