iptables 使用详解

原创 已于 2025-04-12 10:14:38 修改 · 983 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络

于 2025-04-12 10:13:12 首次发布

一、iptables 使用详解

#基本语法
iptables [选项] [链名称] [规则匹配条件] [动作]

[选项]:指定操作,如新增、删除、插入规则等。
[链名称]:指定 iptables 的链,如 INPUT、OUTPUT、FORWARD、PREROUTING 等。
[规则匹配条件]:数据包过滤的条件,如源 IP 地址、目标端口等。
[动作]:匹配到的包执行的操作,如 ACCEPT、DROP、REJECT 等

#链
    INPUT:用于控制进入本地系统的数据包。
    OUTPUT:用于控制本地系统发送的数据包。
    FORWARD:用于控制通过本地系统的数据包(本机不是目的地时)。
    PREROUTING:用于在包进入路由之前修改数据包,用于 NAT。
    POSTROUTING:用于在包离开路由后修改数据包,用于 NAT。

#选项
    #链管理选项
    -L:列出指定链中的所有规则
    -N:创建新链
    -X:删除自定义链
    -F:清空指定链中的所有规则。如果不指定链,则清空所有链的规则
    -Z:将链的计数器清零
    #规则管理选项
    -A:在指定链的末尾追加一条规则
    -I:在指定链的指定位置插入一条规则(默认在首位)
    -D:删除指定链中的规则。可以通过规则编号或直接匹配规则来删除
    -R:替换指定链中的某条规则
    -P:设置默认策略(即当数据包不匹配任何规则时的默认动作)
#匹配条件选项
	-s,--source:指定源 IP 地址
	-d,--destination:指定目标 IP 地址
	-p,--protocol:指定协议类型(如 tcp、udp、icmp)
	--sport:指定外部端口号(仅适用于 tcp 或 udp 协议)
	--dport:指定本地端口号
	-i,--in-interface:指定进入的网络接口
	-o,--out-interface:指定离开的网络接口
	-m state --state:使用连接跟踪模块,匹配数据包的连接状态
	-m limit:限制数据包匹配速率
#动作:-j,--jump:指定匹配条件满足时跳转到的动作或目标链
     ACCEPT:允许数据包通过
     DROP:丢弃数据包,不作任何响应
     REJECT:拒绝数据包,并返回错误信息
     LOG:记录日志,但不阻止数据包的继续处理


msm8953_64:/ # iptables --help
iptables v1.6.1

Usage: iptables -[ACD] chain rule-specification [options]
       iptables -I chain [rulenum] rule-specification [options]
       iptables -R chain rulenum rule-specification [options]
       iptables -D chain rulenum [options]
       iptables -[LS] [chain [rulenum]] [options]
       iptables -[FZ] [chain] [options]
       iptables -[NX] chain
       iptables -E old-chain-name new-chain-name
       iptables -P chain target [options]
       iptables -h (print this help information)

Commands:
Either long or short options are allowed.
  --append  -A chain            Append to chain
  --check   -C chain            Check for the existence of a rule
  --delete  -D chain            Delete matching rule from chain
  --delete  -D chain rulenum
                                Delete rule rulenum (1 = first) from chain
  --insert  -I chain [rulenum]
                                Insert in chain as rulenum (default 1=first)
  --replace -R chain rulenum
                                Replace rule rulenum (1 = first) in chain
  --list    -L [chain [rulenum]]
                                List the rules in a chain or all chains
  --list-rules -S [chain [rulenum]]
                                Print the rules in a chain or all chains
  --flush   -F [chain]          Delete all rules in  chain or all chains
  --zero    -Z [chain [rulenum]]
                                Zero counters in chain or all chains
  --new     -N chain            Create a new user-defined chain
  --delete-chain
            -X [chain]          Delete a user-defined chain
  --policy  -P chain target
                                Change policy on chain to target
  --rename-chain
            -E old-chain new-chain
                                Change chain name, (moving any references)
Options:
    --ipv4      -4              Nothing (line is ignored by ip6tables-restore)
    --ipv6      -6              Error (line is ignored by iptables-restore)
[!] --protocol  -p proto        protocol: by number or name, eg. `tcp'
[!] --source    -s address[/mask][...]
                                source specification
[!] --destination -d address[/mask][...]
                                destination specification
[!] --in-interface -i input name[+]
                                network interface name ([+] for wildcard)
 --jump -j target
                                target for rule (may load target extension)
  --goto      -g chain
                              jump to chain with no return
  --match       -m match
                                extended match (may load extension)
  --numeric     -n              numeric output of addresses and ports
[!] --out-interface -o output name[+]
                                network interface name ([+] for wildcard)
  --table       -t table        table to manipulate (default: `filter')
  --verbose     -v              verbose mode
  --wait        -w [seconds]    maximum wait to acquire xtables lock before give up
  --wait-interval -W [usecs]    wait time to try to acquire xtables lock
                                default is 1 second
  --line-numbers                print line numbers when listing
  --exact       -x              expand numbers (display exact values)
[!] --fragment  -f              match second or further fragments only
  --modprobe=<command>          try to insert modules using this command
  --set-counters PKTS BYTES     set the counter during insert/append
[!] --version   -V              print package version.

