iptables 命令操作

最新推荐文章于 2024-03-22 16:38:58 发布
最新推荐文章于 2024-03-22 16:38:58 发布
阅读量83 收藏
点赞数
分类专栏: CentOS系统管理 文章标签: 网络协议 网络应用 防火墙 J# F#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wubolu/article/details/83925374
版权


iptables是基于内核的防火墙,,iptables内置了filter、nat和mangle三张表。

   filter 负责过滤数据包,包括的规则链有,input,output和forward;
   nat 表示Network Address Translator即网络地址转换,包括的规则链有,prerouting,postrouting和output;
   mangle 表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING;
         input匹配目的IP是本机的数据包,forward匹配流经本机的数据包,prerouting用来修改目的地址用来做DNAT,postrouting用来修改源地址用来做SNAT。
        
-----------------------------------------------------------------------------------------------------------------------------------------------   

启动前:
[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
# 各个链中都不存在任何规则。
      
启动后:
[root@localhost ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination        
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           #所有输入数据包都转到 RH-Firewall-1-INPUT 链处理。

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0           #所有转发数据包都转到 RH-Firewall-1-INPUT 链处理。

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        

Chain RH-Firewall-1-INPUT (2 references)                               #自定义链 RH-Firewall-1-INPUT,下面是它的规则。
target     prot opt source               destination        
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0          
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:631
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:3306 flags:0x16/0x02
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:3306
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
     
-----------------------------------------------------------------------------------------------------------------------------------------------
         
iptables 指令的基本格式:
    <iptables> [-t 表] < 操作命令 > [ 链 ] [ 规则 ] [ -j 动作 ]
    注:iptables 严格区分大小写,所有链名必须大写,表明必须小写,动作必须大写,匹配必须小写
   
iptables中的表:
    filter、nat、mangle 。不指定则默认 filter 表。
iptables操作命令:
    -A 向规则链中添加一条规则,默认被添加到末尾
    -T 指定要操作的表,默认是filter
    -D 从规则链中删除规则,可以指定序号或者匹配的规则来删除
    -R 进行规则替换
    -I 插入一条规则,默认被插入到首部,可指定插入位置顺序号,默认顺序号为1
    -F 清空所选的链,重启后恢复,如清空指定链规则 iptable -F RH-Firewall-1-INPUT
    -L 查看指定链规则,默认所用链,如查看指定链规则 iptables -L RH-Firewall-1-INPUT,或 iptables -L -n
iptables规则:
    -N 新建用户自定义的规则链
    -X 删除用户自定义的规则链
    -p 用来指定协议可以是tcp,udp,icmp等也可以是数字的协议号,
    -s 指定来源地址,如 -s 192.168.1.10 匹配来自 192.168.1.10 网络的数据包
    --sport 来源端口,端口必须-p指定协议一起来配合使用
    -d 指外出的地址,如 -d www.163.com 匹配去往 www.163.com 网络的数据包
    --dport 流出端口,端口必须-p指定协议一起来配合使用
    -i 进入接口,如 -i eth0 匹配是否从网络接口 eth0 进来
    -o 流出接口,如 -o eth0 匹配是否从网络接口 eth0 出去
iptables动作:
    ACCEPT ,允许数据包通过本链而不拦截它
    DROP ,阻止数据包通过本链而丢弃它
    SNAT ,来源地址转换,如 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1 将内网 192.168.0.0/24 的原地址修改为 1.1.1.1,用于 NAT
    DNAT ,转换外出地址,如 iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.0.1 把从 ppp0 进来的要访问 TCP/80 的数据包目的地址改为192.168.0.1
    MASQUERADE ,动态源地址转换(动态 IP 的情况下使用),如 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 将源地址是 192.168.0.0/24 的数据包进行地址伪装
   
   
注:iptables 规则修改后会马上生效,但重启 iptables 后规则会恢复到修改之前的规则,需要保存新修改的规则重启才不会恢复:
    service iptables save
   
-----------------------------------------------------------------------------------------------------------------------------------------------
  
  

