iptable

最新推荐文章于 2023-08-24 16:27:06 发布
最新推荐文章于 2023-08-24 16:27:06 发布
阅读量1.4k 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vmboys/article/details/53411031
版权
iptables语法:
         iptables   [-t 表]  <操作命令>  [要操作的链]    [规则号码]  [匹配条件]  [-j  匹配到以后的动作]



表:
     filter      过滤数据包,默认表             
         nat         网络地址转换         (DNAT、SNAT、NASQUERADE)
         mangle    修改数据包,改变包头中内容(TTL,TOS,MARK)    
       (1)TOS:设置改变数据包的服务类型,不要使用TOS设置发往Internet的包除非打算依赖TOS来路由,不能再表中配置任何过滤。SNAT、DNAT
       (2)TTL:  改变数据包的生存时间,可以让数据包只有一个特殊的TTL,欺骗ISP,有些ISP并不希望多台计算机共享一个连接访问Internet,ISP通过检查一台计算机所发出的数据包是否含有不同的TTL来判断。
       (3)Mask:给数据包设置特殊的标记,通过标记配置带宽限制和基于请求分类。                        
         raw            

链:
filter表中的三条链:
      INPUT 链     :  过滤所有目标地址是本机的数据包(对进入本机数据包的过滤)
      OUTPUT链   :  过滤所有本机产生的数据包(对源地址得数据包的过滤)
      FORWARD链 :   过滤所有路过本机的数据包(源地址和目标地址都不是本机的数据包)  


NAT表中的三条链:
      PREROUTING  :   数据包到达防火墙时改变包的目的地址
      OUTPUT         :  改变本地产生数据包的目标地址
      POSTROUTING  :  在数据包离开防火墙时改变数据包的源地址

 Mangle表中的5条链:
      INPUT              在数据包进入本机后,应用程序接受之前改变数据包
      OUTPUT           在数据包被确定目的地址前改变数据包
      FORWARD        第一次路由判断之后,最后一次路由判断前改变数据包 
      PREROUTING     数据包进入防火墙后,路由判断之前改变数据包           
      POSTROUTING       数据确定了目标地址后,即路由判断前改变数据包


操作命令:
-A   -I  -D   -R    -P  -F  -L
查看filter表的forward链命令:  iptables     -vnL   --line-number      FORWARD
查看nat表命令:   iptables  -t nat  -L
设置某链默认策略:  iptables  -P  INPUT DROP

匹配条件:
流入、流出接口(-i、 -o)         (-i   eth+ 所有的ethernet网卡)           (-i   ! eth0 除了eth0网卡)
来源、目的地址(-s、-d)     (-s     ! 192.168.0.0/24)
协议类型           (-p)          (-p  all )
       --tcp-flags            是-p  tcp协议的扩展
                                      iptables  -p tcp  --tcp-flags  SYN,FIN,ACK SYN
                                      TCP状态旗号:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)、PSH(强迫推送)
                              
       --syn                      iptables  -p tcp  --syn
                                      用来比对是否为要求联机之TCP封包,与iptables   -p  tcp  --tcp-flags  SYN,FIN,ACK的作用完全相同,
来源、目的端口(--sport、--dport)       --sport  800:1000    或者       :1000
--tcp-flags  


动作(处理方式):
ACCEPT
DROP
DNAT  --to     改写封包目的地IP为某特定IP或范围
SNAT   --to     改写来源IP为某特定IP或IP范围
MASQUERADE   
iptables   -t nat  -A  POSTROUTING  -p tcp  -o  eth0  -j SNAT   --to-source  194.236.50.155-194.236.50.160:1024-32000
iptables  -t  nat  -A POSTROUTING  -s 192.168.0.0/24 -j MASQUERADE  将源地址是192.168.0.0/24的数据包进行地址伪装

附加模块:
按包状态匹配         state
按来源MAC匹配     mac
按包速率匹配          limit
多端口匹配             multiport


-m  state   --state 检测会话之间的连接关系
                              状态:   NEW、RELATED、ESTABLISHED、INVALID
                              NEW:该包想要开始一个连接(重新连接或将连接重定向)
                             ESTABLISHED:  只要发送并接到应答,一个数据连接从NEW变为ESTABLISHED,而且该状态会继续匹配这个连接的后续数据包
                               RELATED:该包是属于某个已经建立的连接所建立的新连接,例如:FTP的数据传输连接就是控制连接所RELATED出来的连接、--icmp-type 0(ping应答)--                             icmp-type 8(ping请求)所RELATED出来的
                             INVALID:数据包不能被识别属于哪个连接或没有任何状态比如内存溢出,收到不知属于哪个连接的ICMP错误信息,一般应该DROP这个状态的任何数据
                             iptables  -A INPUT -m  state  --state  RELATED,ESTABLISHD  -J ACCEPT

