iptables-参数-A和-I

最新推荐文章于 2024-05-22 19:22:10 发布
最新推荐文章于 2024-05-22 19:22:10 发布
阅读量526 收藏
点赞数
文章标签: 网络 服务器 tcp/ip
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxpr_ybgg/article/details/127414011
版权

iptables -L -n --line-number 列出链所有的规则

[root@GDY-TEST07 etc]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  192.168.216.55       0.0.0.0/0           tcp dpt:22 
2    ACCEPT     tcp  --  192.168.228.0/24     0.0.0.0/0           tcp dpt:22 
3    ACCEPT     tcp  --  10.153.97.0/24       0.0.0.0/0           tcp dpt:22 
4    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

 删除指定的第4行规则:iptables -D INPUT 4

[root@tp ~]# iptables -F        清除预设表filter中的所有规则链的规则

[root@tp ~]# iptables -X        清除预设表filter中使用者自定链中的规则

-A与-I 参数的区别

-A参数

iptables是由上往下进行匹配

iptables -A INPUT -s 192.168.228.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 10.153.97.0/24 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

执行以上三条命令后,防火墙由上往下匹配,既从num 1开始匹配到num 3,则允许192.168.228.0/24和10.153.97.0/24这两个网段访问,其他不允许访问

[root@GDY-TEST07 etc]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  192.168.228.0/24     0.0.0.0/0           tcp dpt:22 
2    ACCEPT     tcp  --  10.153.97.0/24       0.0.0.0/0           tcp dpt:22 
3    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

对比

-I 参数

iptables -I INPUT -s 192.168.228.0/24 -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -s 10.153.97.0/24 -p tcp --dport 22 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j DROP

执行以上三条命令后,防火墙由上往下匹配,既从num 1开始匹配,此时num 1的防火墙策略已将访问拒绝,num 2和num 3即使accept也不会生效

[root@GDY-TEST07 etc]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22         
2    ACCEPT     tcp  --  192.168.228.0/24     0.0.0.0/0           tcp dpt:22 
3    ACCEPT     tcp  --  10.153.97.0/24       0.0.0.0/0           tcp dpt:22 
 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

从以上的-A 和 -I参数可以看出,-A 会将后执行的策略添加到已有策略后,而-I 则会插入到已有策略的前(既成为第一条策略)。

按照上述所说,如果想加一条策略为允许192.168.216.55这台机器访问,此时应采用-I 参数将策略添加到已有策略前,如果采用-A 参数将策略添加到已有策略后,

当前场景则是添加到drop策略后,则“允许192.168.216.55这台机器访问”策略则不会生效。

正确命令:

iptables -I INPUT -s 192.168.216.55/32 -p tcp --dport 22 -j ACCEPT

[root@GDY-TEST07 etc]# iptables -L -n --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  192.168.216.55       0.0.0.0/0           tcp dpt:22 
2    ACCEPT     tcp  --  192.168.228.0/24     0.0.0.0/0           tcp dpt:22 
3    ACCEPT     tcp  --  10.153.97.0/24       0.0.0.0/0           tcp dpt:22 
4    DROP       tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:22 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

