iptables 的常见用法

最新推荐文章于 2022-09-25 23:48:38 发布
最新推荐文章于 2022-09-25 23:48:38 发布
阅读量352 收藏 4
点赞数 3
分类专栏: linux 文章标签: iptables 防火墙 nat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42180497/article/details/100677316
版权

iptables 的常见用法

初学iptables,自己归纳的笔记,可能有错,不喜勿喷

四表五链

四表:
filter : 过滤表
nat : 地址转换表
mangle: 拆解,修改,封装报文表
raw : 关闭nat表的连接追踪机制
*优先级 raw > mangle > nat > filter

五链:
五链

iptables 命令

查看 iptables 的规则:

iptables  [-t filter] -vL --line-numbers       //-t filter  指定表,缺省为filter表。
											  //--line-number 显示序号,方便插入或删除。

在这里插入图片描述

添加规则:iptables -A INPUT 【匹配规则】 【执行目标】
插入规则:iptables -I INPUT 5 【匹配规则】 【执行目标】
修改规则:iptables -R INPUT 5 【匹配规则】 【执行目标】
删除规则:iptables -D INPUT 5

【匹配规则】
查看帮助文档
centos6----------------man iptables
centos7----------------man iptables-extensions

-s 192.168.1.0/24 ----------------- 源地址
-d 172.16.1.1 ---------------------- 目的地址
-i in-face -----------------------------流入接口
-o out-face ------------------------- 流出接口

-p tcp/udp/icmp 连接协议
-p tcp --sport 80 --dport 80
-p tcp --tcp-flags STN,ACK,FIN,RST SYN-------------------------------tcp报文SYN标记为1,其余为0的报文(即tcp链接的第一次握手)
-p tcp --syn---------------------------------同上
-p icmp --icmp-type 8 ------------------ ping报文
-p icmp --icmp-type 0 ----------------- 回应ping报文

多端口匹配

-m multiport --dport 21:22,80

iptables -I INPUT -s 172.16.0.0/16 -d 192.168.1.1 -p tcp -m multiport -dport 21,22,80 -j ACCEPT

多地址匹配

-m iprange --src-range 192.168.1.1-192.168.1.100 --dst-range 102.168.2.1-192.168.2.100

iptables -I INPUT -d localhost -p tcp --dport 80 -m iprange --src-range 192.168.1.1-192.168.1.100 -j DROP

字符串匹配

-m string --algo bm/kmp --string ‘abc’ [ --from 10 --to 80 ]
--------------------- --algo bm/kmp 为检测算法

iptables -I OUTPUT -m string --algo bm --string 'abcdefg' -j DROP

时间匹配

-m time --weekdays Mo,Tu,We
-m time --datestart 2019-09-11 --datestop 2019-9-30
-m time --datestart 2019-09-11T8:00 --datestop 2019-9-11T18:00
-m time --timestart 10:00 --timestop 18:00
-m time --weekdays Sa,Su --monthdays 1,2,3,4,5,6,7

iptables -I INPUT -d localhost -p tcp --dport 80 -m time --weekdays Mo,Tu,We,Th,Fr --timestart 8:00 --timestop 18:00 -j ACCEPT

并发连接限制

-m connlimit --connlimit-above 6 --connlimit-upto 10

iptables -I INPUT -d localhost -p tcp --dport 22 -m connlimit --connlimit-above 7 -j DROP

报文速率限制

-m limit --limit-burst 5 --limit 30/minute

iptables -I INPUT -d localhost -p icmp --icmp-type 8 -m limit --limit-burst 5 --limit 30/minute -j ACCEPT

状态检测

-m state --state NEW,ESTABLISHED,RELATED,INVALIED
*NEW ------------------------------ 新建立的连接,仅第一次建立时的报文状态
*ESTABLISHED -----------------已连接状态 (包括响应报文)
*RELATED-------------------------相关连接(如ftp的命令连接和数据连接)
*INVALIED-------------------------无法识别的连接

*追踪功能所能记录的最大数: /proc/sys/net/nf-conntrack-max
*已记录的连接: /proc/net/nf-conntrack
*不同协议的连接追踪时长: /proc/sys/net/netfilter/

iptables -I INPUT -d localhost -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I INPUT -d localhost -p tcp  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -s localhost -p tcp -m state --state ESTABLISHED  -j ACCEPT

【执行目标】

-j ACCEPT-----------------------------接受访问
-j DROP--------------------------------丢弃
-j REJECT-----------------------------拒绝访问
-j chain-name ----------------------- 转向自定义链
-j RETURN ---------------------------返回调用链
-j REDIRECT--------------------------端口重定向
-j LOG-----------------------------------记录日志
-j MARK -------------------------------做防火墙标记
-j DNAT ---------------------------------目标地址转换
-j SNAT----------------------------------源地址转换
-j MASQUERADE--------------------地址伪装(适用于出口地址变换的场景)

iptables的规则保存--------------------iptables-save > /tmp/iptables
iptables的重载--------------------------iptables-restore < /tmp/iptables

