iptable命令详解

原创 已于 2024-08-22 18:11:58 修改 · 7.9k 阅读 · 38 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #linux

于 2024-08-22 17:22:53 首次发布

1.iptables的基本语法格式

iptables [-t 表名] 命令选项 [链名] [条件匹配] [-j 目标动作或跳转]
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样 条件的数据包进行处理;目标动作或跳转用于指定数据包的处理方式(比如允许通过、拒绝、丢弃、跳转(Jump)给其它链处理。

2.iptables命令的管理控制选项

-A 在指定链的末尾添加(append)一条新的规则
-D 删除(delete)指定链中的某一条规则,可以按规则序号和内容删除
-I 在指定链中插入(insert)一条新的规则,默认在第一行添加
-R 修改、替换(replace)指定链中的某一条规则,可以按规则序号和内容替换
-L 列出(list)指定链中所有的规则进行查看
-E 重命名用户定义的链,不改变链本身
-F 清空(flush)
-N 新建(new-chain)一条用户自己定义的规则链
-X 删除指定表中用户自定义的规则链(delete-chain)
-P 设置指定链的默认策略(policy)
-Z 将所有表的所有链的字节和数据包计数器清零
-n 使用数字形式(numeric)显示输出结果
-v 查看规则表详细信息(verbose)的信息
-V 查看版本(version)
-h 获取帮助(help)

3.防火墙处理数据包的四种方式

ACCEPT 允许数据包通过
DROP 直接丢弃数据包,不给任何回应信息
REJECT 拒绝数据包通过,必要时会给数据发送端一个响应的信息。
LOG在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则

4.iptables防火墙规则的保存与恢复

iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载

使用命令iptables-save来保存规则。一般用

iptables-save > /etc/sysconfig/iptables

生成保存规则的文件 /etc/sysconfig/iptables,

也可以用

service iptables save

它能把规则自动保存在/etc/sysconfig/iptables中。

当计算机启动时,rc.d下的脚本将用命令iptables-restore调用这个文件,从而就自动恢复了规则。

5.iptables防火墙常用的策略


(1).拒绝进入防火墙的所有ICMP协议数据包

iptables -I INPUT -p icmp -j REJECT

 这条命令的作用是将一条新的规则插入到 INPUT 链中,用于拒绝所有传入的 ICMP 协议的数据包。

具体来说,这条命令中的各个参数含义如下:

  • -I INPUT:这里的 -I 代表“Insert”,意味着将新规则插入到指定的链中,在这个例子中是 INPUT 链。INPUT 链负责处理进入本机的数据包。

  • -p icmp-p 选项后面跟的是协议类型,在这里指定的是 icmp,即 Internet Control Message Protocol,互联网控制报文协议。ICMP 主要用于网络设备之间传递控制信息和错误消息,比如我们常用的 ping 命令就是基于 ICMP 协议的。

  • -j REJECT-j 选项后面跟的是目标动作,REJECT 表示拒绝匹配到的数据包。与 DROP 直接丢弃数据包不同,REJECT 会向发送者返回一个错误消息,告知数据包被拒绝。

执行这条命令后,任何尝试通过 ICMP 协议发送到本机的数据包都将被拒绝,并且发送者会收到一个拒绝的消息。这可以作为一种安全措施,防止某些基于 ICMP 的网络攻击,或者简单地用于控制网络流量。

(2).允许防火墙转发除ICMP协议以外的所有数据包

iptables -A FORWARD -p ! icmp -j ACCEPT

  • -A FORWARD:这里的 -A 代表“Append”,意味着将新规则追加到指定的链中,在这个例子中是 FORWARD 链。FORWARD 链负责处理需要通过本机转发的数据包,而不是直接发往本机的数据包。

  • -p ! icmp-p 选项后面跟的是协议类型,而 ! 符号表示逻辑非,所以这里指定的是除 ICMP 协议之外的所有协议。

  • -j ACCEPT-j 选项后面跟的是目标动作,ACCEPT 表示接受匹配到的数据包,允许它们继续传输。

执行这条命令的结果是,任何尝试通过本机转发且不是 ICMP 协议的数据包都将被接受。这对于配置网络路由器或防火墙来说非常有用,可以根据需要对不同的网络流量进行管理和控制。

说明:使用“!”可以将条件取反。

(3).拒绝转发来自192.168.1.10主机的数据,允许转发来自192.168.0.0/24网段的数据

iptables -A FORWORD -s 192.168.1.10 -j REJECT

iptabes -A FORWORD -s  192.168.0.0/24 -j ACCEPT

说明:注意要把拒绝的放在前面不然就不起作用了!

