iptables

最新推荐文章于 2024-05-22 19:22:10 发布
最新推荐文章于 2024-05-22 19:22:10 发布
阅读量109 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43504892/article/details/119907112
版权

iptables防火墙

iptables的结构:iptables -> Tables -> Chains -> Rules

简单地讲,tables由chains组成,而chains又由rules组成,牢记以下三点是理解iptables规则的关键

Rules包括一个条件和一个目标(target)
如果满足条件就执行目标(target)中的规则或者特定值,
如果不满足条件,就判断下一条Rules

iptables里默认的4个规则表

raw表 --记录状态,确定你是新的数据包还是老的数据包 mangle表 --为数据包设置标记
nat表 --修改数据包中的源、目标IP地址和端口号 (用的第二多的表)
filter表–过滤,确定是否放行该数据包 (用的最多的表,同时也是iptables的默认表)

iptables里默认的5种规则链

INPUT --处理入站数据包
OUTPUT --处理出站数据包
FORWARD --处理转发数据包
PREROUTING --在进行路由选择前处理数据包 POSTROUTING --在进行路由选择后处理数据包

默认情况下路由功能是关闭的(FORWARD)

 cat /proc/sys/net/ipv4/ip_forward
0

	打开路由功能

 echo 1 >/proc/sys/net/ipv4/ip_forward
cat /proc/sys/net/ipv4/ip_forward
1

规则表间的优先顺序

依次为: raw、mangle、nat、filter

规则链内的匹配顺序

按顺序依次进行检查,找到相匹配的规则即停止(LOG策略会有例外) ,若在该链内找不到相匹配的规则,则按该链的默认策略处理

查看iptables防火墙默认的规则表

(1)iptables -L

    查看filter表
        iptables -t filter -L
	查看mangle表
		iptables -t mangle -L
	查看raw表
		iptables -t raw -L
	查看nat表
		iptables -t nat -L

Chain INPUT (policy ACCEPT)
target prot opt source destination
目标 协议 选项 源 目的地

iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]
iptables严格区分大小写
设置规则内容
	-A
		append
			在链尾追加一条新的规则
	-I
		insert
			在指定位置(或链首)插入一条新的规则
	-R
		replace
			修改、替换指定位置或内容的规则
	-P
		policy
			设置指定链的默认策略
列表查看规则
	-L
		列表查看各条规则信息
    	--line-numbers (或者--line)
		     查看规则信息时显示规则的行号
	-n
		以数字形式显示IP地址、端口等信息
	-v
		显示数据包个数、字节数等详细信息
清除规则
	-D
		删除指定位置或内容的规则
	-F
		清空规则链内的所有规则
自定义规则链
	-N
		创建一条新的规则链
	-X
		删除自定义的规则链

新创建的规则链如何被使用?

通过默认的5条规则链调用(类似于归于五链某个管)