二、iptables 的“四表五链”及“堵通策略”

  1. “四表” 指的是:filter、nat、mangle、raw

    filter:控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的链路有input, forward, output

  2. 禁止所有(验证OK)

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
  1. 删除规则(验证OK)
iptables --flush
iptables -F
  1. 禁止&使能 ping操作(验证OK)
#禁止
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
#使能
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
  1. 保存参数(验证OK)
iptables-save >/sdcard/Music/iptables-default
  1. 恢复参数(验证失败why?)
iptables-restore < /sdcard/Music/iptables-default
  1. 禁止TCP协议传输
#禁止:(验证OK)
iptables -A INPUT -p tcp -j REJECT
iptables -A FORWARD -p tcp -j REJECT
iptables -A OUTPUT -p tcp -j REJECT
#使能:(未能打开why?)
iptables -A INPUT -p tcp -j ACCEPT
iptables -A FORWARD -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp -j ACCEPT

8.关闭WireGuard

#禁止:(验证失败,无此协议)
iptables -A INPUT -p wireguard -j REJECT
iptables -A FORWARD -p wireguard  -j REJECT
iptables -A OUTPUT -p wireguard  -j REJECT

只支持以下协议

const struct xtables_pprot xtables_chain_protos[] = {
        {"tcp",       IPPROTO_TCP},
        {"sctp",      IPPROTO_SCTP},
        {"udp",       IPPROTO_UDP},
        {"udplite",   IPPROTO_UDPLITE},
        {"icmp",      IPPROTO_ICMP},
        {"icmpv6",    IPPROTO_ICMPV6},
        {"ipv6-icmp", IPPROTO_ICMPV6},
        {"esp",       IPPROTO_ESP},
        {"ah",        IPPROTO_AH},
        {"ipv6-mh",   IPPROTO_MH},
        {"mh",        IPPROTO_MH},
        {"all",       0},
        {NULL},
};

9.停掉WireGuard端口(无法验证)

#禁用本地59381端口
iptables -I INPUT -p tcp,udp --dport 59831 -j DROP
iptables -I OUTPUT -p tcp,udp --dport 59831 -j DROP
iptables -I FORWARD -p tcp,udp --dport 59831 -j DROP
#禁止外部51820端口
iptables -I INPUT -p tcp,udp --sport 51820 -j DROP
iptables -I OUTPUT -p tcp,udp --sport 51820 -j DROP
iptables -I FORWARD -p tcp,udp --sport 51820 -j DROP
  1. 白名单模式:
1)先清除现有规则
   iptables -F
2) 默认禁用所有输入及输出
   iptables -P INPUT DROP
   iptables -P FORWARD DROP
   iptables -P OUTPUT DROP
3)允许指定的IP及端口访问
   #特定IP及端口的连接
   iptables -A INPUT -p tcp --dport 22 -s 123.123.123.123 -j ACCEPT
   
   测试Failed:
   iptables -A INPUT -p tcp --dport 996  -s 218.17.50.142 -j ACCEPT
   iptables -A INPUT -p udp --dport 996  -s 218.17.50.142 -j ACCEPT
   
   iptables -A OUTPUT -p tcp --dport 996 -s 218.17.50.142 -j ACCEPT
   iptables -A OUTPUT -p udp --dport 996 -s 218.17.50.142 -j ACCEPT
   
   iptables -A FORWARD -p tcp --dport 996 -s 218.17.50.142 -j ACCEPT
   iptables -A FORWARD -p udp --dport 996 -s 218.17.50.142 -j ACCEPT
   
   iptables -I INPUT -p tcp --sport 996  -s 218.17.50.142 -j ACCEPT
   iptables -I OUTPUT -p tcp --sport 996 -s 218.17.50.142 -j ACCEPT
   iptables -I FORWARD -p tcp --sport 996 -s 218.17.50.142 -j ACCEPT
   
   iptables -I INPUT -p udp --sport 996  -s 218.17.50.142 -j ACCEPT
   iptables -I OUTPUT -p udp --sport 996 -s 218.17.50.142 -j ACCEPT
   iptables -I FORWARD -p udp --sport 996 -s 218.17.50.142 -j ACCEPT
   