请注意,iptables 规则的顺序非常重要,因为 iptables 会按照规则的顺序进行检查,一旦某个数据包匹配到了某条规则,就不会继续检查后面的规则。因此,如果这两条命令的顺序颠倒,可能会导致实际执行结果与预期不符。通常,更具体的规则(如单个 IP 地址)应该放在前面,而更宽泛的规则(如整个子网)放在后面。

(4).丢弃从外网接口(eth1)进入防火墙本机的源地址为私网地址的数据包

私网IP地址范围                               CIDR 表示法
10.0.0.0 - 10.255.255.255              10.0.0.0/8
172.16.0.0 - 172.31.255.255          172.16.0.0/12
192.168.0.0 - 192.168.255.255      192.168.0.0/16

iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP 
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP 
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

  • -A INPUT:表示将规则追加到 INPUT 链,该链负责处理进入本机的数据包。
  • -i eth1:指定数据包必须是通过 eth1 接口进入的。
  • -s 192.168.0.0/16:指定源地址范围为 192.168.0.0/16,这是一个常见的私有IP地址范围。
  • -j DROP:指定对这些匹配到的数据包执行的动作是 DROP,即直接丢弃这些数据包,不进行任何回应。

(5).封堵网段(192.168.1.0/24),两小时后解封。

# iptables -I INPUT -s 192.168.1.0/24 -j DROP 
# iptables -I FORWARD -s 192.168.1.0/24 -j DROP 
# at now 2 hours at> iptables -D INPUT 1 at> iptables -D FORWARD 1

  • at now 2 hours

    这行命令使用 at 调度器安排在当前时间的两小时后执行后续的任务。

  • at> iptables -D INPUT 1

    这行命令安排在两小时后执行,它将删除 INPUT 链中的第一条规则。-D 表示删除规则,INPUT 1 指删除 INPUT 链中的第一条规则。

  • at> iptables -D FORWARD 1

    同样,这行命令安排在两小时后执行,它将删除 FORWARD 链中的第一条规则。

(6).只允许管理员从202.13.0.0/16网段使用SSH远程登录防火墙主机

iptables -A  INPUT -p tcp --dport 22 -s 202.13.0.0/16 -j  ACCEPT

iptables -A  INPUT  -p tcp --dport 22  -j DROP

(7).允许本机开放从TCP端口20-1024提供的应用服务。

iptables -A  INPUT -p tcp --dport 22:1024 -j ACCEPT

iptables -A  OUTPUT -p tcp --sport 22:1024 -j ACCEPT

(8).允许转发来自192.168.0.0/24局域网段的DNS解析请求数据包。

iptables -A  FORWORD -s 192.168.0.0/24 -p  tcp --dport 53 -j ACCEPT

iptables -A  FORWORD -d  192.168.0.0/24 -p tcp  --sport 53 -j  ACCEPT

(9).禁止其他主机ping防火墙主机,但是允许从防火墙上ping其他主机

iptables -I INPUT -p icmp --icmp-type Echo-Request -j DROP 
iptables -I INPUT -p icmp --icmp-type Echo-Reply -j ACCEPT 
iptables -I INPUT -p icmp --icmp-type destination-Unreachable -j ACCEPT

