LINUX防火墙iptables基本命令

最新推荐文章于 2021-12-04 11:12:52 发布
最新推荐文章于 2021-12-04 11:12:52 发布
阅读量267 收藏
点赞数
文章标签: 操作系统 网络
原文链接:http://blog.51cto.com/13162375/2095290
版权

一、认识iptables
LINUX防火墙iptables基本命令
LINUX防火墙iptables基本命令
二、Iptables命令
2.1、语法:iptables -t table 命令 chain rules -j target
table:有filter、nat、mangle,默认是filter
命令:
-L 或 --list 查看iptables规则列表
[root@appex ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-v 显示更多设置,-n 以数字形式显示IP地址和端口
[root@appex ~]#iptables -L FORWARD -nv
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- 172.16.2.0/24 172.16.3.0/24 limit: avg 3/hour burst 1000
0 0 ACCEPT all -- 172.16.2.0/24 172.16.3.0/24 limit: avg 303/sec burst 5
0 0 DROP all -- 172.16.2.0/24 172.16.3.0/24 limit: avg 303/sec burst 5
-P 或 --policy 定义默认策略
[root@appex ~]# iptables -t filter -P FORWARD DROP
[root@appex ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@appex ~]# iptables -t filter -P FORWARD ACCEPT
[root@appex ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-A 或--append 在规则列表的最后增加一条规则
[root@appex ~]#iptables -t filter -A FORWARD -p icmp -j DROP
[root@appex ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
DROP icmp -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-I或--insert 在规则列表的最前面插入一条规则
[root@appex ~]# iptables -t filter -I FORWARD 2 -p icmp -j ACCEPT
[root@appex ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
DROP icmp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-R或--replace 替换规则列表中的某条规则
[root@appex ~]#iptables -t filter -R FORWARD 2 -p icmp -j DROP
[root@appex ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
DROP icmp -- anywhere anywhere
DROP icmp -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-D或--delete 从规则列表中删除一条规则
[root@appex ~]#iptables -t filter -D FORWARD 2
[root@appex ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
DROP icmp -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-F或--flush 删除表中所有的规则
[root@appex ~]#iptables -t filter -F
[root@appex ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2.2、Iptables匹配选项
-i或--in-interface 指定数据包从哪块网络接口进入,如eth0、eth1等
-o或--out-interface 指定数据包从哪块网络接口输出,如eth0、eth1等
[root@appex ~]# iptables -t filter -I FORWARD -i eth0 -j DROP
[root@appex ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
-p或--protocol 指定数据包匹配的协议,如TCP、UDP、ICMP等
-s或--source 指定数据包匹配的源地址
-d或--destination 指定数据包匹配的目的地址
--sport 指定数据包匹配的源端口号,可以使用”起始端口号:结束端口号”的格式指定一个范围
--dport 指定数据包匹配的目标端口号,可以使用”起始端口号:结束端口号”的格式指定一个范围
[root@appex ~]# iptables -t filter -I FORWARD -p tcp -s 10.0.0.90/32 -d 10.0.0.80/32 --dport 3389 -j DROP
[root@appex ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- 10.0.0.90 10.0.0.80 tcp dpt:ms-wbt-server
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@appex ~]#iptables -t filter -I FORWARD -p tcp -s 10.0.0.0/24 -d 10.10.10.0/24 --dport 3389 -j DROP
[root@appex ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP tcp -- 10.0.0.0/24 10.0.10.0/24 tcp dpt:ms-wbt-server
DROP tcp -- 10.0.0.90 10.0.0.80 tcp dpt:ms-wbt-server
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2.3、Iptables使用扩展选项
限制网速:-m limit --limit
控制瞬间爆发流量:-m limit --limit-burst
[root@appex ~]# iptables -t filter -F
[root@appex ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@appex ~]# iptables -t filter -I FORWARD -s 172.16.2.0/24 -d 172.16.3.0/24 -m limit --limit 300/second -j ACCEPT
[root@appex ~]#iptables -t filter -A FORWARD -s 172.16.2.0/24 -d 172.16.3.0/24 -m limit --limit 300/second -j DROP //超过的就drop
[root@appex ~]#iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 172.16.2.0/24 172.16.3.0/24 limit: avg 303/sec burst 5
DROP all -- 172.16.2.0/24 172.16.3.0/24 limit: avg 303/sec burst 5
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@appex ~]#iptables -t filter -I FORWARD -s 172.16.2.0/24 -d 172.16.3.0/24 -m limit --limit-burst 1000 -j ACCEPT
