IPTABLES常规操作规则与放行

最新推荐文章于 2025-10-30 16:15:57 发布
原创 最新推荐文章于 2025-10-30 16:15:57 发布 · 6.3k 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables

本文介绍iptables的基本操作命令,包括查看、清空规则及如何设置默认规则等,并通过多个实例展示如何实现端口放行、特定IP访问控制、地址转换等功能。

iptables

iptables [-t 表 ] -L -n

查看一张表上的规则

iptables [-t 表 ] -F     清空所有规则

iptables  -P   链  动作      设置某个链的默认规则

添加iptables规则

iptables [-t 表]  -A  链    匹配的条件             -j      动作
                  -I        -p       协议                 ACCEPT    放行
                  -D        -s       源IP地址             DROP      丢弃
                  -L        -d       目的IP地址           REJECT    拒绝
                            --sport  源端口               DNAT  --to-destication    目的地址转换
                            --dport  目的端口             SNAT  --source            源地址转换

iptables -A INPUT -p tcp --dport 80 -j DROP

“堵” 策略,默认规则是“放行”,添加“堵”的规则

“通” 策略 默认规则是“拦截”,添加“放行”规则

示例
在INPUT链拦截80端口

iptables -A INPUT -p tcp --dport 80 -j DROP

在INPUT链放行3306端口

iptables -A INPUT -p tcp --dport 3306 -j ACCEPT

通过192.168.189.131访问81端口的放行

iptables -A INPUT -p tcp --dport 81 -d 192.168.189.131 -j ACCEPT

禁ping

iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p icmp -j REJECT

在OUTPUT链添加放行源端口为22的请求

iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT

在OUTPUT链添加放行源IP为192.168.189.161的请求

iptables -I OUTPUT -s 192.168.189.161 -j ACCEPT

在OUTPUT链添加放行源端口为81的请求

iptables -A OUTPUT -p tcp --sport 81 -j ACCEPT

目的地址转换
将访问192.168.189.161 端口为2222的请求转发至10.30.0.128的22端口

iptables -t nat -A PREROUTING -p tcp  -d 192.168.189.161 --dport 2222 -j DNAT --to-destination 10.30.0.128:22

