Ubuntu iptables 简单学习

最新推荐文章于 2024-07-12 10:44:51 发布
最新推荐文章于 2024-07-12 10:44:51 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 网络知识 文章标签: Ubuntu iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012911347/article/details/88655602
版权

这里学习下iptables,用的是树莓派,树莓派用的系统Raspbian是基于Debian的,Ubuntu也源自Debian,而Ubuntu更多人知道,所以标题写的是Ubuntu。

简单来说,iptables是用来设置、维护和检查Linux内核的IP包过滤规则的,更多的解释反而让人迷惑,看实际使用来学习,参考:

https://www.cnblogs.com/jiu0821/p/5982070.html

最简单的一条命令:

sudo iptables -L

如下:

这里查看当前iptables规则,有3个常用的默认链,也就是Chain,分别为INPUT/FORWARD/OUTPUT,每个链的缺省策略为接受,即ACCEPT。

接着用下面的命令查看规则编号:

sudo iptables -L --line-numbers

如下:

这里num下面就是该规则的编号,如果没有添加过规则,可能就是空的输出,这里之所以有一条是因为我为了测试,添加了一条,如下:

sudo iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

这里-A参数意思是append,也就是将新规则追加到指定链的尾部,后面的INPUT就是指定的链。

-p参数意思是protocol,比如上面就指定为tcp协议。

--dport则是目的端口,3306是典型的mysql端口。

-j指定动作,这里是ACCEPT,除此之外还有DROP/REJECT/REDIRECT等。

iptables规则会立即生效,但是重启后则会丢失,因此需要设置iptables-persistent

sudo apt install iptables-persistent
sudo netfilter-persistent save

iptables-save这个命令我没用过,好像可以存储规则到文件,然后重启的时候恢复,不过系统有区别,直接用了iptables-persistent挺好用。

接着就是如何删除一条规则,如:

sudo iptables -L --line-number

得到输出为:

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:mysql

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

删除第一条规则,命令为:

sudo iptables -D INPUT 1

这里-D参数意思是删除,后面跟的是链的名字,这里链为INPUT,链后面是该链下的规则序号,这里是1。

后面要学习一些别的较高级的内容,比如-t参数指定规则表。前面的命令没有加这个参数,则视为filter规则表。内建的规则表有三个,分别为nat/mangle/filter。这部分参考:

https://www.jianshu.com/p/58148d2d8416

nat规则表有prerouting和postrouting两个链,主要进行一对一、一对多和多对多等网址转译工作,如SNAT和DNAT。

filter规则表是预设规则表,有INPUT/FORWARD/OUTPUT三个规则链,用来进行封包过滤,如DROP/ACCEPT/REJECT等,基本规则建立在此。

既然说到了表,那么前面罗列规则的时候实际上是限于某个表的,所以如果查看别的,如我的nat表,命令如下:

sudo iptables -L -t nat --line-number

输出为:

Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    DNAT       tcp  --  anywhere             anywhere             tcp dpt:50001 to:149.8.28.5
2    DNAT       tcp  --  anywhere             anywhere             tcp dpt:50001 to:149.8.28.5

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination
1    MASQUERADE  tcp  --  anywhere             anywhere             tcp dpt:50001
2    MASQUERADE  tcp  --  anywhere             anywhere             tcp dpt:50001

这里是我做端口转发的时候添加的规则,具体可以参考我的博客:

https://blog.csdn.net/u012911347/article/details/87805783

那么参考前面删除规则的命令,这里添加-t参数来删除该表中的规则:

sudo iptables -t nat -D PREROUTING 1
sudo iptables -t nat -D POSTROUTING 1

这样前面重复的规则就处理掉了,通过下面的命令查看端口转发情况:

sudo iptables -nvL -t nat
Chain PREROUTING (policy ACCEPT 77 packets, 4658 bytes)
 pkts bytes target     prot opt in     out     source               destination
  158  8216 DNAT       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:50001 to:149.8.8.3

