iptables

最新推荐文章于 2023-05-21 12:07:29 发布
最新推荐文章于 2023-05-21 12:07:29 发布
阅读量169 收藏 1
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yijiull/article/details/90399557
版权

文章目录

最近使用了路由器,然后就不能远程登录宿舍的电脑了,今天学习了一下iptables怎么设置端口转发。

一些概念

iptables中有多个表格,每个表格都定义自己的默认策略与规则,且每个表格的用途都不同。

  • Filter:管理本机进出
  • NAT:管理后端主机(防火墙内部的其他计算机)
  • Mangle:管理特殊标志(较少使用)

每个表格中又有自己的链(Chain)。
Filter

  • INPUT:管理进入主机的数据包
  • OUTPUT:管理本机送出的数据包
  • FORWARD:将数据包转发到防火墙后端的主机

NAT

  • PRROUTING:路由之前进行的规则,修改目的ip等
  • POSTROUTING:路由之后进行的规则,修改源ip等
  • OUTPUT:与发送出去的数据包有关

语法

参考:https://help.ubuntu.com/community/IptablesHowTo  
这里指列出常用的几个选项,其他细节可以看文档。  
iptables [-AI 链名] [-io 网络接口] [-p 协议] [-s 源ip/网络][-d 目的ip/网络]-j [ACCEPT|DROP|REJECT|LOG]
-t:后面接table,例如nat或者filter,默认是filter
-L:列出目前的iptables规则
-n:不进行IP与HOSTNAME的反查,显示信息快很多
-v:显示更多的信息

-A:后面加链名(如INPUT、OUTPUT等)新增一条规则,添加到后面
-I:后面加链名(如INPUT、OUTPUT等)插入一条规则,最前面
-io:后面加网络接口,i、o表示进出,
-p:后面加协议,tcp、udp、icmp、all等,如果指定的协议是tcp或者udp,还可以指定端口选项
-d:目标ip
-s:源ip
-j:后面接操作,如ACCEPTDROPREJECTLOG
--sport:源端口
--dport:目的端口
-m-state:根据连接的状态决定行为,参考鸟哥私房菜服务器篇第三版P275。INVALID:无效数据包、ESTABLISHED:已成功建立连接的状态、NEW:想要建立新连接的状态、RELATED:是够与主机发送出去的数据包相关
没有列出的选项代表完全接受。

一些例子:

# 查看目前的NAT表的规则
iptables -L -t nat -n
# 列出完整的防火墙规则
iptables-save
# 清除所有的已制定的规则(慎用,可能导致远程连接断开,无法登录)
iptables -F
# 清除用户自定义的tables
iptables -X
# 将所有chain的计数与流量统计归零
iptables -Z
# 定义默认策略,-P(P大写)
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING DROP
# 想要进入本机21端口的都阻挡掉
iptables -A INPUT -i eth0 -p tcp --dport 21 -j dump
# 删除规则 https://stackoverflow.com/questions/10197405/how-can-i-remove-specific-rules-from-iptables
## 第一种是重新执行一遍要删除的rule,不过将-A换成-D
iptables -D INPUT -i eth0 -p tcp --dport 21 -j dump
## 按行号删除
iptables -L INPUT --line-numbers
iptables -D INPUT 2
sudo iptables -t nat -D PREROUTING 1

NAT

SNAT

来源NAT:修改数据包报头的来源项目
内网主机发送报文到公网时,通过路由之后修改源ip为公网地址。

DNAT

目标NAT:修改数据包报头的目标项目
公网发来的数据包在路由之前修改目的ip为内网地址,发送到对应主机。

端口映射

举例说明:

路由器两个网络接口eth1是公网接口(ip是223.224.236.21)、br-lan是内网接口(ip是192.168.1.1
主机私有地址192.168.1.205
如果要开启ssh,则需要将主机的22端口映射到路由器上.

# 进入路由器eth1网络接口3003端口的数据包转发到主机22端口
iptables -t nat -A PREROUTING -i eth1 -d 223.224.236.21 -p tcp --dport 3003 -j DNAT --to 192.168.1.205:22
# 从eth1网络接口发出的来自192.168.1.205的22端口的数据包将源地址修改为223.224.236.21
# iptables -t nat -A POSTROUTING -o eth1 -d 192.168.1.205 -p tcp --dport 22 -j SNAT --to 223.224.236.21