-m  mac    --mac    --mac-source   MAC
                              报文经过路由后,数据包中原有得mac信息会被替换,所以在路由后得iptables中使用mac模块是没有意义得
                              iptables  -A FORWARD -m mac  --mac-source  xx:xx:xx:xx:xx:xx -j DROP

-m  limit   --limit  匹配速率 [--burst 缓冲数量]
                              用一定速率去匹配数据包
                              iptables  -A FORWARD  -d 192.168.0.1-m limit --limit  50/s   -j ACCEPT   也可以/minute  /hour  /day                       iptables   -A INPUT  -m  limit     --limit                                          3/hour  比对每小时平均流量是否超过一次3个封包
                             
      --limit-burst   用来比对瞬间大量封包的数量
                              iptables  -A  INPUT  -m  limit  --limit-burst  5 
                  
-m  multiport  <--sports | --dports  |  --ports  >  端口1[ ,端口2. . . . ,端口n]
                              一次性匹配多个端口,可以区分源端口,目的端口或不指定端口
                              iptables  -A   INPUT  -p tcp    -m multiport  --dports  21,22,25,80,110  -j ACCEPT
                              必须与-p参数一起使用 
Bo_OuYang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptable 源码
04-26
该源码仅供参考,无法直接编译通过。 -------------------------------------------------------------------
Linux 防火墙 iptable命令详解
瓜瓜的测试日志
03-29 2025
原文出处:https://www.cnblogs.com/qwertwwwe/p/9452370.html 参考并转载于以下链接:http://www.cnblogs.com/metoy/p/4320813.htmlhttp://www.ha97.com/4093.html 一、iptables介绍 iptables是Linux中对网络数据包进行处理的一个功能组件,就相当于防火墙,可以对经过...
iptables详解【1】: 概念
focus_lyh的博客
10-23 534
iptable防火墙
12-13
IP tables防火墙的详细见解,描述了IPtables防火墙的使用和作用
iptable网络转发
08-30
2小时玩转iptable
最全的iptable防火墙详解
08-30
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和...
模拟超时、低带宽测试神器之Iptable
07-05
模拟超时、低带宽测试神器之Iptable用法
iptables详解
waghaiping的博客
06-19 5513
第四周作业 1,什么是FQDN,老李要访问微信,简述一下DNS解析过程。
iptables 指定网卡_iptables详解-1
weixin_39984403的博客
11-29 6431
netfilter 防火墙--> iptables 命令netfilter防火墙它有几个概念table --> chain --> 首先是表,还有列,列下面还有一些规则[root@www ~]# iptables -t filter -nvL //-t是指定它的表名 filter(费用特)表 -nvL 查看表下面的规则 三个列 用得最多的是filter表[root@www ~...
iptables防火墙开放、关闭某端口
liujing666888的专栏
12-11 8842
开放某端口:iptables -I INPUT -p tcp --dport 80 -j ACCEPT 关闭某端口 : iptables -D INPUT -p tcp --dport 80 -j ACCEPT 屏蔽某个IP请求 : iptables -I INPUT -s 192.168.0.1 -j DROP (屏蔽单个IP192.168.0.1) 屏蔽IP某段请求 : iptables
iptable 命令使用介绍
最新发布
qq_44913712的博客
08-24 659
然后,`-A POSTROUTING` 选项添加了一条规则,该规则会将从内部私有网络 `192.168.1.0/24` 发出的数据包进行源地址的 NAT 转换,以使这些数据包能够正确地返回到公共网络接口 `eth0`。`-A POSTROUTING` 是 `iptables` 命令中的一个选项,用于在网络数据包从防火墙通过后,离开网络接口之前进行处理。源地址的 NAT 转换是一种网络技术,允许多个内部设备通过一个公共IP地址与外部网络通信,从而解决IP地址不足的问题,并提供更好的网络安全性。
Iptables简单使用
qq_42988315的博客
02-07 551
iptables
IPtable原理
weixin_44723188的博客
04-18 222
IPTable
Linux iptables命令详解
热门推荐
一口Linux的专栏
03-22 14万+
iptables 是 Linux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。下面良许小编就将从几个方面对于Linux iptables命令进行详述,希望对大家有所帮助。 iptables简介 iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和
防火墙--iptables详解
weixin_34268753的博客
03-28 886
一:前言防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。对于T...
win与Linux的防火墙配置
新广州人的网络安全
10-23 2439
操作系统防火墙Windows防火墙问题Linux防火墙iptables参考链接firewall Windows防火墙 环境: OS 名称: Microsoft Windows 10 家庭中文版 OS 版本: 10.0.19042 暂缺 Build 19042 OS 制造商: Microsoft Corporation OS 配置: 独立工作站 OS 构建类型: Multiprocessor Free 注册的所有人: 暂缺
iptable 全通
07-28
- *1* *2* [iptable详解](https://blog.csdn.net/qq_21816375/article/details/78210989)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值