wubolu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables系列教程(二)| iptables语法规则
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-14 474
一个执着于技术的公众号iptables 命令基本语法“iptables [-t table] command [链名] [条件匹配] [-j 目标动作]以下是对 iptables 命令的...
iptables命令实例
08-04
iptables 命令实例 本文档主要介绍了 Linux 中的iptables 命令的实例,涵盖了 iptables 的基本用法、规则设定、端口控制、NAT 转发等方面的知识点。 一、iptables 的基本概念 iptables 是 Linux 系统中的一个...
Iptables防火墙tcp-flags模块扩展匹配规则
江晓龙的博客
07-09 821
tcp-flags模块的作用是判断TCP协议数据报文标志位的返回值的,在TCP的三次握手中,第一次握手客户端向服务器发送syn=1的数据报文,第二次握手服务端向客户端发送sync和ack=1的报文,第三次握手客户端向服务端发送ack=1的报文。tcp-flags模块就是来判断发送报文中指定的标志位是否等于1,并且该条报文中只包含指定的标志位,否则就拒绝通行,例如我们指定的标志位是SYN,那么该条报文中就只能包含SYNC,如果再包含ACK,那么就不放行,并且标志位的值要为1。tcp-flags模块使用的命令
iptables基础知识详解
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -&gt; Tables -&g...
android iptables 操作命令,iptables常用操作命令
weixin_34404599的博客
06-04 959
1、安装iptables防火墙如果没有安装iptables需要先安装,CentOS执行:yuminstalliptablesDebian/Ubuntu执行:apt-getinstalliptables2、清除已有iptables规则iptables-Fiptables-Xiptables-Z3、开放指定的端口#允许本地回环接口(即运行本机访问本机)iptables-AINPUT...
iptables命令详解
最新发布
ZBraveHeart的博客
03-22 2874
Netfilter框架在Linux内核中通过一系列的钩子(hooks)实现数据包处理的不同阶段,iptables就可以通过这些钩子来插入自定义的规则,从而实现对数据包的控制。在Linux环境下,iptables就是一款强大而灵活的防火墙工具,它为系统管理员提供了广泛的配置选项,能够有效地控制数据包的流动,实现网络访问的控制和安全性增强。这个命令将通过本机出口的TCP数据包的目标端口为80的流量转发到192.168.1.200,而不改变目标端口。它可以用于改变数据包的目标地址,源地址,目标端口或源端口。
Linux iptables命令详解
热门推荐
一口Linux的专栏
03-22 15万+
iptables 是 Linux 防火墙系统的重要组成部分,iptables 的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用 iptables 进行控制。下面良许小编就将从几个方面对于Linux iptables命令进行详述,希望对大家有所帮助。 iptables简介 iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和
Linux之iptables命令
个人学习所用博客,记录日常学习的过程。
10-31 878
5、在配置IPTABLES白名单时,往往会将链的默认策略设置为ACCEPT,通过在链的最后设置REJECT规则实现白名单机制,而不是将链的默认策略设置为DROP,如果将链的默认策略设置为DROP,当链中的规则被清空时,管理员的请求也将会被DROP掉。iptables:运行在用户空间的应用软件,命令行工具,通过其设置规则,来控制netfilter模块,从而实现网络数据包的管理,从而实现防火墙的配置。在没有顺序要求的情况下,不同类别的规则,被匹配次数多、匹配频率高的规则应放在前面。
防火墙-iptables常用操作命令
sky_zzk的博客
12-23 1940
常用操作命令 iptables -L -n -v #查看已经添加的规则 iptables -F INPUT #清空制定链INPUT上面的规则 iptables -X INPUT #删除制定的链,这个链必须没有被其他任何规则引用,而且这条上必须没有任何规则。如果没有指定链名,则会删除该表中所有非内置的链。 iptables -Z INPUT #把指定链,或者表中的所有链上的所有计数器清零 iptables -t filter -l INPUT -s x.x.x.x -j DROP #添加规则 iptables
iptables命令使用详解
Hell_potato777的博客
09-08 2万+
iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。环境操作系统:CentOS7.3ip地址:172.16.55.7。
iptables常用命令小清单
琦彦
03-23 7737
iptables常用命令小清单 iptables简介 iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5 个链,所有的防火墙策略规则都被分别写入这些表与链中。 **“四表”**是指 iptables 的功能,默认的 iptable s规则表有 filter 表(过滤规则表)、nat 表(地址转换规则表)、mangle(修改数据标记位规则表)、raw(跟踪数据表规则表): filter 表:控制
linux操作命令
01-25
重启网卡:使用命令: service network restart export LANG=en_US 在MySQL中建立用户口令数据库 [root@CentOS5 /]#mysql –u root –p Enter password:我的密码 mysql> create database wwwwhyccn; #建立虚拟用户...
记一次ubuntu利用iptables做端口转发的操作
01-09
文章目录网络拓扑图iptables & ufwufw命令iptables命令实际操作一些坑 网络拓扑图 如下,图中ip均为虚构。 主要目的就是通过配置跳板机的防火墙转发规则,使得访问1.1.1.1:21521的流量自动转发到2.2.2
iptable常用命令
08-03
这里记录了iptables 防火墙规则的一些常用的操作指令。 下面的操作以 CentOS 为基础介绍,应该对不同的 Linux 发行版都差不多。在 CentOS 5.x 和 6.x 中,iptables 是默认安装的(如果没有安装,先安装 iptables ...
实用iptables 示例
03-30
本文是我自己的一些学习iptables的心得,给大家拿出来来晒晒! filter #用于过滤 nat #做NAT input =>filter #目的ip是本机的...iptables -t 要操作的表 操作命令操作的链 规则号码 匹配条件 -j 匹配到以后的命令
nice调整SSHD的启动优先级别
Knowledge management 伍波露
03-01 1308
转载自素食勤俭敬老孝慈   centos linux服务器远程连接无响应,有可能是由于apache或者是mysql等服务过载,或者受到dos等攻击造成服务器无响应。 为避免强制重启,可以调高sshd优先级。使用-2优先级是希望sshd服务的优先级高于apache等的0,但低于log等的-5。 要运行的命令作为 nice 的一个参数。而其另一个参数 -n 可用来设置优先级别。默认...
scp: command not found找不到scp命令
Knowledge management 伍波露
08-30 605
今天装了CENTOS6 64bit,使用scp的时候提示scp: command not found找不到scp命令 解决: yum install openssh-clients
chmod 设置文件特殊权限
Knowledge management 伍波露
03-19 463
linux中除了常见的读(r)、写(w)、执行(x)权限以外,还有3个特殊的权限,分别是setuid、setgid和stick bit 1、setuid、setgid 先看个实例,查看你的/usr/bin/passwd 与/etc/passwd文件的权限   [root@MyLinux ~]# ls -l /usr/bin/passwd /etc/passwd -rw-r--r--...
Linux 日志管理
Knowledge management 伍波露
10-16 337
Linux 有三个主要日志子系统:     连接时间日志--由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。   进程统计统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个记录。进程统计的目的是为系统中的基本服务提供命令使...
iptables禁止ping命令操作
02-21
要禁止ping命令操作,可以使用iptables来限制ICMP协议的传输。 以下是禁止ping命令操作iptables规则设置步骤: 1. 打开终端,以root用户身份登录。 2. 输入以下命令以禁止ping命令操作: ``` iptables -A ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值