iptables防火墙----filter表的学习-INPUT

已于 2022-06-13 15:07:59 修改
阅读量2.4k 收藏 8
点赞数
文章标签: 学习 网络 tcp/ip
于 2022-06-13 15:06:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_69899223/article/details/125255586
版权

防火墙filter表

环境准备
• client1:eth0 -> 192.168.4.10/24 网关:192.168.4.11
• proxy1:eth0 -> 192.168.2.5/24,eth1 -> 192.168.4.5/24

• iptables的表和链。我们只关心nat表和filter表。filter表是默认的表,它实现防火墙,也就是包过滤的功能。nat表实现网络地址转换。

ptables操作

常用选项:

-A 追加规则–>iptables -A INPUT
-D 删除规则–>iptables -D INPUT 1(编号)
-R 修改规则–>iptables -R INPUT 1 -s 192.168.12.0 -j DROP 取代现行规则,顺序不变(1是位置)
-I 插入规则–>iptables -I INPUT 1 --dport 80 -j ACCEPT 插入一条规则,原本位置上的规则将会往后移动一个顺位
-L 查看规则–>iptables -L INPUT 列出规则链中的所有规则

通用参数:
-p 协议 例:iptables -A INPUT -p tcp
-s源地址 例:iptables -A INPUT -s 192.168.1.1
-d目的地址 例:iptables -A INPUT -d 192.168.12.1
-sport源端口 例:iptables -A INPUT -p tcp --sport 22
-dport目的端口 例:iptables -A INPUT -p tcp --dport 22
-i指定入口网卡 例:iptables -A INPUT -i eth0
-o指定出口网卡 例:iptables -A FORWARD -o eth0

-j 指定要进行的处理动作
常用的ACTION:
DROP:丢弃
REJECT:明示拒绝
ACCEPT:接受

查看规则

   [root@proxy ~]# iptables -t filter -L
   Chain INPUT (policy ACCEPT)
   target     prot opt source               destination

   Chain FORWARD (policy ACCEPT)
   target     prot opt source               destination

   Chain OUTPUT (policy ACCEPT)
   target     prot opt source               destination
  [root@proxy ~]# iptables -t nat -L
  Chain PREROUTING (policy ACCEPT)
  target     prot opt source               destination

  Chain INPUT (policy ACCEPT)
  target     prot opt source               destination

  Chain OUTPUT (policy ACCEPT)
  target     prot opt source               destination

  Chain POSTROUTING (policy ACCEPT)
 target     prot opt source               destination
起动服务时,iptables将会出现一些默认规则
       [root@proxy ~]# systemctl start iptables
默认规则往往不合我们的要求,可以先将所有的规则清空
      [root@proxy ~]# iptables -F
      [root@proxy ~]# iptables -L
      Chain INPUT (policy ACCEPT)
      target     prot opt source               destination

      Chain FORWARD (policy ACCEPT)
      target     prot opt source               destination

      Chain OUTPUT (policy ACCEPT)
      target     prot opt source               destination

iptables的语法

iptables [-t 表名] 选项 [链名] [条件] [-j 满足条件的操作]
• 示例
– 可以设置默认拒绝,然后明确允许
– 也可以设置默认允许,然后明确拒绝

向INPUT链追加规则,192.168.4.1发来的包全部接受
A是追加,-s是匹配源地址,-j为jump,采取的行为,ACCEPT是接受
      [root@node1 ~]# iptables -A INPUT -s 192.168.4.1 -j ACCEPT
将INPUT链的默认规则改为DROP丢弃。-P设置默认规则
        [root@proxy ~]# iptables -P INPUT DROP
        [root@proxy ~]# iptables -L INPUT

         Chain INPUT (policy DROP)
         target     prot opt source               destination
         ACCEPT     all  --  192.168.4.1          anywhere
在192.168.4.10上访问node1,将会被拒绝
          [root@client ~]# ping 192.168.4.5
         PING 192.168.4.5 (192.168.4.5) 56(84) bytes of data.
         允许192.168.4.0网络的主机ssh连接node1
-I是插入到INPUT链的第1个位置。-p指定协议,–dport指定目标端口号。-j是执行的操作
      [root@proxy ~]#  iptables -I INPUT 1 -s 192.168.4.0/24 -p tcp --dport 22 -j ACCEPT