删除新创建的规则链
先将链里面的规则删除,然后再将新创建的规则链删除
iptables -D sanchuang 1
iptables -X sanchuang

通用条件匹配
	协议匹配
		-p 协议名
		常用的协议包括tcp、udp、icmp等
	地址匹配
		-s 源地址
		-d 目标地址
		地址可以是单个IP地址、网络地址(带掩码长度)
	接口匹配
		-i 网络接口名
			对应接收数据包的网络接口
		-o 网络接口名
			对应发送数据包的网络接口
隐含条件匹配
	端口匹配
		--sport 源端口
		--dport 目的端口
		端口号之前必须要指明用的是哪种协议
		使用"端口1:端口2"的形式可以指定一个范围的端口
	TCP标记匹配
		使用“--tcp-flags 检查范围 被设置的标记”的形式
		如“--tcp-flags SYN,RST,ACK SYN”表示检查SYN、RST、ACK这3个标记,只有SYN为1时满足条件
	ICMP类型匹配
		使用“--icmp-type ICMP类型”的形式
		ICMP类型可以使用类型字符串或者对应的数值,例如Echo-Request(对应的数值为8)、Echo-Reply(对应的数值为0)
显式条件匹配
	MAC地址匹配
		使用“-m mac”结合“--mac-source MAC地址”的形式
	多端口匹配
		使用“-m multiport”结合“--sports 源端口列表”或者“--dports 目标端口列表”的形式
		多个端口之间使用逗号“,”分隔,连续的端口也可以使用冒号“:”分隔
		举例
			iptables -A INPUT -p tcp -m multiport --dport 9988,8877,6655 -j ACCEPT
	IP地址范围匹配
		使用“-m iprange”结合“--src-range 源IP范围”或者“--dst-range 目标IP范围”的形式
		以“-”符号连接起始IP地址、结束IP地址
几个实例
	在filter表的INPUT链尾追加一条新的规则
		iptables -t filter -A INPUT -p tcp -j ACCEPT
	在filter表的INPUT链首插入一条新的规则
		iptables -I INPUT -p udp -j ACCEPT
	在filter表的INPUT链的第2个位置插入一条新的规则
		iptables -I INPUT 2 -p icmp -j ACCEPT
	更改filter表的INPUT链的默认策略为DROP
		iptables -P INPUT DROP 
	查看filter表的INPUT链的全部规则
		iptables -L INPUT --line
		[root@huyuxuan lianxi]# iptables -L INPUT --line

Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT udp – anywhere anywhere
2 ACCEPT icmp – anywhere anywhere
3 ACCEPT tcp – anywhere anywhere
! 取反

