iptables语法规则(一)

最新推荐文章于 2024-08-22 17:22:53 发布
最新推荐文章于 2024-08-22 17:22:53 发布
阅读量1.9k 收藏 3
点赞数 2
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ruth13156402807/article/details/121603199
版权

iptables 网络地址转换 数据包过滤 防火墙 规则匹配
关键词由CSDN通过智能技术生成

iptables

一、简介
1、iptables

内核:netfilter

2、四表
  • raw:数据包跟踪
  • mangle:标记数据包
  • nat:网络地址转换
  • filter:数据包过滤
3、五链
  • PREROUTING:路由之前
  • INPUT:数据包流入
  • FORWARD:数据包经过
  • OUTPUT:数据包流出
  • POSTROUTING:路由之后

执行顺序由上到下

4、匹配条件

协议:

​ -p tcp

​ -p icmp (仅有ping使用)

​ -p udp

端口:必须和协议一起写

​ --dport 目标端口

​ --sport 源端口

​ 端口范围匹配:

​ --sport:源端口1:源端口2

​ --dport: 目标端口1:目标端口2

目标动作:target

ACCEPT:允许通过
DROP:直接丢弃,不给出任何回应
REJECT:拒绝通过,必要时会给出提示
LOG:记录日志信息,然后传给下一条规则继续匹配
SNAT:修改数据包源地址
DNAT:修改数据包目的地址
REDIRECT:重定向

查看规则列表
-L:列出所有的规则条目
-n:以数字形式显示地址、端口等信息
-v:以更详细的方式显示规则信息
–line-numbers:查看规则时,显示规则的序号

  • 匹配类型
    • 通用匹配
      可以直接使用,不依赖于其他条件或扩展,包括网络协议、IP地址、网络接口等条件
    • 隐含匹配
      要求以特定的协议匹配作为前提,包括端口、TCP标记、ICMP类型等条件
    • 显示匹配
      ​ 要求以”-m 扩展模块“的形式明确指出类型,包括多端口、MAC地址、IP范围、数据包状态等条件
  • 常见的通用匹配条件
    • 协议匹配: -p 协议名
    • 地址匹配:-s 源地址、-d 目的地址
    • 接口匹配:-i 入站网卡、-o 出站网卡
  • 常见的隐含匹配条件
    • 端口匹配:–sport 源端口、–dport 目的端口
    • ICMP类型匹配: --icmp-type ICMP类型
#设置防火墙,我可以ping别的机器,别的机器无法ping此机器
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -j DROP
  • 常用的显示匹配条件

    • 多端口匹配:-m multiport --sport 源端口列表

      ​ -m multiport --dport 目的端口列表

    • IP范围匹配:-m iprange --src-range IP范围

    • MAC地址匹配:-m mac --macl-source MAC地址

    • 状态匹配:-m state --state 连接状态

iptables -I INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
二、安装及命令
1、安装
#在Centos 7下面安装命令
[root@node ~]# yum install iptables iptables-services iptables-devel -y
#启动iptables
[root@node ~]# systemctl start iptables
#查看iptables状态
[root@nod ~]# systemctl status iptables
#停止firewall防火墙
[root@nod ~]# systemctl stop firewalld
2、命令
#1、命令格式,默认表为filter
iptables -t 表名  动作  链名 匹配规则 -j 目标动作
#几个注意事项:
(1)不指定表名时,默认指filter表
(2)不指定链名时,默认指表内的所有链
(3)除非设置链的默认策略,否则必须指定匹配条件
(4)动作、链名、目标动作使用大写字母,其余均为小写

#2、-F:清空所有规则
[root@nod ~]# iptables -F
#3、查询表,默认表为filter
[root@nod ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 
#4、-A:在链的末尾追加一条规则
[root@nod ~]# iptables -t filter -A   INPUT  -p icmp -s 192.168.0.100  -j REJECT
[root@nod ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

