iptables 讲解

已于 2023-05-22 22:55:30 修改
阅读量4k 收藏 83
点赞数 10
分类专栏: linux 文章标签: 网络 linux 服务器
于 2023-05-22 22:32:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42704442/article/details/130816837
版权

文章目录

简介

在 Linux 网络领域,iptables 是一个强大的工具,用于管理和控制网络流量。它充当防火墙,使系统管理员能够根据定义的规则过滤和操作数据包。本文旨在全面介绍 iptables 及其在 Linux 环境中的使用

1. 什么是 iptables?

iptables 是一个用于配置 Linux 内核中 IPv4 数据包过滤器和网络地址转换 (NAT) 的工具。它允许系统管理员根据特定的规则集控制进出系统的网络流量。iptables 提供了一种灵活而强大的方式来保护网络安全、实现网络地址转换、限制流量等。

2. iptables 的工作原理

iptables 是基于 Linux 内核的 Netfilter 框架实现的。当数据包进入或离开系统时,Netfilter 框架会将数据包传递给 iptables 进行处理。iptables 通过检查数据包的源地址、目标地址、协议类型、端口号等信息,并根据预定义的规则集来决定如何处理该数据包。

3. iptables 的基本概念

在使用 iptables 时,有几个基本概念需要了解。

链 (Chain)

链是规则的集合,用于确定数据包在系统中的处理路径。iptables 包含几个预定义的链,如 INPUT、OUTPUT 和 FORWARD。每个链都有特定的处理方式和默认策略。

表 (Table)

表定义了特定类型的规则集。iptables 提供了四个表:filter、nat、mangle 和 raw。每个表用于不同的目的,如过滤数据包、网络地址转换等。

规则 (Rule)

规则是定义在链中的指令,用于决定数据包的处理方式。规则由匹配条件和动作组成。当数据包满足匹配条件时,将执行相应的动作。

4. iptables 的安装和配置

要使用 iptables,需要先安装它并配置相应的规则。在大多数 Linux 发行版中,iptables 已经预装并包含在默认安装中。可以使用包管理器来安装 iptables。安装完成后,可以编辑 iptables 配置文件来定义规则。

5. 常见的 iptables 命令

iptables 提供了一组命令行工具,用于管理和操作规则。以下是一些常见的 iptables 命令:

iptables 的基本语法

iptables 的基本语法如下所示:

iptables [选项] <链名> <规则>

其中,选项用于指定不同的操作和参数,链名用于确定规则所属的链,规则定义了匹配条件和动作。

添加规则

要添加一条规则,可以使用 -A 选项,后跟链名和规则。例如,要向 INPUT 链添加一条允许 ICMP 数据包通过的规则,可以执行以下命令:

iptables -A INPUT -p icmp -j ACCEPT

此命令将在 INPUT 链末尾添加一条规则,如果数据包的协议类型是 ICMP,则将其接受。

删除规则

要删除一条规则,可以使用 -D 选项,后跟链名和规则。例如,要删除 INPUT 链中的第一条规则,可以执行以下命令:

iptables -D INPUT 1

此命令将从 INPUT 链中删除第一条规则。

查看规则

要查看当前定义的规则,可以使用 -L 选项,后跟链名。例如,要查看当前 INPUT 链中的所有规则,可以执行以下命令:

iptables -L INPUT

此命令将显示 INPUT 链中的所有规则。

6. iptables 的规则匹配

iptables 使用规则中定义的匹配条件来确定数据包的处理方式。以下是一些常见的匹配条件和选项:

匹配条件

  • -p:指定数据包的协议类型,如 TCP、UDP、ICMP 等。
  • -s:指定数据包的源地址。
  • -d:指定数据包的目标地址。
  • -i:指定数据包进入系统的网络接口。
  • -o:指定数据包离开系统的网络接口。

匹配选项

  • --sport:指定数据包的源端口。
  • --dport:指定数据包的目标端口。
  • --state:指定数据包的连接状态,如 NEW、ESTABLISHED、RELATED 等。
  • --mac-source:指定数据包的源 MAC 地址。
  • --mac-destination:指定数据包的目标 MAC 地址。

匹配动作

  • -j:指定匹配成功时要执行的动作,如 ACCEPT、DROP、REJECT 等。

7. 常见的 iptables 用例

iptables 可以应用于多种用例,包括以下几个常见的用例:

防火墙设置

使用 iptables 可以创建一个防火墙,限制进出系统的网络流量。通过定义适当的规则,可以允许或拒绝特定协议、端口或 IP 地址的数据包。

(1) 机器预约下线(只保持22端口,其他端口拒绝访问)

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -P INPUT DROP
  • 第一条规则匹配端口 22的 TCP 数据包进行允许。
  • 第二条规则将未匹配到第一条规则的数据包进行拒绝(DROP)

(3)拒绝 ICMP Echo 请求

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

网络地址转换 (NAT)

iptables 提供了强大的网络地址转换功能,可以将内部网络的私有 IP 地址转换为公共 IP 地址,以实现与外部网络的通信。

(1)内部服务器的私有 IP 地址转换为公共 IP 地址

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
  • -t nat:指定规则应用于 nat 表,该表用于处理网络地址转换相关的规则。
  • -A POSTROUTING:将规则添加到 POSTROUTING 链,该链用于处理数据包离开系统之前的操作。
  • -s 192.168.0.0/24:指定源 IP 地址或地址段。这里使用 192.168.0.0/24 表示源 IP 地址范围是 192.168.0.0192.168.0.255,也就是一个 CIDR 表示法的地址段。
  • -o eth0:指定出口网络接口,这里使用 eth0 表示数据包将从该接口出去。
  • -j MASQUERADE:指定要执行的动作是 MASQUERADE,它会修改数据包的源 IP 地址,将其替换为系统所在网络接口的 IP 地址,以实现网络地址转换。

换句话说,这条规则的作用是将位于 192.168.0.0/24 网络的数据包在离开系统时进行网络地址转换。它将数据包的源 IP 地址替换为系统所在网络接口 eth0 的 IP 地址,以实现与外部网络的通信。

端口转发

通过 iptables 的端口转发功能,可以将进入系统的数据包转发到不同的目标 IP 和端口上,实现内部网络服务的访问。

(1) 将外部访问的 HTTP 流量转发到内部 Web 服务器

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.10:80
  • -t nat:指定规则应用于 nat 表,该表用于处理网络地址转换相关的规则。
  • -A PREROUTING:将规则添加到 PREROUTING 链,该链用于处理数据包到达系统之前的操作。
  • -i eth0:指定入口网络接口,这里使用 eth0 表示数据包将从该接口进入系统。
  • -p tcp:指定数据包的协议为 TCP。
  • --dport 80:指定目标端口为 80,即要转发的端口为 80。
  • -j DNAT:指定要执行的动作是目标网络地址转换 (DNAT),它会修改数据包的目标 IP 地址和端口。
  • --to-destination 192.168.0.10:80:指定转发的目标 IP 地址和端口,这里将数据包转发到内部网络中的主机 192.168.0.10 的端口 80。

换句话说,这条规则的作用是将进入系统的端口 80 的 TCP 数据包进行转发。它会将目标 IP 地址和端口修改为 192.168.0.10:80,以实现外部网络对系统的端口 80 的访问被转发到内部网络的主机 192.168.0.10 的端口 80。

这样,当有外部网络请求访问系统的端口 80 时,数据包会经过该规则进行转发,达到实现端口转发的目的。

流量控制

通过定义规则和限制条件,可以使用 iptables 控制网络流量,以平衡系统的带宽和资源使用情况。

(1) 限制访问速率,防止ddos攻击

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute --limit-burst 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
  • 第一条规则使用 -m limit 选项来匹配端口 80 的 TCP 数据包,并设置连接速率限制为每分钟 10 个连接。--limit-burst 20 用于指定允许突发的连接数为 20,这意味着在开始限制之前,可以允许 20 个连接的突发。
  • 第二条规则将未匹配到第一条规则的数据包进行拒绝(DROP)

(2) 限制每个 IP 的连接数

iptables -A INPUT -p tcp --syn -m connlimit --connlimit-above 10 -j DROP

8. iptables 的高级用法

除了基本的规则匹配和动作之外,iptables 还提供了一些高级功能:

用户定义链

用户可以创建自己的自定义链,并在规则中引用这些链。这样可以将复杂的规则集组织成更易于管理和理解的结构。

扩展模块

iptables 支持扩展模块,可以通过加载这些模块来添加额外的功能和匹配选项。这些模块提供了更多的灵活性和定制性。

日志记录

iptables 可以将特定数据包的信息记录到日志文件中,以便后续分析和故障排除。可以配置日志记录的级别、格式和目标。

9. iptables 的安全性考虑

在使用 iptables 时,需要注意一些安全性考虑,以确保系统的安全性和稳定性:

防止暴力攻击

通过 iptables 可以限制来自特定 IP 地址的连接尝试次数,以防止暴力攻击和密码破解。

防止拒绝服务 (DoS) 攻击

使用 iptables 可以限制连接请求的速率,以防止拒绝服务 (DoS) 攻击。可以限制每个 IP 地址的连接数或请求速率。

防止 IP 欺骗

iptables 可以配置反源地址欺骗 (Reverse Path Filtering) 来验证数据包的源 IP 地址的合法性,以防止 IP 欺骗攻击。

10. 使用 iptables 的最佳实践

以下是一些使用 iptables 的最佳实践:

编写有效的规则

规则应该准确明确,并只允许必要的流量通过。避免使用过于宽松的规则,以免给系统带来安全隐患。

定期审查规则

定期审查 iptables 规则是很重要的,以确保规则仍然适用于当前的网络环境和安全需求。可以使用注释来标记和解释规则。

备份和恢复规则

定期备份 iptables 规则是一种好习惯,以防止规则丢失或损坏。在进行重要更改之前,应该先备份当前的规则。如果需要恢复规则,可以使用备份文件进行恢复。

12. 总结

iptables 是 Linux 网络管理中不可或缺的工具之一。通过理解 iptables 的工作原理、基本概念和常见用法,可以更好地控制和管理系统的网络流量。在使用 iptables 时,始终牢记安全性考虑和最佳实践,以确保系统的安全和稳定。

希望本文对理解和使用 iptables 提供了全面的指导,并帮助读者更好地掌握这一强大的网络工具。

先备份当前的规则。如果需要恢复规则,可以使用备份文件进行恢复。

12. 总结

iptables 是 Linux 网络管理中不可或缺的工具之一。通过理解 iptables 的工作原理、基本概念和常见用法,可以更好地控制和管理系统的网络流量。在使用 iptables 时,始终牢记安全性考虑和最佳实践,以确保系统的安全和稳定。