查看规则

            [root@proxy ~]# iptables -L INPUT
            Chain INPUT (policy DROP)
            target     prot opt source               destination
            ACCEPT     tcp  --  192.168.4.0/24       anywhere             tcp dpt:ssh
            ACCEPT     all  --  192.168.4.1          anywhere

配置任何地址访问node1的80端口,即http协议,都接受

       [root@proxy ~]# yum -y install httpd
       [root@proxy ~]# systemctl start httpd
       [root@proxy ~]#  iptables -I INPUT 2 -s 192.168.4.0/24 -p tcp --dport 80 -j ACCEPT

测试

       [root@client ~]# curl 192.168.4.5

icmp就是ping命令底层用到的协议,叫Internet控制消息协议

     [root@proxy ~]# iptables -A INPUT  -s 192.168.4.10 -p icmp -j REJECT
     [root@proxy ~]# iptables -nL INPUT
     Chain INPUT (policy DROP)
     target     prot opt source               destination
     ACCEPT     tcp  --  192.168.4.0/24       0.0.0.0/0            tcp dpt:22
     ACCEPT     tcp  --  192.168.4.0/24       0.0.0.0/0            tcp dpt:80
     ACCEPT     all  --  192.168.4.1          0.0.0.0/0
     ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
     REJECT     icmp --  192.168.4.10         0.0.0.0/0            reject-with icmp-p

删除第5条规则

        [root@proxy ~]#  iptables -nL INPUT --line-numbers
        Chain INPUT (policy DROP)
        num  target     prot opt source               destination
     1    ACCEPT     tcp  --  192.168.4.0/24       0.0.0.0/0            tcp dpt:22
     2    ACCEPT     tcp  --  192.168.4.0/24       0.0.0.0/0            tcp dpt:80
     3    ACCEPT     all  --  192.168.4.1          0.0.0.0/0
     4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:80
     5    REJECT     icmp --  192.168.4.10         0.0.0.0/0            reject-with icmp-port-unreachable
        [root@proxy ~]#  iptables -D INPUT 5

