使用iptables -S命令查看链中的规则

最新推荐文章于 2024-10-09 19:20:21 发布
最新推荐文章于 2024-10-09 19:20:21 发布
阅读量7.8k 收藏 2
点赞数
分类专栏: iptables 文章标签: Linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zahuopuboss/article/details/8886584
版权

手册

#man iptables

 

-S, --list-rules [chain]
              Print all rules in the selected chain.  If no chain is selected, all chains are printed like  iptables-save.  Like
              every other iptables command, it applies to the specified table (filter is the default).

 

使用 -S 命令可以查看这些rules是如何建立的

 

示例

Fedora18中防火墙filter表的规则

 

# iptables  -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N FORWARD_IN_ZONES
-N FORWARD_OUT_ZONES
-N FORWARD_direct
-N FWDI_ZONE_home
-N FWDI_ZONE_home_allow
-N FWDI_ZONE_home_deny
-N FWDI_ZONE_public
-N FWDI_ZONE_public_allow
-N FWDI_ZONE_public_deny
-N FWDO_ZONE_external
-N FWDO_ZONE_external_allow
-N FWDO_ZONE_external_deny
-N FWDO_ZONE_home
-N FWDO_ZONE_home_allow
-N FWDO_ZONE_home_deny
-N FWDO_ZONE_public
-N FWDO_ZONE_public_allow
-N FWDO_ZONE_public_deny
-N INPUT_ZONES
-N INPUT_direct
-N IN_ZONE_dmz
-N IN_ZONE_dmz_allow
-N IN_ZONE_dmz_deny
-N IN_ZONE_external
-N IN_ZONE_external_allow
-N IN_ZONE_external_deny
-N IN_ZONE_home
-N IN_ZONE_home_allow
-N IN_ZONE_home_deny
-N IN_ZONE_internal
-N IN_ZONE_internal_allow
-N IN_ZONE_internal_deny
-N IN_ZONE_public
-N IN_ZONE_public_allow
-N IN_ZONE_public_deny
-N IN_ZONE_work
-N IN_ZONE_work_allow
-N IN_ZONE_work_deny
-N OUTPUT_direct
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES
-A INPUT -p icmp -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j OUTPUT_direct
-A FORWARD_IN_ZONES -i p5p1 -g FWDI_ZONE_public
-A FORWARD_IN_ZONES -g FWDI_ZONE_public
-A FORWARD_OUT_ZONES -o p5p1 -g FWDO_ZONE_public
-A FORWARD_OUT_ZONES -g FWDO_ZONE_public
-A FWDI_ZONE_home -j FWDI_ZONE_home_deny
-A FWDI_ZONE_home -j FWDI_ZONE_home_allow
-A FWDI_ZONE_public -j FWDI_ZONE_public_deny
-A FWDI_ZONE_public -j FWDI_ZONE_public_allow
-A FWDO_ZONE_external -j FWDO_ZONE_external_deny
-A FWDO_ZONE_external -j FWDO_ZONE_external_allow
-A FWDO_ZONE_external_allow -j ACCEPT
-A FWDO_ZONE_home -j FWDO_ZONE_home_deny
-A FWDO_ZONE_home -j FWDO_ZONE_home_allow
-A FWDO_ZONE_public -j FWDO_ZONE_public_deny
-A FWDO_ZONE_public -j FWDO_ZONE_public_allow
-A INPUT_ZONES -i p5p1 -g IN_ZONE_public
-A INPUT_ZONES -g IN_ZONE_public
-A IN_ZONE_dmz -j IN_ZONE_dmz_deny
-A IN_ZONE_dmz -j IN_ZONE_dmz_allow
-A IN_ZONE_dmz_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_external -j IN_ZONE_external_deny
-A IN_ZONE_external -j IN_ZONE_external_allow
-A IN_ZONE_external_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_home -j IN_ZONE_home_deny
-A IN_ZONE_home -j IN_ZONE_home_allow
-A IN_ZONE_home_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_home_allow -p udp -m udp --dport 631 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_home_allow -d 224.0.0.251/32 -p udp -m udp --dport 5353 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_home_allow -p udp -m udp --dport 137 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_home_allow -p udp -m udp --dport 138 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_internal -j IN_ZONE_internal_deny
-A IN_ZONE_internal -j IN_ZONE_internal_allow
-A IN_ZONE_internal_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_internal_allow -p udp -m udp --dport 631 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_internal_allow -d 224.0.0.251/32 -p udp -m udp --dport 5353 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_internal_allow -p udp -m udp --dport 137 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_internal_allow -p udp -m udp --dport 138 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_public -j IN_ZONE_public_deny
-A IN_ZONE_public -j IN_ZONE_public_allow
-A IN_ZONE_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_public_allow -d 224.0.0.251/32 -p udp -m udp --dport 5353 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_work -j IN_ZONE_work_deny
-A IN_ZONE_work -j IN_ZONE_work_allow
-A IN_ZONE_work_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_work_allow -d 224.0.0.251/32 -p udp -m udp --dport 5353 -m conntrack --ctstate NEW -j ACCEPT
-A IN_ZONE_work_allow -p udp -m udp --dport 631 -m conntrack --ctstate NEW -j ACCEPT