#5、-I:在链的开头(或指定序号)插入一条规则
[root@nod ~]# iptables -I INPUT  -p tcp -s master --dport 8083 -j REJECT
[root@nod ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  192.168.1.100        0.0.0.0/0            tcp dpt:8083 reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 
#6、插入一条规则,插入到第三条
[root@nod ~]# iptables -I INPUT 3  -p tcp -s master --dport 8081 -j REJECT
[root@nod ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  192.168.1.100        0.0.0.0/0            tcp dpt:8083 reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     tcp  --  192.168.1.100        0.0.0.0/0            tcp dpt:8081 reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
#7、修改规则,把第三行规则替换掉
[root@nod ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  192.168.1.100        0.0.0.0/0            tcp dpt:8083 reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     tcp  --  192.168.1.100        0.0.0.0/0            tcp dpt:8082 reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

#8、-D:删除链内指定序号(或内容)的一条规则
[root@nod ~]# iptables -D INPUT -p tcp -s master --dport 8082 -j REJECT
[root@nod ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
REJECT     tcp  --  192.168.1.100        0.0.0.0/0            tcp dpt:8083 reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 
#9、根据行号查询规则
[root@nod ~]# iptables -nL --line
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     tcp  --  192.168.1.100        0.0.0.0/0            tcp dpt:8083 reject-with icmp-port-unreachable
2    REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable
3    REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
#10、根据行号删除规则
[root@nod ~]# iptables -D INPUT 2
[root@nod ~]# iptables -nL --line
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    REJECT     tcp  --  192.168.1.100        0.0.0.0/0            tcp dpt:8083 reject-with icmp-port-unreachable
2    REJECT     icmp --  192.168.0.100        0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination  

#11、列出规则详细 iptables -S INPUT
[root@nod ~]# iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 192.168.1.100/32 -p tcp -m tcp --dport 8083 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 192.168.0.100/32 -p icmp -j REJECT --reject-with icmp-port-unreachable

#12、其他命令
(1)-P:为指定的链设置默认规则
iptables -P chain target
[root@nod ~]# iptables -t filter -P INPUT DORP
[root@nod ~]# iptables -nL
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80