希望本文对理解和使用 iptables 提供了全面的指导,并帮助读者更好地掌握这一强大的网络工具。

(~ ̄▽ ̄)~凤凰涅槃
关注
  • 10
    点赞
  • 83
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
iptables详细讲解
05-19
关于iptables的详细描述,可以让你有更多的收获。
【DevOps】Linux 安全:iptables 组成、命令及应用场景详解
m0_61869253的博客
05-29 711
用户可以定义自己的链来组织复杂的规则集。这允许更灵活的管理,例如创建一个专用链处理特定类型的流量,然后在预定义链中调用这个用户链。用户可以定义自己的链来组织规则,这可以使规则集更加结构化和模块化。定义和使用自定义链-N LOGGING: 创建一个名为LOGGING的新链。: 在LOGGING链中,使用limit模块限制日志记录的速率,防止日志文件快速增长。-j DROP: 在LOGGING链的最后,丢弃所有数据包。
iptables详解
waghaiping的博客
06-19 5735
第四周作业 1,什么是FQDN,老李要访问微信,简述一下DNS解析过程。
防火墙(二):centos6的iptables讲解
qq_43072797的博客
06-16 747
iptables讲解1.iptables前言1.1 iptables与netfilter①.iptables与netfilter联系②.netfilter模块③.iptables规则:1.2 四表五链讲解。①.iptables的数据传输过程:②.四表五链介绍2.iptables用法2.1:iptables命令用法2.2:iptables各参数详解2.3:iptables练习 1.iptables前言 1.1 iptables与netfilter ①.iptables与netfilter联系 iptables
linuxiptables讲解
weixin_33795833的博客
11-26 67
iptables(netfilter网络过滤器) iptableslinux上特有的防火墙机制,功能非常强大。CentOS默认是没有iptables规则。 iptables命令可用于配置Linux的包过滤规则,常用于实现防火墙、NAT。 常用选项: iptables -nvL查看规则(-n为数字显示输出的ip地址和端口 -v 为可视化显示 -L...
iptables服务讲解
Liang_GaRy的博客
10-18 1238
Linux-iptables服务讲解
iptables讲解
w3045872817的博客
10-15 354
一:前言防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。对于TCP/IP的七层模型来讲
防火墙与iptables讲解【转】
weixin_34150503的博客
01-23 58
原文:http://www.opsers.org/linux-home/videos/chapter-netfilter-iptables-raiders.html 防火墙 防火墙简介 防火墙分类 防火墙的工作原理   iptables iptables基础 iptables传输数据包的过程 iptables命令格式 iptables语法 iptable...
iptables详细讲解及用法
wyf_wyf_001的博客
05-26 1523
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
iptables手册详解
11-08
iptables手册详解,静态网页版,对netfile网络基础知识做全面介绍,详细讲解iptables命令以及应用场景。
MarkTool之TCP服务端
Qt学视觉
07-24 401
MarkTool之TCP服务端
Linux网络工具“瑞士军刀“集合
分享不一样的技术,与你一起共同成长!
07-26 218
下面结合之前的一些使用经验为大家介绍一下一些经典应用场景下,这个网络命令工具如何使用的。例如怎么查看当前服务器监听哪些端口、连接目标主机端口情况如何?平常我们在进行Linux服务器相关运维的时候,总会遇到一些网络相关的问题。我们可以借助这些小巧、功能强悍的工具帮助我们排查问题、解决问题...
S5730举例
最新发布
jjjxxxhhh123的博客
07-27 603
例子: 假设在校园网络中,某些交换机之间存在多个连接(可能是多个光纤),如果没有STP,这些多个连接可能导致数据包在网络中无限制地传输,形成网络风暴,导致整个网络瘫痪。PIM-SM通过仅在需要时在网络中传输组播数据包,减少网络带宽的占用,提高数据传输效率。[sysname-GigabitEthernet0/0/1] ospf cost 10 // 设置接口的OSPF成本,影响路径选择。综上所述,这些网络技术和配置在大学校园网络中起到关键作用,确保网络运行高效、安全和可靠,同时满足用户的多样化需求。
网络编程套接字socket
安权_code的博客
07-23 941
网络编程中的套接字(socket)是实现网络通信的关键,换句话来说,套接字像两个端点,而发送方与接收方就是通过这两个端点进行通信的,socket的意思是插座,表示插头和插座连接上后,即发送方和接收方连接上了,然后把电流通过插座流向插头对标发送方与接收方建立了链接。
iptables 讲解一下
06-09
iptables是一个在Linux系统中管理网络安全的工具,它可以用来过滤、阻止、转发和修改网络数据包。iptables可以用来控制网络流量,允许或拒绝特定的网络连接、端口或协议。它可以对入站和出站流量进行过滤,还可以对网络地址和端口进行转换。 iptables的基本工作原理是将网络数据包与一系列规则进行匹配。如果数据包与规则匹配,则根据规则执行相应的操作。iptables使用链来组织规则,链是一系列规则的集合,这些规则按顺序执行。iptables有五个预定义的链: 1. INPUT:控制输入流量,即进入本机的流量。 2. OUTPUT:控制输出流量,即从本机出去的流量。 3. FORWARD:控制转发流量,即从本机转发到其他机器的流量。 4. PREROUTING:控制在路由决策之前的流量。 5. POSTROUTING:控制在路由决策之后的流量。 iptables的规则由三部分组成:规则链、匹配条件和操作。规则链指定要应用规则的链,匹配条件指定要检查的数据包的属性,操作指定如果数据包匹配规则应该执行的操作。例如,以下规则将拒绝所有从IP地址为192.168.1.1的主机发送到本机的TCP连接: ``` iptables -A INPUT -s 192.168.1.1 -p tcp -j DROP ``` 该规则将被添加到INPUT链的末尾,当数据包的源地址是192.168.1.1,协议是TCP时,数据包将被丢弃。 iptables非常强大和灵活,但同时也非常复杂。如果你需要使用iptables来管理网络安全,请务必仔细阅读相关文档,并且在测试过程中小心谨慎。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

(~ ̄▽ ̄)~凤凰涅槃

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值