查看nat表

# iptables -t nat -S
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-N OUTPUT_direct
-N POSTROUTING_ZONES
-N POSTROUTING_direct
-N POST_ZONE_external
-N POST_ZONE_external_allow
-N POST_ZONE_external_deny
-N POST_ZONE_home
-N POST_ZONE_home_allow
-N POST_ZONE_home_deny
-N POST_ZONE_public
-N POST_ZONE_public_allow
-N POST_ZONE_public_deny
-N PREROUTING_ZONES
-N PREROUTING_direct
-N PRE_ZONE_home
-N PRE_ZONE_home_allow
-N PRE_ZONE_home_deny
-N PRE_ZONE_public
-N PRE_ZONE_public_allow
-N PRE_ZONE_public_deny
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o p5p1 -g POST_ZONE_public
-A POSTROUTING_ZONES -g POST_ZONE_public
-A POST_ZONE_external -j POST_ZONE_external_deny
-A POST_ZONE_external -j POST_ZONE_external_allow
-A POST_ZONE_external_allow -j MASQUERADE
-A POST_ZONE_home -j POST_ZONE_home_deny
-A POST_ZONE_home -j POST_ZONE_home_allow
-A POST_ZONE_public -j POST_ZONE_public_deny
-A POST_ZONE_public -j POST_ZONE_public_allow
-A PREROUTING_ZONES -i p5p1 -g PRE_ZONE_public
-A PREROUTING_ZONES -g PRE_ZONE_public
-A PRE_ZONE_home -j PRE_ZONE_home_deny
-A PRE_ZONE_home -j PRE_ZONE_home_allow
-A PRE_ZONE_public -j PRE_ZONE_public_deny
-A PRE_ZONE_public -j PRE_ZONE_public_allow


 