   #验证OK
   iptables  -A OUTPUT -d 218.17.50.142  -j ACCEPT
		
   #123.123.0/24 IP范围的连接
   iptables -A INPUT -p tcp -s 123.123.123.0/24 --dport 22 -j ACCEPT
4)允许指定的URL访问
   iptables -A FORWARD  -m string --string "www.baidu.com" --algo bm -j ACCEPT
   iptables -A FORWARD  -m string --string "time.windows.com" --algo bm -j ACCEPT
   
5)允许本地环回接口 (#验证OK)
   iptables -A INPUT -i lo -j ACCEPT
   iptables -A OUTPUT -o lo -j ACCEPT
6)允许已建立连接的数据包
   iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  1. 删除规则
查看规则:
iptables --list-rules
将所有iptables以序号标记显示,执行:
iptables -L -n --line-numbers
比如要删除INPUT里序号为8的规则,执行:
iptables -D INPUT 8
  1. 禁用IPV6
echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
#或者
interfaceSetEnableIPv6
netd:InterfaceController::setEnableIPv6
ip6tables -P INPUT DROP
ip6tables -P FORWARD DROP
ip6tables -P OUTPUT DROP
  1. 使能UID
#uid 更加包名查找 data/system/packages.list CV200使用systemUid=1000
iptables -I fw_OUTPUT  -m owner --uid-owner  10161(uid) -j ACCEPT

如下测试:

iptables -F
ip6tables -F
#投屏工具vysor:UID=10094
iptables -I OUTPUT  -m owner ! --uid-owner  10094 -j DROP 
ip6tables -I OUTPUT  -m owner ! --uid-owner  10094 -j DROP 

#汽水音乐UID:UID=10095 验证OK
iptables -I OUTPUT  -m owner --uid-owner  10095 -j DROP 
ip6tables -I OUTPUT  -m owner --uid-owner  10095 -j DROP 
#百度UID:UID=10097 验证OK
iptables -I OUTPUT  -m owner --uid-owner  10097 -j DROP 
ip6tables -I OUTPUT  -m owner --uid-owner  10097 -j DROP 
#今日头条:UID=10096 

#新浪:UID=10098

#除了今日头条外其他禁用(投屏设备无法使用没验证)
iptables -A OUTPUT  -m owner ! --uid-owner 10096 -j DROP
ip6tables -A OUTPUT  -m owner ! --uid-owner 10096 -j DROP
  1. 使能PID
iptables -A OUTPUT -m owner --pid-owner 78

测试如下:

