iptables 生效_Linux-Iptables

最新推荐文章于 2024-06-01 07:38:55 发布
最新推荐文章于 2024-06-01 07:38:55 发布
阅读量2k 收藏
点赞数
文章标签: iptables 生效 iptables删除所有规则 iptables命令 iptables里的三个表分别为 iptables限制ip访问

iptables [-t table] command [chain] [rules] [-j target]
table——指定表名 默认filter
command——对链的操作命令
chain——链名
rules——规则
target——动作如何进行

9762594cbb5540222a19a61cd1f4401b.png

1.表选项
表选项用于指定命令应用于哪个iptables内置表,iptables内置包括filter表、nat表、mangle表和raw表。
iptables -t nat | iptables -t mangle | iptables -t raw
2.command命令 说明
-A或—append <链名> 在规则列表的最后增加1条规则 -I id或–insert <链名> 在指定的位置插入1条规则 -D或–delete <链名> 从规则列表中删除1条规则 -P或–policy <链名> 定义默认策略 -L或–list <链名> 查看iptables规则列表 -R id或–replace <链名> 替换规则列表中的某条规则 -F或–flush <链名> 删除表中所有规则 -Z或–zero <链名> 将表中数据包计数器和流量计数器归零
3.chain 说明
不同表包含的链不同详细如下:

95f10c1e964f4491293a277b0ac8fd11.png

4.匹配规则
-i或–in-interface <网络接口名> 指定数据包从哪个网络接口进入,如ppp0、eth0和eth1等
-o或–out-interface <网络接口名> 指定数据包从哪块网络接口输出,如ppp0、eth0和eth1等
-p或—proto协议类型 < 协议类型> 指定数据包匹配的协议,如TCP、UDP和ICMP等
-s或–source <源地址或子网> 指定数据包匹配的源地址
–sport <源端口号> 指定数据包匹配的源端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口
-d或–destination <目标地址或子网> 指定数据包匹配的目标地址
–dport目标端口号 指定数据包匹配的目标端口号,可以使用“起始端口号:结束端口号”的格式指定一个范围的端口 –dport 21-23 –tcp-fiags:TCP的标志位(SYN,ACK,FIN,PSH,RST,URG)

38bd6a4c46a7a035b1daa581429dd1cb.png

5.行为
ACCEPT 接受数据包
DROP 丢弃数据包
REDIRECT 与DROP基本一样,区别在于它除了阻塞包之外, 还向发送者返回错误信息。
SNAT 源地址转换,即改变数据包的源地址
DNAT 目标地址转换,即改变数据包的目的地址
MASQUERADE IP伪装,即是常说的NAT技术,MASQUERADE只能用于ADSL等拨号上网的IP伪装,也就是主机的IP是由ISP分配动态的;如果主机的IP地址是静态固定的,就要使用SNAT
LOG 日志功能,将符合规则的数据包的相关信息记录在日志中,以便管理员的分析和排错
iptables工作过程

d2cd9bc8585b42cae1e1f7415407f41b.png

iptables实例
禁止客户机访问不健康网站
【例1】添加iptables规则禁止用户访问域名为http://www.sexy.com的网站。
iptables -I FORWARD -d http://www.sexy.com -j DROP
【例2】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站。
iptables -I FORWARD -d 20.20.20.20 -j DROP
禁止某些客户机上网
【例1】添加iptables规则禁止IP地址为192.168.1.X的客户机上网。
iptables -I FORWARD -s 192.168.1.X -j DROP
【例2】添加iptables规则禁止192.168.1.0子网里所有的客户机上网。
iptables -I FORWARD -s 192.168.1.0/24 -j DROP
禁止客户机访问某些服务
【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 21 -j DROP
【例2】禁止192.168.1.0子网里所有的客户机使用Telnet协议连接远程计算机。
iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 23 -j DROP
强制访问指定的站点
【例】强制所有的客户机访问192.168.1.x这台Web服务器。
iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –to-destination 192.168.1.x:80
禁止使用ICMP协议
【例】禁止Internet上的计算机通过ICMP协议ping到NAT服务器的ppp0接口,但允许内网的客户机通过ICMP协议ping的计算机。
iptables -I INPUT -i ppp0 -p icmp -j DROP
类比ACL iptables -P INPUT (DROP|ACCEPT) == acl [deny|permit] any any