CLGost
关注
iptables详解【1】: 概念
focus_lyh的博客
10-23 798
iptables使用详解
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
超级详细的iptables教学及其配置实战!
最新发布
2503_91960863的博客
06-04 1138
Iptables 是一个用户空间程序,可以用于设置和管理 Linux 操作系统的内核级防火墙。它通过表、链和规则组成,可以灵活地根据不同的需求进行配置。iptables 具有以下特点:- Iptables 作为内核级别的防火墙,具有高效、稳定、安全等优点。- Iptables 的表、链、规则结构非常灵活,可适应各种不同的网络环境和应用场景。- Iptables 相对于其他防火墙工具而言比较容易学习和掌握,并且拓展性非常强。
iptables命令详解
ZBraveHeart的博客
03-22 7633
Netfilter框架在Linux内核中通过一系列的钩子(hooks)实现数据包处理的不同阶段,iptables就可以通过这些钩子来插入自定义的规则,从而实现对数据包的控制。在Linux环境下,iptables就是一款强大而灵活的防火墙工具,它为系统管理员提供了广泛的配置选项,能够有效地控制数据包的流动,实现网络访问的控制和安全性增强。这个命令将通过本机出口的TCP数据包的目标端口为80的流量转发到192.168.1.200,而不改变目标端口。它可以用于改变数据包的目标地址,源地址,目标端口或源端口。
iptables 命令详解
qq_41917355的博客
10-18 6254
iptablesLinux 中用于设置、维护和检查 IP 数据包过滤规则的命令。它是一个强大的工具,广泛用于网络防火墙、安全性和网络地址转换 (NAT) 等。以下是iptables命令的主要选项及其详细说明。
iptables命令详解和举例(完整版)
09-07 5万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables常用命令
sre救赎之路
04-14 1万+
iptablesLinux 中的一个防火墙软件,可以管理 Linux 系统上的网络流量,帮助保护网络安全。
IPTABLELinux下的网络防火墙
CloudJourney的博客
11-08 2839
IPTABLE是一种网络防火墙,在LINUX下使用,RedHat9.0版本以上自带。它可以实现NAT转换,做上网代理。IPtable位于/sbin/iptables,是Linux防火墙的管理工具,而真正实现防火墙功能的是Netfilter,它是Linux内核中实现包过滤的内部结构。防火墙(firewall)一词本是建筑用语,本意是为了保护建筑物不受火灾侵害的,后来被借鉴到了网络通信领域中,表示保护局域网或主机不受网络攻击的侵害。
linux查看防火墙状态与开启关闭命令详解
01-10
linux查看防火墙状态与开启关闭命令有以下两种方式: 一、service方式 查看防火墙状态: [root@centos6 ~]# service iptables status iptables:未运行防火墙。 开启防火墙: [root@centos6 ~]# service iptables ...
iptables实战命令详解
shugyin的专栏
10-25 2235
iptables实战命令详解
linux iptable 命令大全
10-15
Linux Iptables命令列表: 用iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改 iptables - [RI] chain rule num rule-specification[option] 用iptables - RI 通过规则的顺序指定 iptables -D chain rule num[option] 删除指定规则 iptables -[LFZ] [chain][option] 用iptables -LFZ 链名 [选项] iptables -[NX] chain 用 -NX 指定链 iptables -P chain target[options] 指定链的默认目标 iptables -E old-chain-name new-chain-name -E 旧的链名 新的链名 用新的链名取代旧的链名 说明 Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。 TARGETS 防火墙的规则指定所检查包的特征,和目标。如果包不匹配,将送往该链中下一条规则检查;如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。 ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配,到前一个链的规则重新开始。如果到达了一个内建的链(的末端),或者遇到内建链的规则是RETURN,包的命运将由链准则指定的目标决定。
iptable防火墙详解
钱国正的专栏
12-10 1308
一.基本格式 1.  iptable  [-t  表]  命令选项  [连名]   匹配条件   [-j 动作] 2.常用命令选项如下: -A 【append】 在指定的连的结尾添加规则 -D 【delete】删除指定连中的规则,可以按规则号或规则内容匹配 -I 【insert】插入一条新规则,默认是在最前面 -R 【replace】 替换某一条规则 -L 【list】列
iptables全面详解(图文并茂含命令指南)