Chain INPUT (policy ACCEPT 77 packets, 4658 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 37 packets, 2344 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 37 packets, 2344 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:50001

-v是verbose,显示详细信息。

捉不住的鼬鼠
关注
专栏目录
ubuntu防火墙iptables使用教程
03-27
这篇文章向读者展示了如何一步一步建立静态防火墙来保护您的计算机,同时在每一步中,我力图向读者讲述清楚原理。在这篇教程之后,你将能理解到防火墙内在过滤机制,同时也能自己动手创建符合自己要求的防火墙。 1、iptables介绍 iptables是复杂的,它集成到linux内核中。用户通过iptables,可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则,来把守你的计算机网络──哪些数据允许通过,哪些不能通过,哪些通过的数据进行记录(log)。接下来,我将告诉你如何设置自己的规则,从现在就开始吧。
ubuntu iptable、services使用指南。让iptable重启不失效!
键盘的起始页
09-06 1万+
一、iptable操作指南 1、在iptable增加 你要开放的端口: sudo iptables -A INPUT -p tcp --dport 8087 -j ACCEPT sudo iptables -A OUTPUT -p tcp --sport 8087 -j ACCEPT 其中INPUT为输入端口(访问),OUTPUT输出端口(你访问别人)。比如你想让网站某个端口开放访问,那么...
Linux安全技术与防火墙
最新发布
2401_84618124的博客
07-12 1119
一、安全技术和防火墙1.1 安全技术入侵检测系统:特点是不阻断网络访问,主要是提供报警和时候报警,不主动介入。入侵防御系统:透明模式工作,对数据包、网络监控、服务攻击、木马蠕虫、系统漏洞等等进行准确的分析和判断。在判定为攻击行为后会立即阻断,主动防御。所有数据在进入本机之前,必须要通过的设备或软件。防火墙:核心功能:隔离,工作在网络或者主机的边缘,一般在Internet和内网之间。对网络或者主机的数据包基于一定的规则进行检查,根据匹配到的规则放行或拒绝(丢弃数据包)。只开放允许访问的策略。
Ubuntuiptables的用法
热门推荐
Sanwer
07-02 3万+
启动iptables modprobe ip_tables 关闭iptables(关闭命令要比启动复杂) iptalbes -F iptables -X iptables -Z iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT modprobe -r ip_tables 依次执行以...
ubuntu iptables 查看规则_Kubernetes使用eBPF替换iptables
weixin_39884144的博客
10-22 177
Kubernetes是一个复杂的平台,其中各个部件协同工作。 Kubernetes网络是最关键(甚至不是最重要)之一。 kubernetes网络有很多层,即Pod网络,服务IP,外部IP等。在此过程中,kube-proxy扮演着重要的角色。在这里,我们尝试通过一些不同的CNI选项将Kubernetes与kube-proxy一起使用,我们将看到它是否具有任何好处,或者kube-proxy是否具有任何...
Ubuntu下更新软件 updata,upgrade
zhyulo的博客
12-06 3992
我们都知道ubuntu是一款linux系统,它不像WINDOWS系统,它是一个开源的系统,它随时都在更新它系统,所以人们都说Linux系统要比WINDOWS系统安全。Ubuntu 系统有自己的自动更新升级机制,但是有时候也需要手动执行更新。比如,某软件发现了漏洞,需要及时更新补丁,但是自动升级的提示还没有出现,这时就需要手动执行更新升级,看看有没有可用的更新。 命令行更新系统步骤如下: 1.打
Ubuntu iptables配置
piaocoder
01-24 2090
配置iptables Ubuntu默认安装是没有开启任何防火墙的,因此为了服务器的安全,建议大家安装启用防火墙设置。 查看系统是否安装了防火墙: whereis iptables iptables: /sbin/iptables /usr/share/iptables /usr/share/man/man8/iptables.8.gz如果默认没有安装,可执行如下语句: sudo apt
常用iptables命令及概念总结
精彩的艺术
12-10 699
