iptables命令常见理解及使用操作

最新推荐文章于 2024-05-29 11:15:00 发布
最新推荐文章于 2024-05-29 11:15:00 发布
阅读量699 收藏 3
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41831919/article/details/109480212
版权

“四表五链”及“堵通策略”

A.“四表”是指,iptables的功能——filter, nat, mangle, raw.

    filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的链路有input, forward, output

    nat, 控制数据包中地址转换,可以控制的链路有prerouting, input, output, postrouting

    mangle,修改数据包中的原数据,可以控制的链路有prerouting, input, forward, output, postrouting

    raw,控制nat表中连接追踪机制的启用状况,可以控制的链路有prerouting, output

B.“五链”是指内核中控制网络的NetFilter定义的五个规则链,分别为

    PREROUTING, 路由前

    INPUT, 数据包流入口

    FORWARD, 转发管卡

    OUTPUT, 数据包出口

    POSTROUTING, 路由后

C.堵通策略是指对数据包所做的操作,一般有两种操作——“通(ACCEPT)”、“堵(DROP)”,还有一种操作很常见REJECT.

查看iptables表

    -L, --list [chain]:列出规则;

  -v, --verbose:详细信息;

    -vv, -vvv  更加详细的信息

  -n, --numeric:数字格式显示主机地址和端口号;

iptables -nL
iptables -nvL

iptables命令使用操作(iptables [-t 表名] 选项 [链名] [条件] [-j 控制类型] 参数)

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

       -t table,是指操作的表

                          filter、nat、mangle或raw, 默认使用filter

  COMMAND,子命令,定义对规则的管理   

                        -A, --append chain rule-specification:追加新规则于指定链的尾部;

                   -I, --insert chain [rulenum] rule-specification:插入新规则于指定链的指定位置,默认为首部;

                  -R, --replace chain rulenum rule-specification:替换指定的规则为新的规则;

                  -D, --delete chain rulenum:根据规则编号删除规则;

  chain, 指明链路  

                   PREROUTING, 路由前

           INPUT, 数据包流入口

           FORWARD, 转发管卡

          OUTPUT, 数据包出口

          POSTROUTING, 路由后

  CRETIRIA, 匹配的条件或标准

  ACTION,操作动作

               “通(ACCEPT)”、“堵(DROP)”,REJECT

  例如,不允许10.8.0.0/16网络对80/tcp端口进行访问

iptables -A INPUT -s 10.8.0.0/16 -d 188.131.150.204 -p tcp --dport 80 -j DROP

放开8888端口 

iptables -I INPUT -p tcp --dport 8888 -j ACCEPT

修改8888端口为拒绝

iptables -R INPUT 1 -p tcp --dport 8888 -j DROP

删除8888拒绝端口

iptables -D INPUT -p tcp --dport 8888 -j DROP

若是两个规则都有,那条规则在上,按那条规则走(如下所示,因为DROP在ACCEPT之上,所以会拒绝访问8888端口)

扩展匹配条件

multiport 以离散或连续的 方式定义多端口匹配条件,最多15个;

  [!] --source-ports,--sports port[,port|,port:port]...:指定多个源端口;

  [!] --destination-ports,--dports port[,port|,port:port]...:指定多个目标端口;

iptables -I INPUT -d 188.131.150.204 -p tcp -m multiport --dports 22,80,139,445,3306 -j ACCEPT

iprange以连续地址块的方式来指明多IP地址匹配条件;

  [!] --src-range from[-to]

  [!] --dst-range from[-to]

阻止来自IP地址x.x.x.x eth0 tcp的包

    iptables -A INPUT -i eth0 -s x.x.x.x -j DROP
    iptables -A INPUT -i eth0 -p tcp -s x.x.x.x -j DROP

拒绝访问防火墙的新数据包,但允许响应连接或与已有连接相关的数据包

iptables -A INPUT -p tcp -m state --state NEW -j DROP 
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

