iptables设置规则顺序

于 2024-12-05 22:10:00 发布
阅读量967 收藏 9
点赞数 5
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42035350/article/details/144276528
版权

一、iptables背景说明

使用iptables设置防火墙,可以有效管理防火墙各种规则,在动作目标中,有DROP和ACCEPT两种,这两种规则设置的顺序和要求是怎么样的呢?

一般而言,先把ACCEPT放在前面,DROP放在后面,但这个并非绝对,所以具体看应用场景是怎么样的。

只要记住一个原则,就知道怎么设置防火墙,根据匹配规则原则,设置防火墙规则完成后,系统是一条一条规则去匹配,直至匹配完所有规则。如果第一条规则就已经匹配,就不会继续往下匹配第二条规则,记住这个原则即可。

下面通过实际案例操作,演示说明。

二、iptables设置顺序

假设只允许一个ip地址访问服务器上的8080,8090端口,其他任何ip地址都无法访问该服务器上的8080,8090端口。
源端服务器A:10.2.17.205
目标端服务器B:10.2.17.206

(1). 在目标端服务器B(10.2.17.206)上设置如下规则:
iptables -I INPUT -p tcp -m multiport --dport 8080,8090 -j DROP
iptables -I INPUT -p tcp -m multiport -s10.2.17.205 --dport 8080,8090 -j ACCEPT
#注意:这里使用的是-I,使用-I后加的规则会变成第一个规则,你可以使用-A进行追加,这样规则添加进去的顺序就是你输入命令的顺序

(2). 查看新建的规则:
iptables -nL --line-number
如下图所示:ACCEPT成了1号规则,DROP成了2号规则
在这里插入图片描述
(3). 在源端服务器A(10.2.17.205)服务器上发起telnet测试:
可以看到telnet成功
在这里插入图片描述

(4). 清空规则:
iptables -F

(5). 重新添加规则:这里使用-A追加,顺序添加
iptables -A INPUT -p tcp -m multiport --dport 8080,8090 -j DROP
iptables -A INPUT -p tcp -m multiport -s10.2.17.205 --dport 8080,8090 -j ACCEPT
(6). 查看规则顺序:
iptables -nL --line-number
可以看见现在1号规则顺序是DROP,2号规则才是ACCEPT
在这里插入图片描述
(7). 再次在10.2.17.205服务器上发起telnet测试:
可以看到telnet不成功
在这里插入图片描述