[root@appex ~]#iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 172.16.2.0/24 172.16.3.0/24 limit: avg 3/hour burst 1000
ACCEPT all -- 172.16.2.0/24 172.16.3.0/24 limit: avg 303/sec burst 5
DROP all -- 172.16.2.0/24 172.16.3.0/24 limit: avg 303/sec burst 5
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
2.4、处理动作
-j 参数用来指定要进行的处理动作,常用的处理动作包括:ACCEPT、REJECT、DROP、REDIRCT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK
Filter表能使用的主要动作:
ACCEPT:将封包放行,进行完此处理动作后,将不再匹配其他规则,直接跳往下一个规则链
REJECT:拦截该封包,并传送封包通知对方,进行完此处理动作后,将不再匹配其他规则,直接中断过滤程序
DROP:丢弃封包不予处理,进行完此处理动作后,将不再匹配其他规则,直接中断过滤程序。
三、保存和还原iptables设置
3.1、保存修改的iptables到配置文件中
[root@appex ~]# /etc/rc.d/init.d/iptables save
3.2、查看iptables的配置文件
[root@appex ~]# cat /etc/sysconfig/iptables
3.3、保存修改的iptables到一个文件中及从文件中导入到iptables中
[root@appex ~]# iptables-save >iptables.conf1
[root@appex ~]# iptables-restore< iptables.conf1
四、配置NAT实现网络地址转换
[root@appex ~]# ifconfig eth0:0 10.0.0.81 netmask 255.255.255.0
[root@appex ~]#ip addr show eth0:0
2: eth0: < BROADCAST,MULTICAST,UP,LOWER_UP > mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:0c:29:21:85:0e brd ff:ff:ff:ff:ff:ff
inet 10.0.0.80/24 brd 10.0.0.255 scope global eth0
inet 10.0.0.81/24 brd 10.0.0.255 scope global secondary eth0:0
inet6 fe80::20c:29ff:fe21:850e/64 scope link
valid_lft forever preferred_lft forever
[root@appex ~]# iptables -t nat -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
[root@appex ~]# iptables -t nat -A POSTROUTING -s 10.0.10.0/24 -o eth0 -j SNAT --to-source 10.0.0.80-10.0.0.81
[root@appex ~]#iptables -t nat -L POSTROUTING -nv
Chain POSTROUTING (policy ACCEPT 3 packets, 205 bytes)
pkts bytes target prot opt in out source destination
0 0 SNAT all -- - eth0 10.0.10.0/24 0.0.0.0/0 to:10.0.0.80-10.0.0.81
五、mangle表的应用
--ttl-inc 1
--ttl-dec 2
--ttl-set 40
[root@appex ~]#iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
[root@appex ~]# iptables -t mangle -I PREROUTING -i eth0 -j TTL --ttl-inc 1
[root@appex ~]#iptables -t mangle -I PREROUTING -i eth0 -j TTL --ttl-dec 2
[root@appex ~]# iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-set 40
[root@appex ~]#iptables -t mangle -L PREROUTING
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
TTL all -- anywhere anywhere TTL decrement by 2
TTL all -- anywhere anywhere TTL increment by 1
TTL all -- anywhere anywhere TTL set to 40

转载于:https://blog.51cto.com/13162375/2095290

weixin_34033624
关注
Linux 防火墙 iptables
weixin_67033761的博客
06-04 1006
1
Linux防火墙iptables命令详解
下一个艺术家
12-01 1450
本篇博客对Linux防火墙及一些命令进行解释,并展示现象。
iptables配置(/etc/sysconfig/iptables)操作方法
09-15
下面小编就为大家带来一篇iptables配置(/etc/sysconfig/iptables)操作方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
网络安全】iptables
一醉轻王侯的技术博客
11-04 819
网络安全 安全体系概览: Firewalls --> TCP Wrappers --> Xinetd --> PAM -- > SELinux --> Server specific Firewalls: netfilter/iptables      netfilter组件 内核空间,是内核一部分      iptables组件  用户空间,提供管理防火墙的手段,通过iptab
网络安全 之 iptables 防火墙
caofengtao1314的专栏
11-02 615
防火墙简介:                        要防止遭受网络攻击,掌握一种网络访问控制工具的使用是至关重要的,而netfilter/iptables是集成在Linux2.4.X版本内核中的包过滤防火墙系统。           netfilter/iptables框架可以实现数据包过滤、网络地址转换以及数据包管理功能。Linux中的防火墙系统包括两部分:netfilter和
iptables 实现NAT
zxl97121的专栏
04-24 1613
网络环境 A机:提供www服务 B机:提供转发功能 C机:客户机 要求实现在C机上输入B机:80 实现访问A机的www服务 1.在B机上允许IP转发 查看IP转发功能是否打开 cat /proc/sys/net/ipv4/ip_forward 0为禁止,1为允许 修改状态 echo 1 > /proc/sys/net/ipv4/ip_forward  改为允许状态 此值重启后会
Linux应用层】防火墙iptables命令
图像、视频、算法、Linux
11-23 2755
iptables作用展示: iptables的四个表: raw表有2个链:prerouting、output mangle表有5个链:prerouting、postrouting、input、output、forward nat表有3个链:prerouting、postrouting、output filter表中有3个链:input、output、forward
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
最新发布
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
Linux防火墙iptables入门教程
01-10
Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则。如果找不到,iptables将对其采取默认操作。几乎所有的Linux发行...
