TDXYBS的博客

首先添加规则有两个参数：-A和-I，其中-A是添加到规则的末尾；-I可以插入到指定位置，没有指定位置的话默认插入到规则的首部，由于匹配规则是从上往下，依次查找的，可能出现配置的规则冲突导致后续的规则不起效保存iptables规则sudo iptables-save保存ipv6 的iptables规则sudo ip6tables-save查看iptables规则sudo iptable...

【Iptables】01Iptables概念【Iptables】02 Iptables实际操作之规则查询【Iptables】03 Iptables规则管理【Iptables】04 Iptables匹配条件总结【Iptables】05 Iptables常用的匹配扩展模块【Iptables】06 IPtables扩展匹配条件之 “-tcp-flags”【Iptables】07 IPtabl...

01 Iptables概念相关概念：防火墙防火墙可以从逻辑上大体分为主机防火墙和网络防火墙，主机防火墙针对单个主机进行防护，网络防火墙则往往处于网络入口或边缘，针对网络入口进行防护，服务于防火墙背后的本地局域网防火墙可以从物理上大体分为硬件防火墙和软件防火墙，硬件防火墙在硬件级别实现部分防火墙功能，另一部分基于软件实现，性能高，成本高；软件防火墙则是应用软件处理逻辑运行于通用硬件平台之上的...

02 iptables实际操作之规则查询之前提到iptables是以"表"作为操作入口的，和数据库中表差不多，iptables的表也是可以增删改查的，我们定义规则，实际上就是在进行"增删改查"，现在，我们以filter表作为起始，去了解iptables我们怎样查看filter表的规则呢？试着输入iptables -t filter -L上图中，我们使用 -t 选项，指定了要操作的表，使用 ...

03 Iptables规则管理清空INPUT链的原有规则iptables -F INPUT增加规则例如，我们想增加一条规则，规则策略是拒绝192.168.200.115的所有报文访问本机，我们输入以下命令iptables -t filter -I INPUT -s 192.168.200.115 -j DROP查看一下规则是否添加成功，iptables -t filter -n...

04 Iptables匹配条件总结之前我们的规则匹配条件多是一个IP，可不可以多个IP同时加入匹配条件呢？是可以的，只要各IP之间使用英文逗号隔开即可，并且注意逗号两边不能用空格；不仅如此，我们还能将一个网段加入匹配条件，具体操作和结果如下iptables -t filter -F INPUT # 先清除之间的规则iptables -t filter -I INPUT -s 192.16...

05 Iptables常用的匹配扩展模块我们已经了解了扩展匹配端口的模块，那么还有那些扩展模块会经常用到的呢？iprange扩展模块前面我们用到了与端口相关的扩展匹配条件，使我们能够指定连续的，不连续的端口，保证了我们端口指定匹配条件的需求，那么有没有扩展匹配条件关于IP的呢，使我们不用逗号去连接一系列连续的IP；这时我们就要用到新的扩展模块iprange了，iprange扩展模块主要针对"...

06 IPtables扩展匹配条件之 “-tcp-flags”对于tcp扩展模块，我们已经总结了 --sport 和 --dport 选项，其实还有 --tcp-flags 选项，其主要作用是匹配tcp报文的头部的标识位，以此作为匹配条件去触发动作在使用iptables的tcp扩展的 --tcp-flags 选项时，可对tcp报文中的 TCP Flags 区域进行匹配；其中该区域有不同的标志位...

07 IPtables扩展匹配条件之UDP扩展与ICMP扩展udp扩展模块先来看看UDP扩展模块，该模块和tcp扩展模块相似，但只要两个扩展选项，即 --sport 和 --dport，用于匹配源地址端口号和目标地址端口号，使用方式也和tcp扩展模块一样，只不过在使用时用 -p 指定udp端口和 -m 选项指定了 udp 扩展模块；下面是一些示例，如匹配目标地址的UDP端口10050，可以定...

08 Iptables扩展匹配条件之state扩展模块一般情况下，我们访问服务器服务，向服务端的80发起请求，服务端会通过80端口响应我们的请求，于是，我们作为客户端，也会开发相应的80端口以便接收该服务返回的报文，但此时就可能存在安全问题，如果进入我们主机80端口的报文到底是服务端返回的，还是别人刻意发送的呢？很可怕，我们可以试着只通过特定主机IP发送的报文，其余IP地址发送的报文都拒绝，但...

09 Iptables的黑白名单机制所谓的黑白名单机制并不是iptables有功能提供了黑白名单直接可以使用，而是用户根据链的默认策略不同，自定义规则来实现的比如，当INPUT链默认策略为ACCEPT，这代表着所有的报文如果没有其他规则匹配过滤，那么默认将会被iptables放行接受，如果我们此时定义几条不允许满足某些匹配条件的报文进入我们的主机，那么这些满足某些匹配条件的报文就像是被我们拉入...

10 Iptables自定义链之前我们一直在讨论和使用默认的链，感觉已经满足我们的需要了，但是这样吗？有没有可能我们想针对某一个服务自定义一条链，所有与之相关的规则都放在一起，这样会更好管理，我们不用在一大堆杂乱的规则中花大量时间找出我们想要的规则；答案是可以的，我们现在便新建一条自己的链吧现在我们想自定义一条与WEB相关的链，先不管规则定义，怎么才能定义一条链呢？答案是使用 -N 选项i...

11 Iptables之网络防火墙之前我们了解到iptables主要是作为主机防火墙，维护主机的安全，如果想让iptables作为网络防火墙呢？想让iptables服务于防火墙背后的局域网呢？我们知道，网络防火墙往往是处于网络的入口或者边缘，那么，如果想使用iptables充当网络防火墙，iptables的主机就必须处于网络的入口处，即和外网连通的主机，示意图如下上图中，直接与Intern...

12 Iptables动作总结之一(基础)此前我们已经接触过动作了，如REJECT，DROP，ACCEPT；但是我们却没说其他的动作，并且动作其实还分基础动作和扩展动作的，基础动作包括DROP，ACCEPT；其余的便是扩展动作，但是扩展动作使用时不用指定，这与之前的匹配条件使用扩展模块不同，如我们使用REJECT动作就直接使用就好了虽说直接使用就好了，但是扩展动作却是有一些常用的选项的，我们先...

13 Iptables动作总结之二(进阶)我们之前已经了解了ACCEPT、DROP、REJECT、LOG，另外还有一些动作虽然不常用，但是也可能会用到的，分别是SNAT、DNAT、MASQUERADE、REDIRECT首先来了解下NAT，NAT即Network Address Translation的缩写，译为"网络地址转换"，如名，NAT的作用就是用来做网络地址转换的，通常会被集成到路由器，...