源地址转换,所有来自于10.30.0.0/24网段的请求源地址转换为192.168.189.161

iptables -t nat -A POSTROUTING -p tcp  -s 10.30.0.0/24  -j SNAT --to-source 192.168.189.161
利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法
09-15
下面小编就为大家带来一篇利用iptables来配置linux禁止所有端口登陆和开放指定端口的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
iptables 针对网段/某段IP 操作
大西瓜的博客
07-12 1万+
iptables 针对网段/某段IP 操作 1、禁用某网段(-p后也可以是udp 也可以是all) iptables -I INPUT -p tcp -s 192.168.116.0/24 -j DROP 2、禁用某网段的22端口 iptables -I INPUT -p tcp -s 192.168.116.0/24 --dport 22 -j DROP 3、禁用192.168.116.1~192.168.116.20 IP段的 22 端口 iptables -I INPUT -m iprange -
Linux(Debian11iptables放行所有端口
热门推荐
weixin_44071721的博客
09-25 1万+
iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT
Linux 防火墙(iptables/firewalld)配置:端口放行、IP 黑白名单规则保存
最新发布
2501_93897734的博客
10-30 328
传统 Linux 防火墙工具,直接操作内核级 netfilter 框架,适用于所有主流发行版。
c7 通过iptables放行部分端口
qq_30381077的博客
11-13 395
【代码】c7 通过iptables放行部分端口。
使用iptable实现: 放行telnet, ftp, web服务,放行samba服务,其他端口服务全部拒绝
liaowunonghen的专栏
03-16 786
ipables 端口访问设置 iptables -A INPUT -p tcp -s 0/0 --dport 23 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --dport 20 -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --dport 21 -j ACCEPT iptables -A INPUT -p tcp -...
iptables放行范围端口
weixin_44071721的博客
10-10 8923
iptables -A INPUT -p tcp --dport 8080:9090 -j ACCEPT iptables -A OUTPUT -p tcp --sport 8080:9090 -j ACCEPT iptables-save
第七章 使用iptablesfirewalld防火墙
u012616827的博客
11-18 1100
在图 8-7 所示的局域网中有多台 PC,如果网关服务器没有应用 SNAT 技术,则互联网中的网站服务器在收到 PC 的请求数据包,并回送响应数据包时,将无法在网络中找到这个私有网络的 IP 地址,所以 PC 也就收不到响应数据包了。换句话说,Linux 系统中其实有两个层面的防火墙,第一种是前面讲到的基于 TCP/IP 协议的流量过滤工具,而 TCP Wrappers 服务则是能允许或禁止 Linux 系统提供服务的防火墙,从而在更高层面保护了 Linux 系统的安全运行。文件来阻止对服务的请求流量。
Linux 操作系统原理 — netfilter/iptables 流量处理框架
烟云的计算
05-25 2652
即:内网 IP 地址向外访问 Internet 时,发起访问的内网 IP 地址转换为指定的对外 IP 地址(可指定具体的服务以及相应的端口或端口范围),这使内网的多部主机可以通过同一个有效的公网 IP 地址访问外部网络。IP 网络有公网私网的区分,企业内网使用私网 IP,Internet 使用公网 IP。DNAT(Destination Network Transform,目的地址转换) SNAT 相对,当外部网络访问内部网络时,进来的 IP 数据包会被改变 dstIP 地址。
Linux网络之iptables 防火墙——四表/五链、数据包匹配流程、编写iptables规则
m0_74282605的博客
03-08 1126
入数据流向:如果是外边的数据包到达防火墙后,要先通过prerouting 链:对数据包做路由选择之后,将应用此链中的规则,然后将进行路由选择,确认数据包的目标地址是否是防火墙本机,结合内核传送给input链做处理,确认通过之后,便可以交给服务器端来进行响应。每个规则表,其实就相当于一个内核空间的容器,按照规则集的不同用途进行划分为默认的四个表,在每个规则表中包含不同的规则链,处理数据包的不同时机分为五种链,决定是否过滤或处理数据包的各种规则并按照先后顺序存放在各规则链中。
iptables防火墙
qingqui_的博客
02-21 1761
目录 一,iptables 1.防火墙 2.netfilter,iptables的关系 3.iptables表,链结构 4.数据包过滤的匹配流程(数据包到达防火墙时) 二,编写防火墙规则 1.基本语法、控制类型 2.数据包的常见控制类型 3.添加、查看、删除规则等基本操作 4.设置默认策略 5.规则的匹配条件 三,SNATDNAT策略 1.SNAT策略 路由转发开启方式: SNAT转换: 2.DNAT 扩展:iptables规则的备份还原 抓包 一,ipta
iptables 配置文件中开放指定网段访问
weixin_35756373的博客
01-18 1466
可以使用 iptables 的 "-s" 参数指定允许访问的网段。例如,要允许 192.168.0.0/24 网段中的主机访问,可以使用以下命令: iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT ...
Iptables
bjgaocp的博客
03-21 8119
