iptables 深度讲解(概念+示例)

于 2025-04-07 11:05:07 发布
阅读量761 收藏 11
点赞数 31
分类专栏: Linux基础 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68736843/article/details/147039121
版权

1. iptables 核心概念

iptables 是 Linux 内核的防火墙工具,用于管理网络数据包的过滤、网络地址转换(NAT)和流量控制。其核心结构如下:

组件说明
表(Tables)按功能分类的规则集合,默认包含 filternatmangleraw 四种表。
链(Chains)规则执行的路径,如 INPUT(处理入站流量)、OUTPUT(处理出站流量)等。
规则(Rules)定义数据包匹配条件和处理动作(如允许、拒绝、重定向)。
2. 常用表与链的作用
表名用途常用链
filter默认表,用于数据包过滤(允许/拒绝流量)。INPUTFORWARDOUTPUT
nat网络地址转换(如端口转发、共享上网)。PREROUTINGPOSTROUTING
mangle修改数据包内容(如 TTL、QoS 标记)。PREROUTINGPOSTROUTING
raw绕过连接跟踪机制,用于高性能场景。PREROUTINGOUTPUT
3. 核心命令语法
iptables -t <表名> <操作> <链名> [匹配条件] -j <动作>

  • 常用操作

    • -A:追加规则到链末尾。

    • -I:插入规则到链开头(或指定位置)。

    • -D:删除规则。

    • -F:清空链中所有规则。

    • -L:列出规则。

  • 常用动作

    • ACCEPT:允许数据包通过。

    • DROP:静默丢弃数据包。

    • REJECT:拒绝并返回错误(如 ICMP 不可达)。

    • DNAT:目标地址转换(用于端口转发)。

    • SNAT:源地址转换(用于共享上网)。

    • LOG:记录日志(需配合 --log-prefix 使用)。

4. 常用匹配条件
匹配条件说明示例
-p <协议>匹配协议(如 tcpudpicmp)。-p tcp
--dport <端口>匹配目标端口。--dport 80
--sport <端口>匹配源端口。--sport 1024:65535
-s <源地址>匹配源 IP 或网段。-s 192.168.1.0/24
-d <目标地址>匹配目标 IP 或网段。-d 10.0.0.1
-i <网络接口>匹配输入接口(如 eth0)。-i eth0
-o <网络接口>匹配输出接口(如 eth1)。-o eth1
-m <扩展模块>使用扩展模块(如 statemultiport)。-m state --state RELATED,ESTABLISHED
5. 典型示例与场景
示例 1:基本防火墙规则
# 允许已建立的连接和回环接口流量

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# 允许 SSH 访问(端口 22)

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 拒绝所有其他入站流量

iptables -A INPUT -j DROP

  • 作用:仅允许 SSH 和本地回环流量,其他流量全部拒绝。

示例 2:端口转发(DNAT)
# 将公网 80 端口的 HTTP 流量转发到内网服务器 192.168.1.100:80

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.100:80
# 允许转发流量

iptables -A FORWARD -p tcp -d 192.168.1.100 --dport 80 -j ACCEPT
# 开启 IP 转发(需修改 sysctl.conf 永久生效)

echo 1 > /proc/sys/net/ipv4/ip_forward

  • 场景:将外网 HTTP 请求转发到内网 Web 服务器。

示例 3:共享上网(SNAT)
# 将内网 192.168.1.0/24 的流量通过 eth0 共享公网 IP

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 1.2.3.4

  • 场景:内网设备通过网关的公网 IP 访问互联网。

示例 4:限速与流量控制
# 限制单个 IP 对 80 端口的访问速率为 100 包/秒

iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/sec -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

  • 作用:防止 DDoS 攻击或滥用。

6. 注意事项

  1. 规则顺序:规则按从上到下匹配,顺序错误可能导致意外结果。

  2. 持久化配置:重启后规则丢失,需通过以下方式保存:

    iptables-save > /etc/iptables/rules.v4  # 保存 IPv4 规则
iptables-restore < /etc/iptables/rules.v4  # 恢复规则

  3. 日志调试:使用 LOG 动作记录匹配的流量:

    iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "SSH Attempt: "

  4. 兼容性:现代 Linux 系统推荐使用 nftables(iptables 的替代品)。

7. 查看 iptables 表的命令
 查看所有表的规则(默认显示 filter 表)
iptables -L

  • 输出示例

    Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
8. 查看指定表的规则
iptables -t <表名> -L

  • 常用表名

    • filter(默认表,可省略 -t filter

    • nat(网络地址转换)

    • mangle(数据包修改)

    • raw(绕过连接跟踪)

  • 示例

    iptables -t nat -L  # 查看 NAT 表规则
iptables -t mangle -L  # 查看 mangle 表规则

    9. 显示规则详情(含计数器)

iptables -L -v

  • 参数说明

    • -v:显示详细信息(如数据包计数、字节计数)。

    • -n:禁用 IP 和端口反向解析(加快显示速度)。

    • --line-numbers:显示规则的行号(便于删除或插入规则)。

  • 示例

    iptables -t nat -L -v -n --line-numbers

    输出示例

    Chain PREROUTING (policy ACCEPT 100 packets, 15000 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1     10   1500 DNAT       tcp  --  eth0   *       0.0.0.0/0            81.6.63.254         tcp dpt:53 to:192.168.100.100

    10. 查看特定链的规则

iptables -L <链名>

  • 示例

    iptables -L INPUT  # 仅查看 INPUT 链的规则
iptables -t nat -L PREROUTING  # 查看 NAT 表的 PREROUTING 链