queclink: PID=6627
iptables -A OUTPUT -m owner  ! --pid-owner 6627 -j DROP
  1. 禁止VPN
iptables -t vpn -P FORWARD DROP
iptables -t vpn -P INPUT DROP
iptables -t vpn -P OUTPUT DROP
TinyKey
关注
Iptables使用方法
sxy2475的博客
10-20 2413
Iptables使用方法 Iptables使用方法 Iptables的组成 四张表 五个链 添加规则的要点 Iptables使用 对表进行的操作 对链进行的操作 对规则进行的操作 匹配条件 基本匹配 扩展匹配 处理动作 保存规则的方法Iptables的组成 iptables由四个表和五个链以及一些规则组成 四张表四张表及其功能简介 表名 功能 filter表 过滤规则表,根据预定
Linux iptables:四表五链 + 实用配置
最新发布
2402_83576389的博客
10-23 938
本文介绍了Linux系统中iptables防火墙的安装、配置和使用方法。主要内容包括:1) iptables的安装与启动;2) 四表五链的关系及功能说明;3) 基本语法和常用选项详解;4) 规则查看方法;5) 五个实用配置实例,包括拒绝特定IP访问、ICMP控制、多地址/端口设置、SNAT/DNAT转换和规则持久化保存。通过具体命令示例,展示了如何实现常见的防火墙功能,如端口控制、地址转换和规则永久保存等。文章提供了详细的参数说明和操作演示,适合系统管理员参考使用iptables进行网络安全管理。
iptables详解
09-04
安全体系概览,预备知识:OSI七层模型,Firewalls: netfilter/iptables,数据包的流向图(iptables语法,标准流程)
Iptables详解
热门推荐
不以物喜不以己悲
10-23 7万+
Iptabels是与Linux内核集成的包过滤防火墙系统,几乎所有的linux发行版本都会包含Iptables的功能。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则Iptables有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 netfilter/iptables过滤防火墙系统是一种功能强大的工具,可用于添加、编辑和除去
iptables详细讲解及用法
wyf_wyf_001的博客
05-26 2497
防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制机制做出相应的动作。#把访问网卡是eth0 的,使用tcp协议,访问端口为2346,目标地址为218.29.30.31的IP 转换成目标地址为192.168.1.6:22的IP。功能体系,iptables位于/sbin/iptables,用来管理防火墙规则的工具,管理员通过iptables给netfilter变更规则实现防火墙作用。
精选资源
Linux 防火墙软件 IPtables使用详解.docx
11-09
Linux 防火墙软件 IPtables使用详解.docx
iptables使用详解
DoloresOOO的博客
07-25 818
iptables使用详解 1、四表 首先来说一下iptables的四张表 filter负责过滤数据包,他包括的规则链有input,output和forward。 nat(Network Address Translation,网络地址转换)顾名思义,网络地址转换,这张表就是负责网络地址转换,其中有prerouting,postrouting和output。 mangle表则主要应用修改数据包内容上...
精选资源
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
iptables手册详解
11-08
iptables手册详解,静态网页版,对netfile网络基础知识做全面介绍,详细讲解iptables命令以及应用场景。
IPtables 防火墙详解
11-08
最全的iptables防火墙详解,从实战入手,分析各种应用场景。
iptables怎么用?你不会还不知道吧?
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-10 348
iptables命令语法顺序-L 显示所选链的所有规则。如果没有选择链,所有链将被显示。 也可以和z选项一起 使用,这时链会被自动列出和归零。精确输出受其它所给参数影响。 -n 只显示数字ip、port -t 指定表 -A append,追加最后 -I insert 最前面插入新规则 -D 删除规则 -p 指定协议,protocal,tcp、udp、icmp、all --dport 目...
iptables用法
weixin_43908020的博客
06-16 2627
Linux 防火墙分为应用层防火墙和包过滤防火墙,iptables防火墙属于包过滤防火墙,底层使用的是 Linux 内核 netfilter,性能优秀。 iptables的结构da zh
iptable中文学习文档
HexBug
09-12 1876
iptables -ADC 来指定链的规则,-A添加 -D删除 -C 修改iptables - [RI] chain rule num rule-specification[option]用iptables - RI 通过规则的顺序指定iptables -D chain rule num[option]删除指定规则iptables -[LFZ] [chain][option]用iptables
iptables详细使用教程
Dreamer
10-21 1055
时小心操作,因为不正确的规则可能会导致网络连接中断。如果你希望在重启后保持。
iptables使用详解
wzt888的博客
12-12 496
1.命令管理(查看链规则的内容) [root@base1 Desktop]# systemctl stop firewalld [root@base1 Desktop]# yum install -y iptables-services [root@base1 Desktop]# systemctl start iptables [root@base1 Desktop]# systemctl en...
iptables命令使用详解
weixin_46082443的博客
04-08 1413
iptables命令使用详解 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四表五链”及“堵通策略” A.“四表”是指,iptables的功能——filter, nat, mangle, raw. filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的
iptables 使用与简单示例
aicsswo的博客
02-25 3101
#删除fliter表中ACCOUNRT链想到了在慢慢编辑,
iptables命令 详解
08-27
`iptables` 是 Linux 系统中用于网络包过滤和管理的命令行工具,它属于 Netfilter 工具包的一部分。Netfilter 是一个内核模块,允许用户对进出系统的网络数据包进行筛选、修改或丢弃。`iptables` 提供了一种灵活的方式来配置防火墙策略,包括: 1. **链(Chains)**:iptables 分为几个不同的处理链,如 `INPUT`(接收数据包)、`OUTPUT`(发送数据包)、`FORWARD`(转发数据包),以及一些内部使用的链。 2. **规则(Rules)**:每个链由一系列规则组成,每个规则定义了特定的数据包应该如何处理。规则可以基于源地址、目的地址、端口号、协议类型等条件。 3. **目标(Targets)**:规则的末尾通常会指定一个目标操作,比如 `ACCEPT`(允许通过)、`DROP`(丢弃)、`RETURN`(不做进一步检查)、`DNAT`(数据包的源地址转换)等。 4. **表(Tables)**:`iptables` 默认有两个表:`nat` 和 `mangle`。`nat` 表主要用于网络地址转换,`mangle` 表则负责改变数据包的内容,如设置标记(marking)等。 5. **保存和应用**:你可以使用 `save` 命令将当前规则集保存到文件,然后用 `apply` 或 `reload` 命令将其永久地加载到系统中。 6. **动态调整**:`iptables` 可以实时添加、删除或修改规则,这意味着你可以根据需要快速调整网络安全策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值