三、iptables总结

设置规则时,到底是把DROP放在前,还是放在最后,需要根据实际场景定论,很多博主会说一般把DROP放在最后,这种说法不严谨。

结合规则匹配顺序,系统匹配规则时,是每条规则顺序匹配,如果第一个规则就能匹配成功,就不会往下继续匹配,按照这个原则设置防火墙即可。

极创者
关注
Linux系统Iptables规则执行顺序详解
weixin_34150503的博客
07-31 1208
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。   1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. ...
iptables规则设置
weixin_40123451的博客
07-23 785
i docker0 -o docker0 -p tcp -m tcp -s 网段地址/掩码 -d172.17.0.2 --dport 端口号 -j ACCEPT。iptables -I DOCKER-USER -i eth0 -o docker0 -p tcp --dport 端口号 -d 容器IP地址/32 -j ACCEPT。iptables -A INPUT -s 网段地址/掩码 -p tcp --dport 端口号 -j ACCEPT。
iptables规则链执行顺序
houlc的专栏
12-20 1万+
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。 1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. 2。The second
iptables规则匹配是有顺序
jesseszr的博客
10-17 1404
因此,如果需要加新ip地址,则需要在加完ip后重新设置一下。假设要只允许1个ip访问,设置以下两条规则,如果顺序为。
iptables规则顺序
yi_Afly的专栏
08-17 1520
iptables的INPUT CHAIN、FORWARD CHIAN和OUTPUT CHAIN中,每当遇到匹配的ACCEPT或者REJECT或者DROP规则时,就不会再继续向下匹配。 所以,以INPUT CHAIN为例,如果想打开某一个特定端口(比如TCP 1990),而屏蔽掉其它端口,应该这样配置:-A INPUT -p tcp --dport 1990 -j ACCEPT -A INPUT
iptables 顺序
weixin_30408739的博客
09-20 202
-A INPUT -s 115.236.6.6/32 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 10.175.197.98/32 -p udp -m udp --dport 111 -j ACCEPT -A INPUT -s 10.171.254.221/32 -p udp -m udp --dport 111 -j ACCEPT -A...
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封包需转送处理则检查Postrouting,如果是来自本机封包,则检查OUTPUT以及Postrouting。过程中如果符合某条规则将会进行处理,处理动作除了ACCEPT、REJECT、DROP、REDIRECT和MASQUERADE以外,还多出 LOG、ULOG等,其中某些处理动作不会中断过滤程序,某些处理动作则会中断同一规则炼的过滤,并依照前述流程继续进行下一个规则炼的过滤,一直到堆栈中的规则检查完毕为止。
Linux防火墙iptables规则设置
遇见J
06-20 327
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置一、语法iptables(选项)(参数)二、选项-t<表>:指定要操纵的表; -A:向规则链中添加条目; -D:从规则链中删除条目; -i:向规则链中插入条目; -R:替换规则链中的条目;...
iptables 匹配规则
weixin_37583747的博客
06-20 6382
iptables 匹配规则1.    源地址匹配:    a.    ip地址匹配                iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP        用“,”分隔多个源地址,地址与“,”之间不能有空格    b.    网段匹配        iptables -t filter -I ...
iptables防火墙
zheshijiuyue的博客
06-07 1815
Linux中关于iptables表,链结构;数据包匹配基本流程;编写iptables规则
iptables命令和防火墙规则顺序
blog
07-21 1070
网络故障排查中,经常要抓包,windows有wireshark,linux最常用的是tcpdump,其中被问得最多的一个问题"iptables限制后,tcpdump还能抓到包吗?显而易见,数据包到达网卡后,tcpdump有能力直接捕获到,不受iptables的影响,此时数据包还没有到达iptables的。链,到达APP后,处理完报文从iptables出去,出去最终要走到。链再到tcpdump,所以此时受到iptables的。...
iptables设置时,要注意规则顺序
weixin_33752045的博客
11-26 1928
iptables设置时,要注意规则顺序, 如果规则顺序不对,可能同样的规则,会有不一样的效果。 从上到下,一层一层过滤。 如下面的Iptables设置。 如果以下语句不放到比较靠后的地方,那么,那个关于并发连接数的限制是无效的。 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 因为,这...
【提醒】使用 iptables 时,特别注意 规则顺序
weixin_34270606的博客
12-01 292
在 centos 上安装 redis 服务器,很快就搞定了,服务器上使用 redis-cl 测试都没有问题了。 但到宿主机上测试,怎么测试都不通过,关键是:关闭了 centos 的 Iptables 就正常,开启就失败。 规则也添加了,咋就不成功呢? ps:使用命令:“iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 6...
操作iptables时应特别注意规则顺序
jiangtongcn的专栏
03-18 8390
oracle在centos本机能够正常访问,关闭防火墙也能够远程访问,但是一旦开启防火墙则不能远程访问 尝试添加规则iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 1521 -j ACCEPT,但是仍然不能远程访问 尝试vi /etc/sysconfig/iptables,修改配置添加-A INPUT -m state
iptables
最新发布
jylee的博客
07-28 771
否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则iptables就会根据该链预先定 义的默认策略来处理数据包。从外界到达防火墙的数据包,先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断该数据包应该发往何处),如果数据包 的目标主机是防火墙本机(比如说Internet用户访问防火墙主机中的web服务器的数据包),那么内核将其传给INPUT链进行处理(决定是否允许通 过等),通过以后再交给系统上层的应用程序(比如Apache服务器)进行响应。
iptables的执行顺序
xiaoxiaozhu2010的专栏
06-19 1万+
Linux系统Iptables规则执行顺序详细讲解     预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。     1。The first is the mangle table which is responsible for the alteration of quality of service
iptables优先顺序
热门推荐
stonesharp的专栏
05-21 1万+
netfilter/iptables IP 信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。 虽然 netfilter/iptables IP 信息包过滤系统被称为单个实体,但它实际上由
Linux防火墙——iptables(四表五链)
zcien的博客
02-12 2605
Linux防火墙iptables(四表五链)详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值