开启目的端口22访问 iptables -A INPUT -p tcp --dport 22 -j ACCEPT 开启源端口22访问 iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT 显示nat表的PREROUTING链的规则: iptables -t nat -nL PREROUTING --line-numbers 端口转发: iptables -t nat -A PREROUTING -p tcp -i b...
Ubuntu iptables使用
08-11
- *1* [Ubuntu iptables 简单学习](https://blog.csdn.net/u012911347/article/details/88655602)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
Ubuntu20.04防火墙设置简易教程(小白)
09-14
主要介绍了Ubuntu20.04防火墙设置简易教程(小白),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
ubuntu学习指南
08-14
安装过程中,Ubuntu提供了图形化的安装向导,使得安装过程简单直观,适合新手操作。 二、Ubuntu桌面环境 Ubuntu默认使用GNOME桌面环境,提供了一个简洁且功能强大的工作空间。用户可以自定义桌面壁纸、主题、窗口...
ubuntu-Server-Configuration.zip_Ubuntu C_Ubuntu!
09-24
总之,“ubuntu-Server-Configuration.zip”这个压缩包涵盖了Ubuntu Server的配置和C语言学习两个主题。对服务器的配置和维护是系统管理员的日常工作,而C语言则是软件开发者的基本功。掌握这些知识,将使你在IT领域...
netfilter与iptables & ufw与iptables关系
宾宾宝宝的博客
11-22 1372
本篇主要来介绍一下 什么是netfilter ,iptables 以及两者的关系 什么是ufw ,以及ufw与iptables的关系 先给出一段英文文献供同学们阅读学习 Traffic into or out of a computer is filtered through “ports,” which are relatively arbitrary (任意的)designations(名称) appended to(附加到) traffic packets destined for(注定要) use
如何使用iptablesNAT
weixin_43402206的博客
08-25 1961
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着,所有的防火墙策略规则都被分别写入这些表与链中。
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 5337
本文介绍Linux的iptables命令的用法。
iptables和sudo
萌兔兔MMQ!!
07-01 383
1、详述iptables五链 防火墙 硬件防火墙 软件防火墙 iptables服务是firewalld iptables -Lnv查看规则 本机防火墙和网路防火墙两种 5个表,全大写 PREROUTING INPUT FORWARD OUTPUT POSTROUTING 4个其他功能 raw:关闭连接追踪 mangle:修改其他信息,打标 nat:网络地址转换 filter:过滤 优先级从高到低 4个其他功能表的位置 raw:PREROUTING OUTPUT mangle:全 nat:PREROUTING
iptables命令、规则、参数详解
wu瞌睡虫
10-24 4022
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptablesnat表添加和删除 Linux端口映射配置(实现外网访问内网rabbitmq,进行浏览器访问web)
YKWNDY的博客
07-08 2420
问题描述 外网访问“弹性云服务器1”的弹性公网IP和某个端口,可以自动跳转到“弹性云服务器2”的内网IP和某个端口。 说明: 弹性云服务器1的私网IP:192.168.0.180;绑定弹性公网IP:xxx.xxx.xxx.xxx。 弹性云服务器2的私网IP:192.168.0.97。 操作步骤 登录Linux弹性云服务器1。 执行如下命令,修改文件。 vi /etc/sysctl.conf 在文件中添加“net.ipv4.ip_f...
Linux防火墙iptables基本使用方法
Study_2011的专栏
10-25 924
iptables是Linux上常用的防火墙软件,一般VPS系统里面默认都有集成。 1、安装iptables防火墙 如果没有安装iptables需要先安装,CentOS执行: yum install iptables Debian/Ubuntu执行: apt-get install iptables 2、清除已有iptables规则 iptables -F i
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值