Linux------iptables防火墙常用命令

最新推荐文章于 2024-10-09 19:20:21 发布
最新推荐文章于 2024-10-09 19:20:21 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: Linux 文章标签: linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48190875/article/details/107823656
版权

iptables的表、链结构

  • 规则链

    • 规则的作用:对数据包进行过滤或处理
    • 链的作用:容纳各种防火墙规则
    • 链的分类依据:处理数据包的不同时机

  • 默认包括5种规则链

    • INPUT:处理入站数据包
    • OUTPUT:处理出站数据包
    • FORWARD:处理转发数据包
    • POSTROUTING链: 在进行路由选择后处理数据包
    • PREROUTING链:在进行路由选择前处理数据包

  • 规则表

    • 表的作用:容纳各种规则链
    • 表的划分依据:防火墙规则的作用相似

  • 默认包括4个规则表

    • raw表:确定是否对该数据包进行状态跟踪
    • mangle表:为数据包设置标记
    • nat表:修改数据包中的源、目标IP地址或端口
    • filter表:确定是否放行该数据包(过滤)

  • 默认的表、链结构示意图

在这里插入图片描述

数据包过滤的匹配流程

  • 规则表之间的顺序

    • raw- > mangle >nat > filter

  • 规则链之间的顺序

    • 入站: PREROUTING→INPUT
    • 出站: OUTPUT→POSTROUTING
    • 转发: PREROUTING> FORWARD>POSTROUTING

  • 规则链内的匹配顺序

    • 按顺序依次检查,匹配即停止(LOG策略例外)
    • 若找不到相匹配的规则,则按该链的默认策略处理

匹配流程示意图

在这里插入图片描述

**注意:**CentOS 7默认使用firewalld防火墙,若想使用iptables防火墙, 必须先关闭firewalld防火墙

iptables安装

  • 关闭firewalld防火墙
[root@localhost ~]# systemctl stop firewalld.service
[root@localhost ~]# systemctl disable firewalld.service
  • 安装iptables防火墙
[root@localhost ~]# yum -y install iptables iptables-services
  • 设置iptables开机启动
[root@localhost ~]# systemctl start iptables.service
[root@localhost ~]# systemctl enable iptables.service

iptables的基本语法

  • 语法构成
    • iptables -t 表名 选项 链名 条件 -j 控制类型
[root@localhost ~]# iptables -t filter -I INPUT -p icmp-j REJECT

  • 注意事项

    • 不指定表名时,默认指filter表
    • 不指定链名时,默认指表内的所有链
    • 除非设置链的默认策略,否则必须指定匹配条件
    • 选项、链名、控制类型使用大写字母,其余均为小写

  • 数据包的常见控制类型

    • ACCEPT:允许通过
    • DROP:直接丢弃,不给出任何回应
    • REJECT:拒绝通过,必要时会给出提示
    • LOG:记录日志信息,然后传给下一条规则继续匹配

  • 常用管理选项汇总

类别选项用途
添加新的规则-A在链的末尾加一条规则
添加新的规则-I在链的开头(或指定序号)插入一条规则
查看规则列表-L列出所有的规则条目
查看规则列表-n以数字形式显示地址、端口等信息
查看规则列表-v以更详细的方式显示规则信息
查看规则列表–line-numbers查看规则时,显示规则的序号
删除、清空规则-D删除链内指定序号(或内容)的一条规则
删除、清空规则-F删除所有的规则
设置默认策略-P为指定的链设置默认规则

规则的匹配条件

常见的通用匹配条件

  • 协议匹配:-p 协议名
  • 地址匹配:-s 源地址 -d 目的地址
  • 接口匹配:-i 入站网卡 -o出站网卡

常用的隐含匹配条件

  • 端口匹配:–sport 源端口 --dport 目的端口
  • ICMP类型匹配: --icmp-type ICMP 类型

示例:

iptables -I INPURT -p icmp -j DROP
iptables -A INPUT -i ens33 -s 192.168.0.0/16 -j DROP
iptables -A FORWARD -s 192.168.4.0/24 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP

注释: 8:请求 、 0:回显 、3:不可达

常用的显示匹配条件

多端口匹配:

  • -m multiport --sports 源端口列表
  • -m multiport --dports 目的端口列表

IP范围匹配:

  • -m iprange --src-range IP范围

MAC地址匹配:

  • -m mac -mac-source MAC地址

状态匹配:

  • -m state --state 连接状态

示例

iptable -A INPUT -p tcp -m multiport --dports 25,80,110 -j ACCEPT
iptable -A FORWARD -p tcp -m iprange --src-range 192.168.4.21-192.168.4.28 -j ACCEPT
iptable -A INPUT -m mac --mac-source 00:0c:29:c0:55:3f -j ACCEPT
iptable -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT

常见的连接状态:

NEW ------------ 与任何连接无关的
ESTABLISHED ------------ 响应请求或者已建立连接的
RELATED ------------ 与已有连接有相关性的,如FTP数据连接