实例

例一:拒绝172.16.0.0/16网段主机访问本地的web服务

iptables -A INPUT -s 172.16.0.0/24 -d localhost -p tcp --dport 80 -j DROP

在这里插入图片描述

例二:开放本机的ssh,http,ftp服务端口
用到多端口匹配机制

iptables -A INPUT -d localhost -p tcp -m multiport --dport 21,22,80 -j ACCEPT

在这里插入图片描述

例三:拒绝其他主机ping本地主机,但允许本地ping外部网络

iptables -A INPUT -d localhost -p icmp --icmp-type 8 -j DROP
iptables -A OUTPUT -s localhost -p icmp --icmp-type 0 -j DROP
iptables -A OUTPUT -s localhost -p icmp --icmp-type 8 -j ACCEPT
iptables -A INPUT -d localhost -p icmp --icmp-type 0 -j ACCEPT

在这里插入图片描述

例四:开放被动模式的ftp服务

①装载ftp追踪时的专用模块nf_conntract_ftp
方法一:手动装载

modprobe nf_conntrack_ftp

方法二:自动装载

vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="nf_conntrack_ftp"

②放行请求报文(命令连接&数据连接)和响应报文

iptables -I INPUT -d localhost -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -I INPUT -d localhost -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -s localhost -m state --state ESTABLISHED -j ACCEPT

在这里插入图片描述

网络防火墙

在这里插入图片描述
首先需要开启转发功能:
方法一:临时开启

sysctl -w net.ipv4.ip_forward=1

方法二:永久开启

echo "net.ipv4.ip_forward=1"  >> vim /etc/sysct.conf
sysctl -p

首先拒绝所有外来访问,然后允许对应访问通过

iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 172.16.0.0/16 -s 1.1.1.0/24 -p tcp --dport 22 -m state --state NEW -j  ACCEPT

在这里插入图片描述
NAT的地址转换

①源地址转换SNAT

iptables -t nat -A POSTROUTING -s 172.16.0.0/16 ! -d 172.16.0.0/16 -j SNAT --to-source 2.2.2.2

在这里插入图片描述
②目的地址转换DNAT

iptables -t nat -A PREROUTING -d 1.1.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2

在这里插入图片描述
③PAT端口映射

iptables -t nat -A PREROUTING -d 1.1.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:8080