iptables httpd.conf详解
weixin_30698297的博客
08-09 57
linuxIPTABLES配置详解 http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html Apache中Httpd.conf详解 http://www.cnblogs.com/sunky/articles/1409267.html 转载于:https://www.cnblogs.com/gubook/p...
iptables
格物致知 学以致用
06-17 499
简介 相关文件 /etc/sysconfig/iptables iptables防火墙的规则文件,iptables/netfilter服务在启动时会去读取该文件的内容 /etc/sysconfig/iptables-config iptables的配置文件 四表五链 raw mangle nat Network Address Transfer,用于网络地址转换,可
Linux网络管理—iptables命令
gaoZhuanMing的博客
09-09 440
作用:用于 IP 包的过滤和实现 NAT. 1. 表和链 常用的表有2个:filter 和 nat. 每张表又包含多条链,每条链就是规则序列. filter 表包含 INPUT,FORWARD,OUTPUT 链. nat 表包含 PREROUTING,OUTPUT,POSTROUTING 链. 2. 处理流程 接收到数据包的处理过程 本机收到数据包,由 nat.PREROUTING 先进行处理; 如果数据包的目的地址是本机,则交由 filter.INPUT 进一步处理;然后将数据包交给本机上层协议栈.
Linux iptables 详解
pang_2899的博客
06-26 1420
1、安全优化 大并发的情况下,不能开iptables。我们使用硬件防火墙,当然硬件防火墙也有一定的吞吐量。根据公司业务流量选择防火墙iptables提示nf_conntrack: table full, dropping packet解决办法 “连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有下面几...
iptables nat表含义_【4】iptables理解 - nat表
weixin_39943220的博客
12-21 892
nat表:转换包的源或目标地址,此表有三条链,分别是: PREROUTING(路由前)、POSTROUTING(路由后)、OUTPUTiptables -t nat -L -nChain PREROUTING (policy ACCEPT)target prot opt source destinationChain POSTROUTING (policy AC...
linux中nat配置命令,【Linux命令Linux上如何配置NAT地址转换表
weixin_39947306的博客
04-29 1133
iptables -t nat -L -n 查看所有配置的nat规则[root@luobo root]# iptables -t nat -L -nChain PREROUTING (policy ACCEPT)target prot opt source destinationChain INPUT (policy ACCEPT)target prot...
linux服务配置之Iptables
酒徒词客
05-04 975
一:Iptables防火墙服务                    iptables分为两个部分:一个部分在内核中实现,一个为用户接口命令iptables,用户通过该命令来修改防火墙的功能。所以,iptables要使用相应的功能,必须要在内核中添加相应的模块。modprobe添加模块                   1:防火墙匹配规则   raw表----> mangle表-----
iptables常用配置
kwame211的博客
05-13 5197
1. 普通规则1.1 操作规则 iptables -nL 查看本机关于iptables的设置情况,默认查看的是-t filter,可以指定-t nat iptables-save &gt; iptables.rule 会保存当前的防火墙规则设置,命令行下通过iptables配置的规则在下次重启后会失效,当然这也是为了防止错误的配置防火墙。默认读取和保存的配置文件地址为/etc/sysconfig/iptables。 设置chain默认策略 iptable...
Linux iptables防火墙详解(二)——iptables基本配置
永远是少年
12-04 4170
本文主要内容是Linux iptables防火墙基本配置。 1、iptables基本参数。 2、iptables参数使用示例。
Linux防火墙iptables命令详解与实例
理解iptables命令的这些基本操作和应用场景,可以帮助管理员更有效地保护网络环境,防止未经授权的访问,并允许合法的通信流量。此外,熟练掌握iptables的高级功能,如状态检测、端口转发、多表和策略路由等,将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值