程序人生
08-04 4万+
iptables原理详解及操作指南
iptables 常用使用命令
u011029104的专栏
01-31 2816
iptables 使用三个不同的链来允许或阻止流量:输入(input)、输出(output)和转发(forward)输入(input) —— 此链用于控制传入连接的行为输出(output) —— 此链用于传出连接转发(forward) —— 这条链用于传入的连接,这些连接实际上不是在本地传递的,比如路由和 NATing。
iptables基础知识详解
热门推荐
Larry的博客
09-13 10万+
iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙。如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单。    首先介绍iptables的结构:iptables -> Tables -&g...
iptable
03-21
<think>嗯,用户想了解iptables的使用指南和配置示例。首先,我需要确定用户对iptables的了解程度。可能他们刚开始接触Linux防火墙,或者需要复习一些基本操作。根据提供的引用内容,我需要整合这些信息,确保回答准确且符合格式要求。 首先,系统级指令要求所有数学表达式用$...$,不过这里可能用不上,但要注意其他格式,比如代码块用反引号。然后,用户要求生成相关问题,放在最后。回答结构要清晰,分步骤说明,并且引用对应的引用标记。 用户提供的引用有关于保存规则、添加规则的命令、基本概念、firewalld的注意事项等。需要将这些信息组织成逻辑连贯的内容。可能需要分成几个部分,比如基本概念、常用命令、配置示例、注意事项等。 需要检查引用是否正确对应,比如引用[^1]对应保存规则,引用[^2]对应添加规则的命令,引用[^5]提到firewalld的替换。在回答中引用这些内容时,要自然地在相关段落末尾添加标识。 另外,用户可能对iptables和firewalld的关系有疑问,所以要在注意事项中提到CentOS 7以上版本使用firewalld,避免混淆。配置示例部分可以包括开放端口、禁止IP、NAT转发等常见场景,每个示例给出代码块,并说明用途。 最后,生成的相关问题要围绕用户可能进一步想了解的内容,比如表和链的作用、迁移到firewalld、调试技巧、规则顺序影响等。确保问题有针对性,帮助用户深入学习。 需要确保语言简洁,步骤清晰,避免技术术语过多,同时保持专业性。检查LaTeX语法是否正确,虽然这里可能用不上数学公式,但代码块和引用格式要正确。确认所有引用标记正确对应,没有遗漏或错误。</think>### iptables 使用指南及配置示例 #### 一、基本概念 iptablesLinux 系统中管理网络流量规则的核心工具,通过定义**表**(Tables)、**链**(Chains)和**规则**(Rules)来实现防火墙功能。主要表包括: - **filter 表**:默认表,用于数据包过滤 - **nat 表**:网络地址转换 - **mangle 表**:修改数据包头部信息 网络流量会依次经过不同链的处理流程,例如输入链(`INPUT`)、转发链(`FORWARD`)和输出链(`OUTPUT`)[^3][^4]。 --- #### 二、常用命令格式 1. **添加规则** ```bash sudo iptables -A <链名> -p <协议> --dport <端口> -j <动作> ``` 示例:允许 SSH 连接 ```bash sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` 2. **查看规则** ```bash sudo iptables -L -n -v # 显示详细规则列表 ``` 3. **删除规则** ```bash sudo iptables -D <链名> <规则编号> # 按编号删除 sudo iptables -F # 清空所有规则 ``` --- #### 三、配置示例 **场景 1:开放 Web 服务端口** ```bash sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT # HTTP sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT # HTTPS ``` **场景 2:禁止特定 IP 访问** ```bash sudo iptables -A INPUT -s 192.168.1.100 -j DROP ``` **场景 3:配置 NAT 转发** ```bash sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # 共享上网 ``` --- #### 四、规则持久化 临时规则重启后会丢失,需保存至配置文件: ```bash sudo iptables-save > /etc/iptables/rules.v4 # IPv4规则保存[^1] ``` --- #### 五、注意事项 1. 操作前建议备份现有规则 2. CentOS 7+/RHEL 7+ 默认使用 `firewalld`,如需切换回 iptables: ```bash systemctl stop firewalld systemctl mask firewalld yum install iptables-services ``` [^5] ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值