88b323d7cd8f62dc829bd7d4e1e1c028.png

附加子命令
-n:以数字的方式显示ip,它会将ip直接显示出来,如果不加-n,则会将ip反向解析成主机名。
-v:显示详细信息 -vvv v:越多越详细
-x:在计数器上显示精确值,不做单位换算
–line-numbers : 显示规则的行号
-t nat:显示所有的关卡的信息
-m multiport:表示启用多端口扩展
之后我们就可以启用比如 –dports 21,23,80
练习题1:
只要是来自于172.16.0.0/16网段的都允许访问我本机的172.16.100.1的SSHD服务
分析:首先肯定是在允许表中定义的。因为不需要做NAT地址转换之类的,然后查看我们SSHD服务,在22号端口上,处理机制是接受,对于这个表,需要有一来一回两个规则,如果我们允许也好,拒绝也好,对于访问本机服务,我们最好是定义在INPUT链上,而OUTPUT再予以定义就好。(会话的初始端先定义),所以加规则就是:
定义进来的: iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp –dport 22 -j ACCEPT
定义出去的: iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp –dport 22 -j ACCEPT
将默认策略改成DROP:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
注意:你所定义的所有内容,当你重启的时候都会失效,要想我们能够生效,需要使用一个命令将它保存起来
1.service iptables save 命令 它会保存在/etc/sysconfig/iptables这个文件中
2.iptables-save 命令 iptables-save > /etc/sysconfig/iptables
3.iptables-restore 命令 开机的时候,它会自动加载/etc/sysconfig/iptabels