雜貨鋪老闆
关注
专栏目录
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 4555
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
iptables详解及一些常用规则
togolife的博客
03-04 1万+
iptables简介 netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。 iptables基础 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息 包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP
Iptables
弥生的博客
03-15 653
虚拟机配置 Centos07 安装iptables防火墙 yum -y install iptables iptables-services 启动iptables防火墙服务 systemctl start iptables systemctl enable iptables iptables语法和数据包控制类型 i) iptables语法 iiptables. [-t表名字]选项[链名字] [条件] [-j 控制类型] 2) iptable...
linux iptables 命令简介
whatday的专栏
01-02 2228
语法 iptables(选项)(参数) 选项 -t, --table table 对指定的表 table 进行操作, table 必须是 raw, nat,filter,mangle 中的一个。如果不指定此选项,默认的是 filter 表。 # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型; -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地址,按此规则进行过滤。当后面没有 mask 时,address 是一个地址,比如:192.
Iptables命令常用命令
m0_73135216的博客
09-13 762
下是一些非常实用的。
Linux服务器防火墙Iptables命令使用详解
cn_yaojin
01-11 628
原文地址:https://blog.csdn.net/han156/article/details/78449253   iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加一条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用P...
iptables——基础
最新发布
m0_74752717的博客
10-09 961
iptables -lINPUT -p tcp --dport 8080 -m limit --limit=500/s --imit-burst=1000 -jACCEPT这条规则是:8080端口会对包的速率做匹配,也就是每秒只处理500个包,假如某一时刻进来700个包,只处理500个包后面ACCEPT表示放行,也就是这500个包放行:剩下的200个包不做处理,交给下一个规则处理。的输出不是流量处理过程的实时描述,但它确实提供了一个关于 iptables 如何配置以及它可能会如何处理流量的有用快照。
iptables详解
Vincent's tech blog
06-11 1416
IPtables IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在 L...
iptables中常用的参数以及作用
qq_42783214的博客
10-20 3826
ACCEPT(允许流量通过)、REJECT(拒绝流量后再回复一条“您的信息已经收到,但是被扔掉了)、LOG(记录日志信息)、DROP(拒绝流量通过,直接将流量丢弃而且不响应) 参数 作用 -P 设置默认策略 -F 清空规则链 -L 查看规则链 -A 在规则链的末尾加入新规则 -I num 在规则链的头部加入新规则 -D num 删除某一条规则 -s 匹配来源地址IP/MASK,加叹号“!”表示除这个IP外 -d 匹配目标地址 -i 网卡名称 匹配从这块网卡流入的数据 -o 网卡名称 匹配从这块网卡流出的数据
iptables实战命令详解
shugyin的专栏
10-25 2146
iptables实战命令详解
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
iptables命令简介
衡水铁头哥的博客
04-20 970
正文共:3456 字 22 图,预估阅读时间:3 分钟iptables/ip6tables命令,用于在Linux内核中设置、维护和检查IPv4和IPv6数据包过滤规则的表,从而实现IPv4/IPv6数据包过滤和NAT的管理工具。它可以定义多个不同的表,每个表中包含多个预定义的链,也可能包含用户自定义的链。每个链都是一个规则列表,用来匹配一组数据包,每个规则都指定如何处理匹配到的数据包,也被称为“目...
iptables网络防火墙
qq_45660008的博客
07-16 201
iptables -S // 查看当前添加的端口信息 iptables -D // 删除添加的端口命令 iptables -L // 添加白名单: adb shell iptables -A INPUT -p tcp --dport 10921 -j ACCEPT adb shell iptables -A INPUT -p tcp --dport 10920 -j ACCEPT adb shell iptables -A INPUT -p tcp --dport 10711 -j ...
Linux防火墙iptables命令详解
下一个艺术家
12-01 1464
本篇博客对Linux防火墙及一些命令进行解释,并展示现象。
Linux常用命令——ip6tables命令
AI的博客
04-28 3146
但是 IPv6 的地址非常丰富,不再需要使用类似 NAT 等协议的私有网络。这样一来,所有的内部主机都可以拥有公网 IP 而直接连接到互联网,也就同时暴露于互联网上的各种威胁之中了。有时候,如果你的规则设置太过苛刻,可能都无法分配到正确的 IPv6 地址。当然,不使用 DHCP 而是手动配置 IP 地址的除外。对于那些没有特定规则与之匹配的数据包,可能是我们不想要的,多半是有问题的。和iptables一样,都是linux中防火墙软件,不同的是ip6tables采用的TCP/ip协议为IPv6。
【运维必备】Linux iptables命令详解
maizaozao的专栏
06-13 6748
iptables
iptables命令详解
w329636271的专栏
03-08 1225
iptabels [root@www ~]# iptables [-AI链名] [-io网路介面] [-p协定] \ > [-s来源IP/网域] [-d目标IP/网域] -j [ACCEPT |DROP|REJECT|LOG] 选项与参数: -AI 链名:针对某的链进行规则的"插入" 或"累加" -A :新增加一条规则,该规则增加在原本规则的最后面。例如原本已经有四条规则使用-A 就可以加上第五条规则! -I :插入一条规则。如果没有指定此规则的顺序,预设
iptables -s
08-27
`iptables -s` 是iptables命令的一部分,用于设置包头来源(source)筛选条件。它常与其他选项一起使用,例如 `-d` (destination) 来同时匹配源和目的地址。在iptables规则中,`-s` 通常放在 `-I` 或 `-A` 命令后面,用于指定规则的动作(action)应用于那些源地址匹配特定IP地址、网段或范围的数据包。 例如,`iptables -A INPUT -s 192.168.1.0/24 -j DROP` 表示只允许来自192.168.1.0/24网络的所有入站数据包,并将它们丢弃 (`DROP`)。 当你需要应用一个基于源的策略时,可以利用 `-s` 参数。你可以选择 `-src`(仅匹配源IP)或 `-daddr`(仅匹配目的IP)来精确控制流量。另外,`-s` 后面还可以跟通配符,如 `*` 或 `[a-f:A-F:0-9]` 来匹配更复杂的地址模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值