参考:

yijiull
关注
专栏目录
iptables 生效_Linux-Iptables
weixin_39839410的博客
11-29 2133
iptables [-t table] command [chain] [rules] [-j target]table——指定表名 默认filtercommand——对链的操作命令chain——链名rules——规则target——动作如何进行1.表选项表选项用于指定命令应用于哪个iptables内置表,iptables内置包括filter表、nat表、mangle表和raw表。iptabl...
iptables(三)iptables规则管理(增、删、改)
aa43795381的博客
01-25 458
上一篇文章中,我们已经学会了怎样使用iptables命令查看规则,那么这篇文章我们就来总结一下,怎样管理规则。 之前,我们把查看iptables规则的操作比作"增删改查"当中的"查",那么在这篇文章中,我们就聊聊怎样对iptables进行"增、删、改"操作。 注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你...
iptables 生效_iptables详解-2
weixin_39581739的博客
11-29 433
[root@wwww ~]# iptables -nvL pkts bytes target prot opt in out source destination 27(包的数量) 1368(包的大小) REJECT(拒绝) tcp(指定tcp) -- * * 192.168.0.105(来...
iptables 防火墙
最新发布
chenx2022的博客
05-21 3606
Linux系统的防火墙:ip信息过滤系统,它实际上由两个组件netfilter和iptables组成。主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口、协议等信息的处理上netfilter / iptables关系:netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系。是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables:属于“用户态”(User Space,又称为用户空间)的防火墙管理体系。
Centos7修改iptables规则并开机永久生效两种方式
T型人小付的博客
04-26 2万+
相信很多使用Centos7的朋友和我一样,都是删除默认的firewalld服务,而重新安装iptables做为防火墙。这一篇文章我们一起来看看如何修改iptables规则以及如何使得修改的iptables规则永久生效。 我是T型人小付,一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我,如果有问题欢迎在底下的评论区交流,谢谢。 文章目录前提条件修改iptables的两种方式修改...
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
网络安全课程设计之D防火墙——Iptables.docx
09-17
考查内容:iptables 的规则管理操作;iptables 常用的通用匹配条件和扩展匹配条件;添加、修 改、删除自定义链的方法。 实验内容:1)使用 iptables 制定规则,包括添加、修改、保存和删除规则等。 2)使用通用匹配...
Iptables
07-29
NULL 博文链接:https://zhengdl126.iteye.com/blog/804597
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
iptables配置(/etc/sysconfig/iptables)操作方法
01-20
iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A INPUT -p tcp –dport 22 -j ACCEPT iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT #保存 sudo /etc/rc.d/init.d/iptables save 或 sudo service ...
iptables的使用
qq_61114906的博客
05-19 426
4. 允许特定端口的流量:`iptables -A INPUT -p <协议> --dport <端口号> -j ACCEPT`6. 阻止特定端口的流量:`iptables -A INPUT -p <协议> --dport <端口号> -j DROP`iptables -A INPUT -s <IP地址> -p tcp --dport <端口号> -j ACCEPT。3. 允许特定IP地址的流量:`iptables -A INPUT -s <IP地址> -j ACCEPT`
iptables规则重启自动生效--永久生效
热门推荐
12-07 3万+
方法1: 执行命令:service iptables save 规则自动保存到了/etc/sysconfig/iptables,用此命令保存的规则开机会自动生效。 方法2: 保存规则:#iptables-save >/etc/iptables-script 恢复规则:#iptables-restore>/etc/iptables-script 开机自动恢复规则,把恢复命令添加到
ubuntu的iptables保存和重启后自动生效的方法
雷电一号
08-23 2万+
ubuntu和centos/redhat配置上有不少不同的地方,iptables就是一个。 在redhat/centos上,包iptables-save的文件保存到/etc/sysconfig/iptable就可以,但ubuntu没有这个sysconfig目录 有两种方案: 1)OS启动生效:须要iptables生效脚本保存到init.d目录。 利用工具: /etc/init.d/ipt
运维进阶——iptables详解
zhaoliang_Guo的博客
06-06 5226
iptables 先将双网卡的desktop的firewalld关闭,并锁定 [root@dektop ~]# systemctl stop firewalld [root@dektop ~]# systemctl mask firewalld ln -s '/dev/null' '/etc/systemd/system/firewalld.service' [root@dektop ~]# ...
ubuntu下设置Iptables在重启后自动生效
Jeremy's Note
09-09 7521
save roles to a file iptables-save /etc/iptables.roles edit /etc/network/interfaces vim /etc/network/interfaces add: pre-up iptables-restore < /etc/iptables.roles done.
Linux防火墙iptables重启生效解决方案
红尘道,红尘练心
04-09 6531
输入完iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080 后 执行iptables-save 注意:iptables-save是连在一起的,是一个命令,不是参数 iptables-save 仅仅是列出当前设置,并不是将配置保存 若你用的是 RedHat 系列,应该使用 service iptables save 保存,用 chkconfig iptables on 实现开机启动启用 若不是 RedHat 系列,
iptables 防火墙管理
gredn的专栏
10-12 957
在Linux服务器被攻击的时候,有的时候会有几个主力IP。如果能拒绝掉这几个IP的攻击的话,会大大减轻服务器的压力,说不定服务器就能恢复正常了。 在Linux下,使用ipteables来维护IP规则表。要封停或者是解封IP,其实就是在IP规则表中对入站部分的规则进行添加操作。 要封停一个IP,使用下面这条命令: iptables -I INPUT -s ***.***.***
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值