iptables介绍 linux的包过滤功能,即linux防火墙,它由netfilter 和 iptables 两个组件组成。 netfilter 组件也称为内核空间,是内核的一部分,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。 iptables 组件是一种工具,也称为用户空间,它使插入、修改和除去信息包过滤表中的规则变得容易。 iptables基础 我们知道iptabl...
iptables防火墙,多IP环境下, 指定某个目的IP地址通过某个本地IP访问,策略路由!
https://ophome.blog.youkuaiyun.com,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
07-04 401
在CentOS7.9中配置从源IP 10.0.0.3访问目标网段1.1.1.0/24有三种方法:1)策略路由:创建自定义路由表,添加默认路由和策略规则,并绑定源IP;2)iptables SNAT:添加SNAT规则修改源IP;3)直接添加路由。配置后需验证规则是否生效,注意网关一致性、路由优先级和防火墙冲突。持久化配置需保存规则和路由表文件,并确保文件权限正确。验证方法包括查看策略规则、NAT规则和测试流量源IP。
iptables配置防火墙,设置IP通过
weixin_50822535的博客
04-21 2204
设置通过IP(假设IP为1.1.1.1)# 安装iptables-services。1.先检查是否安装了iptables。# 设置 iptables 开机启动。如果需要全新的规则可以删除之前的规则。设置远程22端口仅允许堡垒机访问。# 停止 firewalld。# 禁用 firewalld。如果没安装就进行安装进行。# 安装iptables。安装好了查看已有的规则。或者对已建立的链接放行
iptables 规则策略设置
weixin_33719619的博客
08-21 1277
Iptables一、防火墙基础知识1、防火墙是什么工作于主机或网络边缘,对于进出的定义的报文的规则做检查,进而对被规则匹配到的报文作为相应处理的套件2、防火墙的作用防火墙的作用主要是防***,防恶意***,有点类似于acl机制。主要针对服务器或者保护局域网中的主机。防火墙主要作用是不防病毒和***的,但是有一定的防护作用。3、防火墙的分类主机防火墙:工作在主机上的软件防火网络...
Linux之iptables打开所有进/出端口(一百三十二)
Android系统攻城狮
10-31 7238
【代码】Linux之iptables打开所有进/出端口。
linux防火墙只放行特定ip访问,Iptables 防火墙 只允许某IP访问某端口、访问特定网站...
weixin_35404745的博客
05-06 4605
Iptables 防火墙 只允许某IP访问某端口、访问特定网站#1. 先备份iptablescp /etc/sysconfig/iptables /var/tmp#需要开80端口,指定IP和局域网#下面三行的意思:#先关闭所有的80端口#开启ip段192.168.1.0/24端的80口#开启ip段211.123.16.123/24端ip段的80口iptables -I INPUT -p tcp -...
iptables防火墙规则编写
02-13
### 编写iptables防火墙规则教程 #### 了解基本概念 iptables 是 Linux 系统中用于配置 IPv4 数据包过滤和 NAT 的工具。通过定义不同表内的链来控制网络流量的行为。常见的表有 `filter` 和 `nat` 表,其中 `filter` 表主要用于处理输入、转发以及输出的数据流;而 `nat` 表则负责地址转换。 #### 查看现有规则 为了更好地理解当前环境下的设置,在修改之前先查看现有的规则是非常重要的操作之一。可以通过命令查询特定表中的所有链: ```bash iptables -L ``` 这会显示 filter 表中的所有链及其对应的规则列表[^1]。如果想要查看其他类型的表,则需要加上 `-t` 参数指明具体名称,比如对于 NAT 表来说就是: ```bash iptables -t nat -L ``` #### 插入新规则 当准备向某个链条里加入新的规则时,可以使用 `-I` 命令参数指定要插入的位置及匹配条件。例如,阻止来自 IP 地址为 `202.54.1.2` 的主机访问本机: ```bash iptables -I INPUT 2 -s 202.54.1.2 -j DROP ``` 这里表示将这条拒绝规则插入到 INPUT 链的第二位位置上,并且只针对源地址等于给定值的情况生效[^2]。 #### 清除已有规则 有时可能希望清除掉某些表内所有的规则以便重新开始构建安全策略。这时可以用到 `-F` 参数实现这一目的: ```bash iptables -F ``` 上述指令将会清空默认的 filter 表下各条目。而对于像 mangle 或者 raw 这样的特殊用途表格而言,则需显式指出其名字作为目标对象: ```bash iptables -t nat -F iptables -t mangle -F ``` #### 设定默认行为 除了单独添加每一条具体的准入/禁入项之外,还可以直接设定整个链条遇到未被任何先前声明所覆盖的情形时应采取的动作——即所谓的“默认政策”。例如让 OUTPUT 链上的所有尝试都失败除非另有说明允许它们继续前进: ```bash iptables -P OUTPUT DROP ``` 紧接着再补充例外情况以确保必要的通信不会受到影响: ```bash iptables -p tcp --sport 22 -j ACCEPT ``` 这段脚本的作用在于优先接受 SSH 协议发出的一切请求,从而保障远程登录功能正常运作的同时又能有效抵御外部威胁[^4]。 #### 处理连接状态跟踪 为了让服务器能够区分合法会话非法入侵企图之间的差异,通常还会引入基于连接追踪模块 (`conntrack`) 来辅助判断哪些数据报应当予以放行或是拦截下来。如下所示是一段用来批准已建立联系再次发送后续消息的例子: ```bash iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT ``` 此外还有专门针对于丢弃那些明显不符合常规模式(如伪造源端口等)的数据帧的做法: ```bash iptables -A INPUT -m state --state INVALID -j DROP ``` 以上便是创建 iptables 规则的一些基础指导原则[^5]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值