weixin_39839410
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux系统防火墙iptables
wlc1213812138的博客
06-10 3508
Linux系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包。针对 TCP/IP 数据包实施过滤和限制,属于典型的包过滤防火墙(或称为网络层防火墙)
附件_Linux系统iptables配置方法.pdf
05-08
1. 如果`service iptables save`命令不适用,可以使用`iptables-save`命令导出规则到文件中: ``` iptables-save > /bak/iptables ``` 这`/bak/iptables`为自定义路径,存放规则备份。 2. 然后在iptables配置...
iptables(三)iptables规则管理(增、删、改)
aa43795381的博客
01-25 444
上一篇文章中,我们已经学会了怎样使用iptables命令查看规则,那么这篇文章我们就来总结一下,怎样管理规则。 之前,我们把查看iptables规则的操作比作"增删改查"当中的"查",那么在这篇文章中,我们就聊聊怎样对iptables进行"增、删、改"操作。 注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你...
Linux安全防火墙(iptables)配置策略
最新发布
qq_53058639的博客
06-01 1506
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables 生效_Linux防火墙Firewall和Iptables的使用
weixin_39747577的博客
11-24 333
Linux中有两种防火墙软件,ConterOS7.0以上使用的是firewall,ConterOS7.0以下使用的是iptables,本文将分别介绍两种防火墙软件的使用。Firewall开启防火墙:systemctl start firewalld关闭防火墙:systemctl stop firewalld查看防火墙状态:systemctl status firewalld设置开机启动:...
iptables 生效_iptables详解-2
weixin_39581739的博客
11-29 421
[root@wwww ~]# iptables -nvL pkts bytes target prot opt in out source destination 27(包的数量) 1368(包的大小) REJECT(拒绝) tcp(指定tcp) -- * * 192.168.0.105(来...
iptables规则重启自动生效--永久生效
热门推荐
okhymok的博客
07-10 3万+
方法1: 执行命令:service iptables save 规则自动保存到了/etc/sysconfig/iptables,用此命令保存的规则开机会自动生效。 方法2: 保存规则:#iptables-save >/etc/iptables-script 恢复规则:#iptables-restore>/etc/iptables-script 开机自动恢复规则,把恢复命令添加到启动...
配置 Linux-iptables
10-20
### 配置 Linux-iptables详解 #### 一、iptables的基本理论 **1. 规则(Rules)** 规则是网络管理员定义的条件集合,用于判断数据包是否符合特定标准。这些规则存储在内核空间的信息包过滤中,并且包含了各种...
Linux Ubuntu系统iptables防火墙配置
11-11
使用`sudo iptables-save > /etc/iptables/rules.v4`保存规则到文件,然后通过`sudo /etc/init.d/iptables save`或`sudo service iptables save`(根据具体系统)保存到系统配置。 4.6. 自动加载规则 为了在重启后...
Linux CentOS上用iptables设置防火墙遇到的问题
01-09
服务器环境:阿云云服务器、Linux CentOS操作系统、Couchbase Server  开始的安全策略:默认拒绝所有、只允许所需  操作命令:  允许入站ssh连接 iptables -A INPUT -p tcp –dport 22 -m state –...
Linux基础课件-iptables安装与启动.pptx
11-02
需要注意,iptables服务包(iptables-services)是必需的,因为它将iptables设置为系统服务,使得IPv4和IPv6的规则得以持久化。 安装完成后,可以通过`systemctl start/stop/restart/status iptables`或`...
linux iptables规则修改完成后怎么立即生效
weixin_35756892的博客
01-08 5522
在修改 iptables 规则后,可以使用以下命令立即生效: 使用 service iptables save 命令来保存规则,然后使用 service iptables restart 重启 iptables 服务。 使用 /etc/init.d/iptables restart 命令重启 iptables 服务。 注意:使用这些命令时需要 root 权限。 另外,如果想永久保存 iptab...
linux iptables常用命令之配置生产环境iptables及优化
weixin_34410662的博客
09-28 126
  在了解iptables的详细原理之前,我们先来看下如何使用iptables,以终为始,有可能会让你对iptables了解更深 所以接下来我们以配置一个生产环境下的iptables为例来讲讲它的常用命令   第一步:清空当前的所有规则和计数 iptables -F #清空所有的防火墙规则 iptables -X #删除用户自定义的空链 iptables -Z #清空计数 ...
Linux防火墙Firewall和Iptables的使用
macrozheng的专栏
06-06 226
Linux中有两种防火墙软件,ConterOS7.0以上使用的是firewall,ConterOS7.0以下使用的是iptables,本文将分别介绍两种防火墙软件的使用。...
linux iptables规则修改后立即生效
03-08 1815
iptables 防火墙解析说明
iptables 防火墙
chenx2022的博客
05-21 3468
Linux系统的防火墙:ip信息过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上netfilter / iptables关系:netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤组成,这些包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
iptables 查看 、 添加、 删除、修改、永久生效
新一的博客
05-11 1万+
1、查看iptables -nvL --line-number-L 查看当前的所有规则,默认查看的是filter,如果要查看NAT,可以加上-t NAT参数-n 不对ip地址进行反查,加上这个参数显示速度会快很多-v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口–-line-number 显示规则的序列号,这个参数在删除或修改规则时会用到2、添加添加规则有两个参数:-A...
iptables
yijiull
05-21 164
文章目录一些概念语法NATSNATDNAT端口映射 最近使用了路由器,然后就不能远程登录宿舍的电脑了,今天学习了一下iptables怎么设置端口转发。 一些概念 iptables中有多个格,每个格都定义自己的默认策略与规则,且每个格的用途都不同。 Filter:管理本机进出 NAT:管理后端主机(防火墙内部的其他计算机) Mangle:管理特殊标志(较少使用) 每个格中又有自己的链...
Linux命令学习—Iptables 防火墙(上)
qq_61861243的博客
04-17 1568
可以使用 /etc/rc.d/init.d/iptables save 将当前 iptables 规则写到 /etc/sysconfig/iptables 文 件中,那么每次开机时/etc/rc.d/init.d/iptables start 命令会使 /etc/sysconfig/iptables 中的规 则生效iptables 是由几张所组成,每张又由几条链组成,每张负责不同的封包处理机制,每条链负责不 同的封包走向,具体采取的策略由链规则设定。包过滤技术的优点是简单实用,实现成本较低。
Linux iptables
09-02
Linux iptables是一个基于内核的防火墙工具,它可以通过配置规则来控制网络流量的传入和传出。iptables可以被用来保护计算机免受恶意攻击和未经授权的访问。它使用规则来决定如何处理数据包,可以允许或拒绝特定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值