linux:iptables (5) 总结加强训练和高级用法搜集

于 2023-04-04 18:48:49 发布
阅读量125 收藏
点赞数
分类专栏: 计算机网络 文章标签: linux 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shunzi2016/article/details/129949239
版权

1.整体总结

1.raw 高级功能网址过滤,最新对数据包的状态进行处理,状态有L:new,established,related,invalid,SNAT,DNAT
2.mangle 数据包修改,qos配置,属于高级功能,可以修改数据包,而其他除了nat之外只是判断
3.nat地址,用于网关路由器,用于设置静态地址绑定,动态地址转换
4.filter,主要用于包过滤,对包中的参数进行判断
5.INPUT:处理即将输入到传输层的数据报
6.OUTPUT:处理从传输层输出即将选择网卡流出的数据包
7.FORWARD:处理转发数据包,经过它的数据包不会进入本地的应用程序
8.PREROUTING:用于目标地址转换(DNAT)
9.POSTROUTING:用于源地址转换(SNAT)

1.ACCEPT:接收数据包
2.DROP:丢弃数据包
3.REDIRECT:重定向,映射,透明代理
4.SNAT:源地址转换
5.DNAT:目标地址转换
6.MASQEURYDE:ip伪装(NAT)用于ADSL
7.log: 日志记录


1.-P 定义规则链中的默认目标
2.-j 指定要跳转的目标
3.-Z 计数器清零
4.越靠前优先级越高

2.基本操作演示

iptables -A FORWARD -j REJECT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -P tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 80 -j DROP
iptabls -A INPUT -j REJECT
iptablEs -A INPUT -j REJECT
iptables -A INPUT -j REJECT
[root@localhost ~]# iptables -nvL --line-number
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1     1141 85509 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
2        1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:22
3        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
4      593 59129 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
2        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      580 66556 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0

3.高级应用及陌生参数

3.1 屏蔽ip

[root@localhost ~]# iptables -A INPUT -s 10.10.20.0/24 -j DROP
[root@localhost ~]# iptables -A INPUT -d 20.20.30.0/24 -j DROP
[root@localhost ~]# iptables -A OUTPUT -d 30.30.30.0/23 -j DROP
[root@localhost ~]# iptables -I INPUT -s 10.10.10.2 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -d 30.30.30.4 -j ACCEPT
[root@localhost ~]#
[root@localhost ~]# iptables -t filter  --list-rules
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-A INPUT -s 10.10.10.2/32 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j DROP
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 10.10.20.0/24 -j DROP
-A INPUT -d 20.20.30.0/24 -j DROP
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -d 30.30.30.4/32 -j ACCEPT
-A OUTPUT -j ACCEPT
-A OUTPUT -d 30.30.30.0/23 -j DROP

 3.2 连续匹配多个地址和多个端口,以及范围匹配

参考并鸣谢:【Linux防火墙】iptables基础用法及高级用法_L李钟意的博客-CSDN博客

千码君2016
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千码君2016

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值