在这里插入图片描述

都不是宝贝
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables 语法 (经典)
12-06
filter表中,主要处理的是包过滤规则,这是最常见的应用场景。 1. 清除旧规则: `iptables -t filter -F` 这条命令会清除filter表中的所有规则,确保开始时没有遗留的规则影响新的配置。 2. 过滤异常包: `...
iptables命令详解和举例(完整版)
热门推荐
09-07 3万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables之state状态
Error_404notFound的博客
05-31 1720
定义包的状态依据IP所包含的协议不同而不同,但在内核外部,也就是用户空间里, 只有4种状态:NEW,ESTABLISHED,RELATED 和INVALID。它们主要是和状态匹配一起使用。以便匹配数据包。这可以使我们的防火墙非常强壮和有效参数-m state --state <NEW,ESTATBLISHED,INVALID,RELATED> ##指定匹配哪种状态– INVALID: 无效
iptables(二)--扩展详解
weixin_34358092的博客
07-08 483
1、其实匹配扩展中,还有需要加-m引用模块的显示扩展,默认是隐含扩展,不要使用 -m 状态检测的包过滤 -m state --state {NEW,ESTATBLISHED,INVALID,RELATED} 指定检测那种状态 -m multiport 指定多端口号 --sport --dport --ports...
iptables的背后
ytfy339784578的专栏
03-13 1338
每次修改iptables为子设备做转发上网都要瞎搜索很久,iptables太踏马的复杂了,这次搜索完我一定要写点东西记住哪条规则让子设备上了网。 背景: 一台独设备A,只连接B设备; 一台能上网设备B,有网卡与A连接; B设备B1网卡与A设备连接; B设备B2网卡上外网; 完毕。 目标: A设备上外网; 完毕。 实施: 1. iptables的PREROUTING确保通常(一...
iptables 默认服务器配置
weixin_33778778的博客
01-22 147
服务器iptables基本配置 #1.删除现有规则 iptables-F #2.允许远程主机进行SSH连接 iptables-AINPUT-ieth0-ptcp--dport22-mstate--stateNEW,ESTABLISHED-jACCEPT iptables-AOUTPUT-oeth0-ptcp--spor...
linux常见的170个问题
04-06
这个"Linux常见的170个问题"的文档集合,无疑为新入门的Linux用户提供了宝贵的资源。它涵盖了从基础操作到高级技术的广泛主题,帮助用户逐步理解和掌握这个强大的操作系统。以下是部分关键知识点的概述: 1. **...
网易云Linux_Ubuntu16.04 for linux,内有常见问题及解决方案
02-11
4. **权限问题**:Linux严格遵循用户权限管理,`sudo`命令常用于提升权限,但有时会遇到权限不足的问题,此时需要理解`chown`, `chmod`, 和`sudoers`文件的用法。 5. **系统日志分析**:`/var/log`目录下的各种日志...
LINUX学习笔记,包括各种命令用法,认识SHELL,帐号管理等等...
10-10
常见的Shell有Bash(Bourne-Again SHell)、Sh、Csh和Zsh等。Bash是默认的Shell,具有丰富的功能和可扩展性。学习Shell脚本编程可以提高工作效率,例如通过编写自动化任务。 1. **变量**:存储数据的容器,如`NAME=...
Ubuntu ufw防火墙规则顺序问题.docx
10-30
ufw 的主要目的是简化 iptables 的复杂用法,它可以帮助用户更方便地管理防火墙规则。 ufw 的规则顺序问题是一个常见的问题,在 Ubuntu 中,ufw 的规则顺序与 iptables 类似,它也是从上到下读取配置的,后一条规则...
IPtables之三:显式扩展规则
weixin_34304013的博客
07-24 112
对于显式扩展与隐式扩展的区别,先分析以下2条规则 规则1:iptables -t filter -A INPUT -s 192.168.1.0/24 -d 172.16.100.1 -p udp –dport 53 -j DROP 规则2:iptables -t filter -A INPUT -s 192.168.1.0/24 -d 172.16.100.1 -p ud...
iptables——实战防火
donghaixiaolongwang的博客
03-17 791
1、为了更方便,我还是将语法写在这里一遍。如果不想看直接看下边的实例结合上边的语法理解就会舒服很多了。建议还是浏览一遍 iptables  [-t TABLE]  COMMAND  CHAIN  [num]  匹配条件  -j  处理动作 匹配条件     通用匹配         -s         -d         -p {tcp|udp|icmp}         -
linux iptables 防火墙使用
hjh15827475896的博客
05-31 366
centos 7.0 更改了默认的防火墙 使用了 firewalld 进程做为防火墙(开启关闭方法 分别是  service firewalld start      service firewlld stop) 在7.0之前,默认的防火墙软件是 iptables        如果不习惯的话,完成可以把 firewalld 关闭,重新安装 iptables   目前市面上比较常见的有
子网划分与子网汇总
m0_66993332的博客
02-15 816
1. 192.168.1.0 255.255.255.128 划分为4个子网 1100 0000.1010 1000.0000 0001.0000 0000 192.168.1.0 /27 192.168.1.1 192.168.1.96 /27 192.168.1.64 /27 192.168.1.32 /27 1111 1111.1111 1111.1111 1111.1000 0000 2. 172.16.10.0 255.255.254.0 划分为四个子网 1010 ...
IP地址基础知识
wangzheguilai1的博客
09-25 2879
私网ip地址:实际上一些网络不需要连接到internet,比如一个大学的封闭实验室内的网络,只要同一网络中的网络设备的ip地址不冲突即可。在ip地址空间里,A、B、C三类地址中各预留了一些地址专门用于上述情况,称为私网ip地址。公网ip地址:ip地址是由lana(Internet Assigned Numbers Authority互联网编号分配机构)统一分配的,以保证任何一个ip地址在internet上的唯一性。ip地址空间中,有一些特殊的ip地址,这些ip地址有特殊的含义和作用,举例如下。
3、iptables扩展及使用
weixin_30328063的博客
10-15 142
iptables/netfilter netfilter: kernel framework,位于内核中的协议框架 iptables 是规则管理命令行工具 四表:filter, nat, mangle, raw 五链:PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING iptables 子命令: 链:-F, -X, -N, -...
静态路由简单配置
weixin_45182402的博客
06-28 1018
实验拓扑图 实验目的: 全网可达 地址自己配 路由器使用DHCP服务器功能 地址规划: R1与PC0、PC3之间 172.16.1.0/24 R1、R2之间 172.16.2.0/24 R2与PC1、PC4之间 172.16.3.0/24 R2、R3之间 172.16.4.0/24 R3与PC2、PC5之间 172.16.5.0/24 配置信息; R1 地址池 r1(config)#ip d...
关于主类边界路由、有类和无类路由协议的汇总问题
MySpace
02-28 2263
Classful协议,翻译过来应该是有类协议,而不是主类协议。其特点是更新时不发送子网掩码,在主类网络边界路由器上自动进行汇总。基于这个特点,Classful协议(有类协议)一般应用于相同子网,且相同掩码的网络。 下面来详细说明Classful协议如何进行汇总: 首先,要明确一个概念——主类边界路由器。主类指A.B.C类IP地址,边界路由器指网络地址不同的边界路由器。例如某个Router上配置
iptables用法
最新发布
09-21
command:指定要执行的操作命令,常见的命令包括-A(添加规则)、-D(删除规则)、-I(插入规则)、-R(替换规则)等。 match:指定匹配条件,如协议类型、源IP、目标IP、源端口、目标端口等。 -j target/jump:指定...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值