    11. 以规则原始格式显示(适合保存配置)

iptables-save

  • 输出示例

    *nat
:PREROUTING ACCEPT [100:15000]
-A PREROUTING -d 81.6.63.254/32 -p tcp -m tcp --dport 53 -j DNAT --to-destination 192.168.100.100
COMMIT

    用途:此格式可直接用于 iptables-restore 恢复规则。

基于Java的智能家居设计:打造可扩展的智能家居中心服务器
AI天才研究院
12-09 1541
基于Java的智能家居设计:打造可扩展的智能家居中心服务器 关键词 智能家居系统 Java编程 中心服务器 可扩展性 设备接入 数据管理 性能优化
容器编排:Kubernetes与DockerSwarm
AI天才研究院
05-31 686
下面是以《容器编排:Kubernetes与DockerSwarm》为主题的技术博客文章正文: 容器编排:Kubernetes与DockerSwarm 1.背景介绍 1.1 容器技术的兴起 随着云计算和微服务架
【运维必备】iptables详解:掌握Linux防火墙的核心技能
最新发布
IT成长日记的博客
03-07 757
iptables是Linux内核中Netfilter框架的用户空间工具,用于配置和管理网络数据包的过滤规则。它可以根据源IP、目标IP、端口、协议等条件对数据包进行处理,比如允许、拒绝或转发。##创建自定义链MY_CHAIN,并将其应用到INPUT链iptables是Linux系统中强大的防火墙工具,掌握其核心概念和常用命令,可以帮助你轻松应对各种网络安全需求。希望本文能为你提供一些指导,助你解决一些iptables相关的问题!
防火墙概念iptables命令详解
m0_63963588的博客
03-04 937
当默认链的规则非常多的时候,不方便管理。比如有五十条针对http的规则,有两条针对ssh规则的,有一条针对icmp为了方便管理可以将五十条的http规则重新写到一个自定义链中,以后就可以在这个自定义链中增加有关http协议的规则。使用自定义链:先创建再引用最后创建规则。
iptables 具体介绍
wyq2070857323的博客
03-11 1514
IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。v 详细 n数字化显示 L看规则生产环境用的 比较多比如在INPUT 链 新建web链 和nginx链两个互不干扰 也方便查-N新加自定义链-X清空自定义链的规则,不影响其他链 iptables -X-Z清空链的计数器(匹配到的数据包的大小和总和)iptables -Z-S。
iptables超全详解
weixin_33981932的博客
08-29 212
前提基础:当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户...
iptables全面详解(图文并茂含命令指南)
热门推荐
程序人生
08-04 4万+
iptables原理详解及操作指南
iptables 讲解
凤凰涅槃而生
05-22 4459
在 Linux 网络领域,iptables 是一个强大的工具,用于管理和控制网络流量。它充当防火墙,使系统管理员能够根据定义的规则过滤和操作数据包。本文旨在全面介绍 iptables 及其在 Linux 环境中的使用iptables 是一个用于配置 Linux 内核中 IPv4 数据包过滤器和网络地址转换 (NAT) 的工具。它允许系统管理员根据特定的规则集控制进出系统的网络流量。iptables 提供了一种灵活而强大的方式来保护网络安全、实现网络地址转换、限制流量等。
iptables详细讲解及用法
wyf_wyf_001的博客
05-26 2272
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
10. 理解iptables的基本概念
iptables是Linux操作系统上一个非常重要的网络安全工具,它是一个基于内核模块的包过滤系统,允许管理员控制Linux系统的网络数据包的流动。通过iptables,管理员可以定义规则来实现对数据包的过滤、转发、伪装等操作...
利用Iptables与Selinux实现Web服务器安全
本文旨在介绍如何利用 Iptables 与 Selinux 实现 Web 服务器安全,通过对 Iptables 与 Selinux 的基本原理与配置进行讲解,帮助读者全面了解如何利用这两个工具来提升 Web 服务器的安全性。 ## 1.2 Web 服务器安全...
iptables指令详解
02-26
iptables firewall command !
iptables语法命令汇总
10-16
iptables语法命令汇总,包括添加、查看、删除、插入、清除语法
iptables基本命令规则简介
11-21
iptables基本命令规则简介,快速掌握iptables
如何保证Agent的安全性?
AI天才研究院
05-02 297
以下是关于"如何保证Agent的安全性"的技术博客文章正文内容: 1.背景介绍 1.1 什么是Agent? 在人工智能领域,Agent指的是一种自主的软件实体,能够感知环境、处理信息、做出决策并采取行动以实现既定目标。Agent可以是虚拟助手、机器人、游戏AI等。随着
防火墙--iptables详解
weixin_34268753的博客
03-28 961
一:前言防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。对于T...
iptables的介绍
qq_50247813的博客
03-02 1255
iptables是linux防火墙工作在用户空间的管理工具,是 netfilter/iptablesIP信息包过滤系统的一部分,用来设置、维护和检查Linux内核的IP数据包过滤规则filter负责过滤数据包,包括的规则链有:input,output和forwardnat用于网络地址转换(IP、端口),包括的规则链有:prerouting,postrouting和outputmangle。
iptables 介绍
kv110的专栏
08-20 729
iptables 介绍iptable过滤流程 命令格式 iptables [-t table] command [chain] [match][target] table filter: 默认表,处理包的过滤的表。没有-t就指filter表 nat: 处理网络地址转换的表(network address translation) mangle:可以修改包的信息,如ttl,tos raw:高
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值