iptables -A FORWARD -p ! icmp -j ACCEPT

这里表示除了icmp协议之外的其他所有协议都ACCEPT,是icmp协议的就拒绝

沃野布兹道
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables 命令大全 iptables -A -L -D等【转】
weixin_30861459的博客
02-11 6162
原文链接http://blog.163.com/xychenbaihu@yeah/blog/static/132229655201212705752493/ iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:n...
iptables 运行逻辑及-I -A 参数解析
weixin_34037515的博客
12-21 1199
  刚开始接触Iptables 就对-I  和 -A 参数很疑惑,-I 插入一条或多条规则 ,-A 是追加一条或多条规则。 都是加一条规则,究竟这两个有什么不同呢? 实验: 拿了两台机器,一台发PING包,一台被PING。 两台机器使用 iptables -nvL INPUT 查看,iptables 是空的 然后在被PING的机器加入 iptables -A INPUT -p icmp...
IPTABLES入门
A1942739902的博客
04-29 259
IPTABLES入门防火墙是什么?防火墙是通过制定一些有顺序的规则,用来管理进入到特定网络范围内数据封包的一种机制。防火墙从实现方法可以分为硬件防火墙和软件防火墙。硬件防火墙 是由厂商设计好的硬件设备,能够在硬件层面上实现解包封包,但离不开软件的辅助。而软件防火墙 由纯软件逻辑实现。本文所论述的防火墙是由内核空间的 netfilter 来读取,并实现让防火墙工作,而放进的地方必须要是特定的位置,
由android防火墙规则添加分析iptables -a -i 区别
最新发布
dreamfly130的博客
05-22 363
当防火墙进行包匹配时,它会按照规则链中规则的顺序,从上到下依次检查每一条规则,直到找到与数据包匹配的规则并执行相应的操作。总结来说,-A和-I的主要区别在于它们将规则添加到规则链的不同位置,从而影响匹配的顺序和优先级。使用-A添加的规则会位于规则链的末尾,而使用-I添加的规则则会位于规则链的开头,具有最高的匹配优先级。因为白名单默认DROP,所以添加白名单时,被允许的应用匹配后,直接return不执行后面的DROP规则,所以RETURN规则要在DROP规则前,所以用-I。
关于iptabels的-A与-I参数
小啊宇的博客
01-12 4945
iptables-参数-A和-I iptables -L -n --line-number 列出链所有的规则 最直观的讲解-A与-I的重要性 -A添加规则的参数,是添加规则在现有的后面 -I添加规则的参数,是添加在规则在现有的前面 如果是互不干涉的规则端口使用-A没关系不会受影响 假设node01节点的机器,我不想让他的ssh链接开放并且限制指定的主机连接 实验主机 三台都是均为虚拟机,主机的内网IP为192.168.1.250 IP 备注 ssh端口均为22 192.168..
Centos_iptables命令
hiroada4的专栏
10-21 183
Linux上iptables防火墙的基本应用教程      /etc/init.d/iptables restart #重启防火墙以便改动生效,当然如果不觉得麻烦也可重启系统(命令:reboot) /etc/rc.d/init.d/iptables save #将更改进行保存   实际应用中-i添加通过是好用的,但是-a不好用,规则填写在了不同位置。(个人怀疑是i是插入从上倒下的前...
iptables讲解
06-08
iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用的叫学,非常的厉害iptables 好用...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
Centos离线安装iptables.docx
04-15
Centos离线安装iptables
IPTABLES简介
06-25
iptables防火墙工作在网络层,针对TCP/IP数据包实施过滤和限制,iptables防火墙基于内核编码实现,具有非常稳定的性能和高效率。
iptables 讲解
凤凰涅槃而生
05-22 4009
在 Linux 网络领域,iptables 是一个强大的工具,用于管理和控制网络流量。它充当防火墙,使系统管理员能够根据定义的规则过滤和操作数据包。本文旨在全面介绍 iptables 及其在 Linux 环境中的使用iptables 是一个用于配置 Linux 内核中 IPv4 数据包过滤器和网络地址转换 (NAT) 的工具。它允许系统管理员根据特定的规则集控制进出系统的网络流量。iptables 提供了一种灵活而强大的方式来保护网络安全、实现网络地址转换、限制流量等。
LINUX 防火墙iptables常用指令
听风闻香的博客
12-12 1218
封单个IP的命令: iptables -I INPUT -s 124.115.0.199 -j DROP 封IP段的命令: iptables -I INPUT -s 124.115.0.0/16 -j DROP 封整个段的命令: iptables -I INPUT -s 194.42.0.0/8 -j DROP 封几个段的命令: iptables -I INPUT -s 61.37.80.0/24...
iptables简单用法
weixin_30911451的博客
02-16 67
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作 三个表filter 主要用于过滤包 内建三个链INPUT、OUTPUT以及FORWARD INPUT作用于进入本机的包;O...
iptables命令
a19860903的专栏
02-16 391
本文来自: http://man.linuxde.net/iptables iptables命令 iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。 语法  iptables(选项)(参数)
iptables 插入规则-I和追加规则-A。
zhaodayeyeye的博客
11-19 2万+
研究了大半天的iptables 开放端口 (改了22端口)ssh一直连接不上,查看网上资料很多用iptables -A INPUT -p tcp --dport 80 -j ACCEPT 修改了也一直连接不上,最后发现而两个规则放行规则的差异只是 -A 和 -I ,-A 追加规则在DROP 规则后,-I增加规则在DROP 规则前。 iptables 是由上而下的进行规则匹配,放行规则需在禁行规则之...
iptables 增加
fengqinyun168的专栏
12-22 119
新增防火墙 规则 [code="java"] iptables -A INPUT -i em1 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i em1 -p icmp -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i ...
iptables防火墙添加规则
Bitcoin学习中,欢迎吐槽
03-27 538
1:放开mysql 3306端口方法: iptables -I INPUT 1 -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT 2:未添加过规则的iptables文件在/etc/sysconfig 目录下找不到 The /etc/sysconfig/iptables-config file store
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
查询iptables
04-30
iptables是Linux系统中用于配置和管理网络防火墙的工具。它允许管理员定义规则来控制网络流量的进出。以下是查询iptables的一些常用命令和方法: 1. 查看当前的iptables规则: ``` iptables -L ``` 2. 查看详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值