拒绝192.168.4.10 ping 。-I不指定位置,默认插到最上面

          [root@proxy ~]# iptables -I INPUT -s 192.168.4.10 -p icmp -j REJECT

DROP是直接丢弃,REJECT是明确拒绝。

保存规则。不保存规则,重启iptables服务,自定义规则将消失

       [root@proxy ~]# service iptables save
       iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]
吉730
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
alpine-router:使用iptables和dnsmasq的基于linux的高山路由器
02-06
iptables 可以在四个filter、nat、mangle、raw)和五个链(PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING)中设置规则,以实现复杂的网络策略。 **dnsmasq 知识点:** dnsmasq 是一个轻量级的 DNS 和 DHCP...
iptables命令集
叫我家驹范
06-24 605
基本概念: 1.防火墙工作在主机边缘:对于进出本网络或者本主机的数据报文,根据事先设定好的检查规则对 其检查,对形迹可疑的报文一律按照事先定义好的处理机制做出相应处理 对linux而言tcp/ip协议栈是在内核当中,意味着报文的处理是在内核中处理的,也就是说防火墙 必须在工作在内核中,防火墙必须在内核中完成tcp/ip报文所流进的位置,用规则去检查, 才真正能工作起来。 iptables用来衡量t...
iptables INPUT设置
jackycjw的博客
06-06 1万+
参数说明: -A:规则直接加在末尾 -I:后面跟具体的位置,将规则插入到指定的位置 -D: 删除规则 -p:协议类型,如tcp类型,还有特定的-dport端口参数 -j: 处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝 如: 1、端口6379接受tcp协议 iptables -A INPUT -p tcp --dport 6379 -j ACCEPT 2...
iptables命令、规则、参数详解
热门推荐
qq_40265822的博客
05-27 2万+
(table) 包含4个: 4个的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW,在某个链上,RAW处理完后,将跳过NATip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则是预设规则,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables详解
wdt3385的专栏
12-25 4856
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络IP、数据进行检测。 目前市面上比较常见的
Linux服务器防火墙Iptables命令使用详解
cn_yaojin
01-11 601
原文地址:https://blog.csdn.net/han156/article/details/78449253   iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加一条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用P...
iptables防火墙中设置端口方法
weixin_44103804的博客
02-20 5998
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允许本地回环接口(即运行本机访问本机) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允许已建立的或相关联的通信 iptables -A OUTPUT -j ACCEPT #允许所有本机向外的访问 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允许访问22端口 ipt
iptables-1.1.9指南中文版(PDF)
10-21
1. **滤波器**(filter):这是默认的,用于处理流入或流出系统的常规数据包。它包含INPUT、OUTPUT和FORWARD链,分别处理进入本机、从本机传出和通过本机的数据包。 2. **nat**(NAT):网络地址转换,用于...
LINUX中IPTABLES防火墙的基本使用教程
01-20
iptables有4种:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个可以配置多个链: * 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT * 对于nat来讲...
10.6: iptables防火墙filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
iptables 防火墙具有 4 个,分别是 filter 、nat 、raw 、mangle ,每个都有其特定的链,例如 INPUT 链、OUTPUT 链、FORWARD 链、PREROUTING 链、POSTROUTING 链等。 iptables 防火墙的基本管理包括关闭...
linux增加iptables防火墙规则的示例
01-10
以下是我的iptables设置 代码如下: *filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [49061:9992130]-A INPUT -i lo -j ACCEPT 不开启会有很多服务无法使用,开启回环地址-A INPUT -p icmp -j ...
Linux学习(7):iptables与firewalld防火墙
cy6661的博客
05-24 390
firewalld配置的防火墙策略默认为运行时(Runtime)模式,又称为当前生效模式,而且随着系统的重启会生效,想让策略一直存在,就要使用永久(Permanent)模式。iptables服务的术语有:ACCEPT(允许流量通过)、REJECT(拒绝流量通过)、LOG(记录日志信息)、FROP(拒绝流量通过)将INPUT规则链设置为只允许指定网段的主机访问本机的22端口(ssh),拒绝来自其他所有主机的流量。向INPUT规则链中添加一条允许ICMP流量进入的策略规则。使防火墙策略永久生效(重启则失效)
iptables常用命令
sre救赎之路
04-14 1万+
iptables 是 Linux 中的一个防火墙软件,可以管理 Linux 系统上的网络流量,帮助保护网络安全。
iptables深度总结--基础篇
yanzhuang521967的博客
04-17 1284
iptables命令的总结
iptables 配置示例
添的博客
10-20 440
iptables 配置 个人收集整理记录使用 简单示例 系统:CentOS-7.8 /etc/init.d 目录下 新建 iptableRule 输入如下内容 #!/bin/bash #chkconfig:2345 80 90 #decription:autostart iptables -F iptables -A INPUT -s 127.0.0.1 -p tcp --dport 3306 -j ACCEPT iptables -A INPUT -s 192.168.1.101 -p tcp --dp
iptables 参数详解
大鹏
08-01 3074
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport8080 -j ACCEPT -A 追加,在当前链的最后新增一个规则 -p tcp :TCP协议的扩展。一般有三种扩展     --dportXX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如     --dport21  或者 --d
iptables深度总结--基础篇_iptables input output forward(1)
04-03 1022
iprange扩展 指明连续的(但一般不是整个网络ip地址范围–src-range from[-to] 源IP地址范围–dst-range from[-to] 目标IP地址范围示例: iptables -A INPUT -d 172.16.1.100 -p tcp --dport 80 -m iprange --srcrange 172.16.1.5-172.16.1.10 -j DROPicmp协议在网络网络层没有端口(curl 就用不了了,因为curl走的时候tcp协议)
iptables 【-t 名】 -F 【链名】iptables -F INPUTiptables -F
最新发布
04-30
2. `iptables -F 链名`:该命令用于清空默认filter)中指定链的所有规则。 示例: ```shell iptables -F INPUT ``` 这个命令会清空filterINPUT链的所有规则。 请注意,执行这些命令需要root权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值