iptables详解
一、iptables是什么?
iptables是linux系统自带管理的防火墙工具,它具有数据包过滤、数据包转发、地址转换、基于MAC地址过滤、基于状态的过滤、包速率限制等安全功能。iptables可以用于构建LINUX主机的防火墙,也可以用于搭建网络防火墙。
二、iptables的作用是什么?
iptables它主要是给防火墙配置规则,让防火墙具有哪些功能。
(注意:真正的防火墙是netfilter)
三、iptables的表与链
iptables服务把用于处理或者过滤流量的策略条目(处理操作)称为规则,多条规则可以组成一个规则链,而规则链则依据数据包处理位置的不同进行分类,iptables具有Filter、NAT、Mangle、Raw四种内建表:
1.Filter表
Filter表示iptables的默认表,用于过滤数据包,控制网络流量,如果没有自定义表,那么就默认使用filter表,它具有以下三种内建链:
-
- INPUT链——处理来自外部的数据
- OUTPUT链——处理向外发送的数据
- FORWARD链——将数据转发到本机的其他网卡设备上
2.NAT表
NAT表:用于等数据包进行地址转换,实现网络地址转换功能。有三种内建链:
-
- PREROUTING链:处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址,通常用于DNAT。
- POSTROUTING链:处理即将离开本机的数据包。它会转换数据包中的源IP地址,通常用于SNAT.
- OUTPUT链:数据包从本机出发之前进行处理
3.Mangle表
Mangle表:用于修改数据包的头部信息,比如TTL、TOS等。它有5个内建链:
-
- PREROUTING链
- OUTPUT
- FORWARD
- INPUT
- POSTROUTING
4.RAW表
Raw表:用于处理数据包的链接状态,对于未建立连接的数据包进行处理。它有两个内建链:
-
- PREROUTING
- OUTPUT
四、安装指定版本的iptables
步骤一:登陆iptable官网,寻找需要安装指定版本的iptables
https://netfilter.org/projects/iptables/index.html #iptables官网地址
步骤二:点击下载iptables的安装包
步骤三:打开终端,去到放置iptables压缩包的目录下,解压该压缩包
tar -xvf iptables-1.8.4.tar.bz2 #解压该压缩包
步骤四:进入iptables-1.8.4目录,然后进行编译安装
cd iptables-1.8.4
./configure
make
sudo make install
(注意如果中间出现一些报错,可能是缺少一些依赖包,可根据系统提示来安装对应的依赖包!!!!!)
五、iptables的使用方法
使用格式:
iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作iptables的参数说明:
-t:对指定的表进行操作,table必须是raw,nat,filter,mangle中的一个。默认是filter表。
-p:指定要匹配的数据包协议类型;
-s, --source address[/mask][,...]:把指定的一个或者一组地址作为源地址,按此规则进行过滤。当后面没有mask 时,address 是一个地址,比如:192.168.1.1;当 mask 指定时,可以表示一组范围内的地址,比如:192.168.1.0/255.255.255.0。
-d, --destination address[/mask][,...]:地址格式同上,但这里指定地址为目的地址,按此进行过滤
-i, --in-interface name:指定数据包的来自来自网络接口,比如最常见的 eth0 。注意:它只对 INPUT,FORWARD,PREROUTING 这三个链起作用。如果没有指定此选项, 说明可以来自任何一个网络接口。同前面类似,"!" 表示取反。
-o, --out-interface name:指定数据包出去的网络接口。只对 OUTPUT,FORWARD,POSTROUTING 三个链起作用。
-L, --list [chain] 列出链 chain 上面的所有规则,如果没有指定链,列出表上所有链的所有规则。
-A, --append chain rule-specification:在指定链 chain 的末尾插入指定的规则,也就是说,这条规则会被放到最后,最后才会被执行。规则是由后面的匹配来指定。
-I, --insert chain [rulenum] rule-specification:在链 chain 中的指定位置插入一条或多条规则。如果指定的规则号是1,则在链的头部插入。这也是默认的情况,如果没有指定规则号。
-D, --delete chain rule-specification -D, --delete chain rulenum:在指定的链 chain 中删除一个或多个指定规则。
-R num:Replays替换/修改第几条规则。
-P, --policy chain target :为指定的链 chain 设置策略 target。注意,只有内置的链才允许有策略,用户自定义的是不允许的。
-F, --flush [chain] 清空指定链 chain 上面的所有规则。如果没有指定链,清空该表上所有链的所有规则。
-N, --new-chain chain 用指定的名字创建一个新的链。
-X, --delete-chain [chain] :删除指定的链,这个链必须没有被其它任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链。
-E, --rename-chain old-chain new-chain :用指定的新名字去重命名指定的链。这并不会对链内部照成任何影响。
-Z, --zero [chain] :把指定链,或者表中的所有链上的所有计数器清零。
-j, --jump target <指定目标> :即满足某条件时该执行什么样的动作。
target 可以是内置的目标,比如 ACCEPT,也可以是用户自定义的链。
-h:显示帮助信息;
六、iptables常用的指令
#查看某个表里的规则 + 规则里的详细信息 -L:列出一条链或所有链中的规则 -v:详细模式
sudo iptables -t nat -L PREROUTING -v #这是查看NAT表里的PREROUTING链里的规则
#删除nat表中PREROUTING链中第一行的规则 -D:删除 1:第一行
sudo iptables -t nat -D PREROUTING 1
#保持已配置好的规则
sudo iptables save
#添加防火墙规则在默认的Filter表的OUTPUT链里添加规则 作用:阻止向168.168.0.16 ip发送数据
sudo iptables -A OUTPUT -p icmp --icmp-type echo-request -d 168.168.0.16 -j DROP
(哪里理解不对的地方,忘各位大佬,批评指正!!部分内容来自网络搜索,若有冒犯,可私信改正。)
扫一扫
4149
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