“-m state”表示数据包的连接状态,“NEW”表示与任何连接无关的

“ESTABLISHED”表示已经响应请求或者已经建立连接的数据包,“RELATED”表示与已建立的连接有相关性的,比如FTP数据连接等。

不忘初心fight
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
iptables命令使用详解和举例
aaronszm的博客
01-15 873
service iptables start setenforce 0 iptables -F service iptables save iptables -L -n iptables -P INPUT DROP iptables -L -n iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT iptables -L -n i...
总结操作系统及Linux的面试常见问题.zip
06-12
以下是基于"操作系统及Linux的面试常见问题"这个主题,涵盖的一些重要知识点。 1. **操作系统基本概念**: - **进程与线程**:理解进程(程序的执行实例)和线程(进程内的执行流)的区别,包括上下文切换、同步与...
iptables操作
decan1994的博客
07-16 183
1、查看 iptables -L Chain:所属的链 (policy ACCEPT):该链的缺省规则 target:对应的处理动作 prot:对应的协议 opt:规则对应的选项 source:对应的源 IP 地址或网段 destination:对应的目的 IP 地址或网段 2、增加 2.1 处理动作 ACCEPT:允许数据包通过。 DROP:直接丢弃数据包。不回应任何信息...
【DevOps】Linux 安全:iptables 组成、命令及应用场景详解
m0_61869253的博客
05-29 701
用户可以定义自己的链来组织复杂的规则集。这允许更灵活的管理,例如创建一个专用链处理特定类型的流量,然后在预定义链中调用这个用户链。用户可以定义自己的链来组织规则,这可以使规则集更加结构化和模块化。定义和使用自定义链-N LOGGING: 创建一个名为LOGGING的新链。: 在LOGGING链中,使用limit模块限制日志记录的速率,防止日志文件快速增长。-j DROP: 在LOGGING链的最后,丢弃所有数据包。
iptables命令使用详解
weixin_46058351的博客
02-24 181
iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四表五链”及“堵通策略” A.“四表”是指,iptables的功能——filter, nat, mangle, raw. ...
iptables 常用使用命令
hietech的博客
08-28 9352
iptables 使用三个不同的链来允许或阻止流量:输入(input)、输出(output)和转发(forward)
iptables入门操作
南风喃的博客
11-02 354
文章目录一、iptables的增删查改1.查2.增3.删4.改5.保存规则二、匹配更多条件1.源地址与目标地址2.协议类型3.网卡接口4.扩展匹配条件4.1源端口与目标端口4.2源地址与目标地址4.3string模块4.4time模块4.5state状态扩展模块 一、iptables的增删查改 1.查 [root@mysql ~]# iptables -t filter -L -nv --line...
操作系统学习-linux系统资料上
最新发布
06-23
通过shell(如bash、sh等)进行交互,用户可以使用各种命令来完成文件操作、系统管理、网络通信等任务。例如,`ls`用来列出目录内容,`cd`用于切换目录,`mkdir`创建新目录,`rm`删除文件或目录,`cp`和`mv`则分别...
Linux操作系统.rar
05-20
Linux操作系统是全球范围内广泛使用的开源操作系统,其设计思想源于UNIX,具有高度稳定性和灵活性。Linux以其免费、开放源代码的特性,吸引了大量的开发者和用户,形成了庞大的社区支持网络。本资料"Linux操作系统....
linux必学的60个命令
02-19
这些命令是Linux操作的基础,熟练掌握它们能够大大提高工作效率,无论是日常使用还是系统维护。通过学习和实践这些命令,你可以更深入地理解Linux系统的工作原理,并为高级系统管理打下坚实的基础。在实际工作中,...
linux基本操作MD文档大全.7z
10-26
同时,理解防火墙规则(iptables或firewalld),设置用户和组权限,以及了解基本的安全实践,有助于保护系统安全。 10-**故障排查和调试**:学会使用`dmesg`查看内核消息,`strace`跟踪系统调用,`gdb`调试程序,...
iptables工作原理及iptables命令使用介绍
粥同学的学习笔记
02-07 9923
iptables详解iptables原理技能 iptables原理 技能 最需要掌握的技能就是查看iptables规则来进行trouble shoot了。掌握iptables的根本在于掌握数据包在四表五链的流转过程。 查看iptables规则最实用的命令是: iptables-save #该条命令会将iptables规则输出到标准输出,其输出的形式和当初添加的形式是一样的,这样就让熟悉iptabl...
Linux学习-iptables操作
丢爸
04-25 326
iptables操作事例 #获取filter表中的规则链信息 [root@nginx02 ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPU
iptables使用
zzchances的博客
04-21 2381
加端口:iptables -A INPUT -p tcp --dport 61000 -j ACCEPT iptables黑洞:iptables -I INPUT -p tcp --sport 8000 -j DROP -s 192.168.1.17 标识从 192.168.1.17 8000端口回来的数据 全部拒绝 先记录,持续更新...
iptables防火墙的基本知识和一些操作
qq_59634082的博客
01-30 542
iptables
iptables 常用管理操作
FlySpace随笔
04-08 199
iptables -L --line-number -v 列出现有的规则,并显示行号,并显示匹配规则的统计信息(包大小和计数)。 iptables -I INPUT -m geoip ! --src-cc US -j DROP 丢弃来源US以外的数据包。 iptables-I INPUT9-m geoip ! --src-cc US-j DROP 按行号加入删除规则 ...
《Centos7——iptables防火墙》
weixin_45842014的博客
10-14 181
目录一、 linux防火墙的表、链结构1. 包过滤的工作层次2. 规则表3. 规则链二、 linux防火墙的匹配规则1. 规则表之间的顺序2. 规则链之间的顺序3.规则链内的匹配顺序三、 编写iptables防火墙规则1. 语法构成2. 数据包的常见控制类型 一、 linux防火墙的表、链结构 netfilter: 1. 位于Linux内核中的包过滤功能体系 2. 称为Linux防火墙的“内核态” iptables: 1. 位于/sbin/iptables,用来管理防火墙规则的工具 2. 称为Linux防
Linux过滤端口命令没那个端口,为什么使用iptables -A INPUT -p tcp --dport 7777 -j DROP指令后,只是过滤端口而不是关闭?...
weixin_33181210的博客
05-05 1138
[root@IEM-COMM~]#nmap-p7777localhostStartingnmap3.70(http://www.insecure.org/nmap/)at2009-06-2016:29CSTInterestingportsonIEM-COMM(127.0.0.1):PORTSTATESERVICE7777/tcpopenunkn...
iptables常用命令
热门推荐
sre救赎之路
04-14 1万+
iptables 是 Linux 中的一个防火墙软件,可以管理 Linux 系统上的网络流量,帮助保护网络安全。
2小时快速入门:企业级iptables实战指南
4. **命令详解**涵盖了常见操作命令,如 `-A`(追加规则)、`-I`(插入规则)、`-D`(删除规则)等,以及查看命令如`-L`(列出当前链中的规则)。这部分为实际应用提供了具体的步骤指导。 5. **实例分析**通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值