以上所述,只适合上述所说场景。

因为上述场景drop策略是禁止所有从22端口进行访问。

xxpr_ybgg
关注
配置 Linux-iptables
10-20
- `-i` 或 `--in-interface`:指定数据包进入的网络接口。 - `-o` 或 `--out-interface`:指定数据包离开的网络接口。 - `-p` 或 `--protocol`:指定数据包匹配的协议类型。 - `-s` 或 `--source`:指定数据包的源...
关于iptabels的-A与-I参数
小啊宇的博客
01-12 5720
iptables-参数-A和-I iptables -L -n --line-number 列出链所有的规则 最直观的讲解-A与-I的重要性 -A添加规则的参数,是添加规则在现有的后面 -I添加规则的参数,是添加在规则在现有的前面 如果是互不干涉的规则端口使用-A没关系不会受影响 假设node01节点的机器,我不想让他的ssh链接开放并且限制指定的主机连接 实验主机 三台都是均为虚拟机,主机的内网IP为192.168.1.250 IP 备注 ssh端口均为22 192.168..
iptables中 -A 和 -I 参数的区别
ss810540895的博客
10-20 5596
在使用iptables添加规则的过程中,看到-A和-I参数都是添加规则,刚开始容易混淆,然后就专门试了一下,原来差异在这里。删除上述4、5、6、7号规则,然后是-I。
由android防火墙规则添加分析iptables -a -i 区别
最新发布
dreamfly130的博客
05-22 689
当防火墙进行包匹配时,它会按照规则链中规则的顺序,从上到下依次检查每一条规则,直到找到与数据包匹配的规则并执行相应的操作。总结来说,-A和-I的主要区别在于它们将规则添加到规则链的不同位置,从而影响匹配的顺序和优先级。使用-A添加的规则会位于规则链的末尾,而使用-I添加的规则则会位于规则链的开头,具有最高的匹配优先级。因为白名单默认DROP,所以添加白名单时,被允许的应用匹配后,直接return不执行后面的DROP规则,所以RETURN规则要在DROP规则前,所以用-I。
iptables 运行逻辑及-I -A 参数解析
weixin_34037515的博客
12-21 1232
  刚开始接触Iptables 就对-I  和 -A 参数很疑惑,-I 插入一条或多条规则 ,-A 是追加一条或多条规则。 都是加一条规则,究竟这两个有什么不同呢? 实验: 拿了两台机器,一台发PING包,一台被PING。 两台机器使用 iptables -nvL INPUT 查看,iptables 是空的 然后在被PING的机器加入 iptables -A INPUT -p icmp...
iptables详解
wdt3385的专栏
12-25 5017
看完下面这个iptables的讲解一下子豁然开朗,写的很详细 一:前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络IP、数据进行检测。 目前市面上比较常见的
go-nflog-acctd:在Linux iptables下使用NFLOG进行IP记帐
05-16
要监视与该主机之间的IPv4,可以使用 iptables -A OUTPUT -j NFLOG --nflog-group 4 --nflog-range 20 --nflog-threshold 50 --nflog-prefix "IPv4out"iptables -A INPUT -j NFLOG --nflog-group 5 --nflog-range ...
linux防火墙iptables规则的查看、添加、删除和修改方法总结
01-10
1、查看 iptables -nvL –line-number ...添加规则有两个参数:-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部。 当前规则: [root@test ~]# iptables -nL --line-
详解Linux iptables 命令
09-15
`-A`用于追加规则到链的末尾,`-I`用于在链的指定位置插入规则,`-p`指定协议,`-s`和`-d`分别指源IP和目标IP,`-j`指定动作,如`ACCEPT`、`DROP`、`REJECT`或`LOG`。例如,允许所有出站TCP流量到80端口的规则可以...
iptables常用命令和使用
02-21
iptables的工作原理在于对数据包进行过滤,它主要由三个表组成:`filter` 表、`nat` 表和 `mangle` 表。 #### 二、iptables的表结构 1. **Filter表**:这是默认的表,主要用于过滤数据包,包括 `INPUT`、`OUTPUT` ...
iptables 基本指令
魔幻之翼的坚持
06-05 1039
iptables 中的指令,均需区分大小写。ipchains 和 iptables 在语法上的主要的差异,注意如下∶1. 在 ipchains 中,诸如 input 链,是使用小写的 chains 名,在 iptables 中,要改用大写 INPUT。2. 在 iptables 中,要指定规则是欲作用在那一个规则表上(使用 -t 来指定,如 -t nat),若不指定,则预设是作用在 filter
iptables基础(一)
weixin_33946020的博客
04-05 395
iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle和filter, 当未指定规则表时,则一律视为是filter。 各个规则表的功能如下...
第三章:iptables语法 --- 重点(转)
mrwangwang的专栏
05-06 676
申明:转自www.freeopens.com ,作者:羽飞
IPtables
a1308422754的博客
04-08 249
文章目录常用命令添加防火墙规则 禁止ip的端口访问清除防火墙规则设置禁止访问的区别 "REJECT"和"DROP" 常用命令 添加防火墙规则 禁止ip的端口访问 # 添加防火墙规则 禁止ip的端口访问 解决方法: 禁止特定ip访问8501端口的命令0:iptables -I INPUT -s 192.168.0.232 -ptcp --dport 8501 -j DROP 允许特定ip访问8501端口的命令1:iptables -D INPUT -s 192.168.0.232 -ptcp --dport
Iptables防火墙详细介绍
qq_42158153的博客
10-28 834
一:Linux防火墙基础: Linux防火墙体系主要工作在网络层,针对TCP/IP数据包实施过滤和限制,属于典型的包过滤防火墙(也称网络层防火墙); Linux防火墙体系基于内核编码实现,具有非常稳定的性能和高效率,因此被广泛的应用。 1.Netfilter和iptables的区别: Netfilter: 指的是Linux内核中实现包过滤防火墙的内部结构,不以程序或文件的形式存在,属于“内核态”(KernelSpace,又称内核空间)的防火墙功能体系; Iptables:指的是用来管理Linux.
服务器安全之iptables iptables
linuxlsq的博客
09-21 3497
服务器安全之iptables 感谢老男孩老师为我们讲解iptables  优化之路 iptables防火墙简介 Netfilter/Iptables(以下简称Iptables)是unix/linux自带的一款优秀且开放源代码的安全自由的**基于包过滤的防火墙工具**,它的功能十分强大,使用非常灵活,可以对流入和流出服务器的数据包进行很精细的控制。特别是它可以在一台非常低
linux .a放的位置,linux – iptables -A和-I选项之间的区别
weixin_39724009的博客
05-12 383
iptables -A在规则集的末尾附加规则,而iptables -I将规则插入规则集中的特定位置,如您所指出的那样.查看iptables的man条目显示:-I, –insert chain [rulenum] rule-specification Insert one or more rules in the selected chain as the given rule number. So...
iptables防火墙(一)
qq_45088125的博客
05-11 642
文章目录引言一、Linux防火墙基础1、iptables概述1.1 netfilter/iptables的区别1.2 包过滤的工作层次 引言 在 Internet 中,企业通过各种应用系统来为用户提供各种服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等,那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢,接下来,我们将学习 CentOS 6 系统中的防火墙——netfilter 与 iptables,以及 CentOS 7 系统中的防火墙 firewalld 一、Linux
iptables 插入规则-I和追加规则-A。
热门推荐
zhaodayeyeye的博客
11-19 2万+
研究了大半天的iptables 开放端口 (改了22端口)ssh一直连接不上,查看网上资料很多用iptables -A INPUT -p tcp --dport 80 -j ACCEPT 修改了也一直连接不上,最后发现而两个规则放行规则的差异只是 -A 和 -I ,-A 追加规则在DROP 规则后,-I增加规则在DROP 规则前。 iptables 是由上而下的进行规则匹配,放行规则需在禁行规则之...
iptables -A INPU
04-24
iptables是一个用于配置Linux内核防火墙的工具。通过使用iptables命令,...请注意,这只是一个示例,您可以根据您的需求修改IP地址、端口和其他参数。另外,为了使规则永久生效,您需要将规则保存到防火墙配置文件中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xxpr_ybgg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值