总结:
iptables防火墙默认包括4个表,5种链

iptables的基本语法

iptables常用管理选项

  • A、I、L、n、v、 --line-numbers、D、F、P

iptables规则匹配条件

  • 通用匹配、隐含匹配、显示匹配
爱吃丶辣包
关注
专栏目录
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 4589
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
Linux系统-iptables防火墙配置
qq_44534541的博客
11-27 274
其中命令1执行的次数要和命令0相等才能访问,比如命令0执行了2次,那么命令1也得执行2次才有效,但命令2执行一次即可。
iptables防火墙
weixin_44439515的博客
05-11 650
iptables防火墙 防火墙分类:硬件防火强(要钱的,获取那g bin)并且和我们没关系)。软件防火墙iptables http:// blog.csdn.net/sdytlm/article/details/6544913 规则链: 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机 INPUT:处理入站数据包 OUTPUT:处理出战数据...
iptables防火墙常用命令
KingAarmy的博客
07-01 1486
iptables防火墙启动停止和基本操作 iptables是centos7之前常用的防火墙,在centos7上使用了firewall 防火墙基本操作: # 查询防火墙状态 service iptables status # 关闭防火墙 service iptables stop # 开启防火墙 service iptables start # 重启防火墙 serv...
iptables——基础
最新发布
m0_74752717的博客
10-09 977
iptables -lINPUT -p tcp --dport 8080 -m limit --limit=500/s --imit-burst=1000 -jACCEPT这条规则是:8080端口会对包的速率做匹配,也就是每秒只处理500个包,假如某一时刻进来700个包,只处理500个包后面ACCEPT表示放行,也就是这500个包放行:剩下的200个包不做处理,交给下一个规则处理。的输出不是流量处理过程的实时描述,但它确实提供了一个关于 iptables 如何配置以及它可能会如何处理流量的有用快照。
iptables防火墙及其相关命令
shaonianbz的博客
04-13 519
1、iptables防火墙简介 Iptables也叫netfilter是Linux下自带的一款免费且优秀的基于包过滤的防火墙工具,它的功能十分强大,使用非常灵活,可以对流入、流出、流经服务器的数据包进行精细的控制。iptablesLinux2.4及2.6内核中集成的模块。 2、iptables原理简介 (1)iptables的结构 在iptables中有四张表,分别是filter、n...
linux查看防火墙
热门推荐
qq_45644898的博客
02-04 2万+
CentOS7 的防火墙配置跟以前版本有很大区别,CentOS7这个版本的防火墙默认使用的是firewall,与之前的版本Centos 6.x使用iptables不一样 一、iptables防火墙 1、基本操作 查看防火墙状态 service iptables status 停止防火墙 service iptables stop 启动防火墙 service iptables start 重启防火墙 service iptables restart 永久关闭防火墙 chkconfig iptables off
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
Linux--iptables 防火墙
CSDN著名博主
08-05 774
文章目录前言一、Linux 防火墙基础1.1、Linux 包过滤防火墙概述1.2、iptables 的表、链结构1.2.1、规则表1.2.2、规则链1.3、数据包过滤的匹配流程二、编写防火墙规则2.1、iptables 安装2.2、基本语法、数据包控制类型2.3、添加、查看、删除规则等基本操作2.3.1、添加新的规则2.3.2、查看规则列表2.3.3、删除、清空规则2.3.4、设置默认策略2.4、规则的匹配条件2.4.1、通用匹配2.4.2、隐含匹配2.4.3、显示匹配 前言 一、Linux 防火墙基础 1
iptables 防火墙命令
兵临城下的博客
06-07 5700
7、禁止 192.168.1.2 IP访问。3、查看或修改iptables配置文件。1、iptables基本操作命令。8、保存iptables设置规则。5、添加开放8002端口访问。6、删除8002端口访问。2、查看地址和端口详情。4、清空已存在的规则。
linux iptables防火墙中的工作常用命令
sinat_40572875的博客
11-12 782
报错:The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.对于其他操作,请尝试使用systemctl。-L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数。
Linux iptables 命令(防火墙
mayue_web的博客
03-28 1487
Linux iptables命令详解Linuxiptables 超详细教程和使用示例iptablesLinux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。iptables 是集成在 Linux 内核中的包过滤防火墙系统。
centos vagrant 外面端口转发不进去里面的nginx/apache 80端口
ghostyusheng 's blog
07-05 488
折腾几小时  发现里面防火墙没关  service iptables stop  搞定 ----------------------------------- systemctl disable firewalld systemctl stop firewalld 1 关闭防火墙-----service iptables stop 
iptables 防火墙命令解析
chichooyy的博客
03-02 2432
防火墙iptables有三个要素:表,链,规则。 五个链: INPUT OUTPUT FORWARD PEROUTING POSTROUTING 四个表: raw mangle nat filter(优先级:raw --> mangle --> nat --> filter) 以下内置链可以满足对iptables的基本配置: INPUT:进来的数据包应用此规则链中的策略; OUTPUT:外出的数据包应用此规则链中的策略; FORWARD:转发数据包时应用此规则链中的策略;
linuxiptables配置文件及命令详解详解
weixin_30690833的博客
09-14 2059
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现:iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP再用命令 iptables -L -n 查...
iptables防火墙详解、相关命令示例
变成我......
07-02 1301
解析Linux系统中的iptables防火墙,概念(工作层次,链、表结构,匹配流程以及示意图)和iptables的命令示例
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值