(2)新建链
iptables -N chain
(3)链的重命名
iptables -E old-chain new-chain
(4)删除自定义链
iptables -X [chain]
ruth13156402807
关注
专栏目录
iptables语法命令汇总
10-16
iptables语法命令汇总,包括添加、查看、删除、插入、清除语法
8、iptables 语法规则
LiuWei
05-10 653
文章目录1.语法构成2.常见的动作类型3.添加新的规则4.查看规则列表5.删除清空规则6.设置默认策略7.通用匹配8.隐含匹配9.显示匹配10.SNAT11.DNAT12.备份和还原 1.语法构成 iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 注意事项: 不指定表名时,默认指filter表 不指定链名时,默认指表内的所有链 选项、链名、控制类型使用大写字母,其余均为小写 2.常见的动作类型 ACCEPT:允许通过 DROP:直接丢弃,不给出任何回应 REJECT:拒绝
iptable命令详解
最新发布
weixin_49840888的博客
08-22 1653
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样 条件的数据包进行处理;会按照规则的顺序进行检查,一旦某个数据包匹配到了某条规则,就不会继续检查后面的规则。通常,更具体的规则(如单个 IP 地址)应该放在前面,而更宽泛的规则(如整个子网)放在后面。iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载。
Iptables规则语法
weixin_34221332的博客
12-23 111
Iptables规则语法 分类:防火墙2012-04-19 17:091228人阅读评论(0)收藏举报 inputtcpfilter防火墙output网络 (一) 基本语法 iptables-t filter -A INPUT -p icmp -j DROP 高级语法 iptables-t filter -A INPUT -m mac –mac-source ...
iptables语法规则
qq_50247813的博客
03-03 459
iptables -A FORWARD -d 192.168.1.1 -j DROP //禁止转发192.168.1.1的数据包。显示详细信息,包括每条规则的匹配包数量和匹配字节数 x: 在v的基础上,禁止自动单位换算(K,M)//将源地址是192.168.1.0/24 的数据包进行地址伪装,转换成eth0上的IP地址。//把从eth0口进来访问TCP/80端口的数据包目的地址改成192.168.1.1。2、 数据包的目的(dport)地址是22,就是要访问我本地的22端口。(如为指定,则认为是所有链)
iptables与firewalld使用指南
云天空的博客
01-31 1471
防火墙使用
quicktables:iptables规则集生成器
05-05
快速表已不再开发 quicktables是iptables防火墙和防火墙/ nat(网关)脚本生成器。 创建它是为了快速提供一组安全的iptables规则。 quicktables将要求您回答一小部分问题,并生成您自己的个性化防火墙脚本。
iptables 语法 (经典)
12-06
以上只是一部分iptables的常用语法和示例,实际使用中还可以根据需要添加更复杂的规则,如基于时间的规则、自定义标记等。iptables提供了一种灵活的方式来控制网络流量,确保系统安全并优化网络性能。理解并熟练掌握...
iptables语法
10-15
### iptables语法详解 #### IPFW与Netfilter的数据包传输机制 ##### IPFW数据包传输 IPFW(ipfwadm 和 ipchains)是早期Linux系统中使用的防火墙工具,其核心设计围绕着对数据包进行过滤。在IPFW中,数据包通过三...
运维——Linux防火墙iptables语法详解
海渊_haiyuan的博客
08-01 2694
运维——Linux防火墙iptables语法详解在Linux防火墙中,对于数据报而言,有以下几个流向:PREROUTING–>FORWARD–>POSTROUTINGPREROUTING–>INPUT–>本机OUTPUT–>POSTROUTING数据报的流向主要流向其实也是iptables的两种工作模式: 用作NAT路由器 用作主机防火墙 iptables会根据不同的数据处理包处理功能不同的规则表。
iptables语法初步
weixin_33913377的博客
11-13 106
Iptables语法概述  Iptables指令可以划分为两个部份,一个是“Iptables指令参数”,另一个是“规则语法”。Iptables的参数相当多,这并不代表需要记住所有的参数,实际使用的参数并不是太多,只需要记住几个特定的参数即可,而且Iptables的参数是有规则可循的。如下图所示:例1:列出Filter表中的所有内容1iptables –t filter –L...
iptables系列教程(二) iptables语法规则_iptables -a output -d
2401_83621784的博客
04-17 310
匹配数据进入的网络接口,此参数主要应用nat表,例如目标地址转换。注意:-F 是清空链中规则,但并不影响 -P 设置的默认规则。匹配源地址,可以是IP、网段、域名,也可空(代表任何地址)源地址转换,支持转换为单IP,也支持转换到IP地址池。当数据包没有被任何规则匹配时,则按默认规则处理。匹配协议类型,可以是TCP、UDP、ICMP等。可以是单个端口,也可以是端口范围。Insert,在指定的位置插入规则。Delete,从规则列表中删除规则。Policy,设置某个链的默认规则。Flush,清空规则
Iptables语法详解
weixin_34025051的博客
09-10 201
语法1. 对链的操作建立一个新链 (-N)。删除一个空链 (-X)。改变一个内建链的原则 (-P)。列出一个链中的规则 (-L)。清除一个链中的所有规则 (-F)。归零(zero) 一个链中所有规则的封包字节(byte) 记数器 (-Z)。2. 对规则的操作加入(append) 一个新规则到一个链 (-A)的最后。在链内某个位置插入(insert) 一个新规则(-I),通常是...
Linux中防火墙Iptables】【指令详解】【中文】
依然的专栏
05-24 2053
iptables 指令 语法iptables [-t table] command [match] [-j target/jump] -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。个规则表的功能如下:nat 此规则表拥有 Prerouting 和 postrouting 两个规则链,主要功能为进
iptables基本介绍与语法
weixin_46389364的博客
03-12 198
防火墙 iptables 基本管理 》安装 iptables-services 并启动服务,默认已经安装,不要使用yum卸载,会将依赖卸载导致网络出现问题。 iptables 四表五链: 1)iptables 的 4 个表(区分大小写) : nat (地址转换表) (INPUT OUTPUT PREROUTIN POSTROUTING) filter (数据过滤表) (INPUT OUTPUT ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值