iptables

已于 2022-08-10 11:48:32 修改
阅读量539 收藏 2
点赞数
分类专栏: linux/unix ( ̄﹁ ̄) 文章标签: 网络 服务器 java
于 2020-01-20 11:02:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cjqqschoolqq/article/details/104047665
版权

iptables

入门参考:http://www.zsythink.net/archives/1199/

四表五链(默认)

在这里插入图片描述

表(Table, 适配匹配的规则rule)

  • raw:PREROUTING, OUTPUT
  • mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING
  • nat: PREROUTING, OUTPUT, POSTROUTING( centos7中还有|NPUT, centos6中没有
  • filter: INPUT, FORWARD, OUTPUT (默认表)

链(Chain)

  • REROUTING:raw表, mangle表,nat表,用于目标地址转换(DNAT)进站进行的过滤
  • INPUT: mangle表, filter表,( centos7中还有nat表, centos6中没有),处理输入数据包,入站数据包处理
  • FORWARD: mangle表, filter表,处理转发数据包
  • OUTPUT:raw表 mangle表,nat表, filter表,处理输出数据包,出站数据包处理
  • POSTROUTING: mangle表,nat表,用于源地址转换(SNAT)出站进行的过滤。

动态开放端口适配

  • ftp协议 :modprobe nf_conntrack_ftp ports=21,2125,2135
  • sip协议:nf_conntrack_sip
  • tftp协议:nf_conntrack_tftp
  • 其他。。。

iptables命令

库支持:libiptclibiptext

iptables -t 表名 <-A/I/D/R> 规则链名 [规则号] <-i/o 网卡名> -p 协议名 <-s 源IP/源子网> --sport 源端口 <-d 目标IP/目标子网> --dport 目标端口 -j 动作

动作

ACCEPPT:接受数据包。
REJECT:拒绝
DROP:直接丢弃数据包。不给任何回应信息,这时候客户端会感觉自己的请求沉入大海,等过了超时时间才会有反应。
REDIRECT:重定向、映射、透明代理。
SNAT:源地址转换。
DNAT:目标地址转换。
MASQUERADE:IP伪装(NAT),用于ADSL。是SNAT的一种特殊形式,适用于动态的,临时会变的IP上(内网访问外网,如:LAN->WAN,则wan采用动态伪装)
LOG:日志记录,除了记录对数据包不做任何动作。

状态

NEW:主机连接目标主机,在目标主机上看到的第一个想要连接的包
ESTABLISHED:主机已与目标主机进行通信,判断标准只要目标主机回应了第一个包,就进入该状态。
RELATED:主机已与目标主机进行通信,目标主机发起新的链接方式,例如ftp
INVALID:无效的封包,例如数据破损的封包状态

官方说明

https://linux.die.net/man/8/iptables

iptables

-N 自定义链
    #iptables -t filter -N use_reject
    #iptables -E use_reject WEB
    #iptables -X WEB
-i 指定进入的网卡(PREROUTING,INPUT,FORWARD)
    #iptables -t filter -I INPUT -i eth2 -p icmp -j DROP
-o 指定出去的网卡(FORWARD,OUTPUT,POSTROUTING)
[!] -d 目标地址
    #iptables -I INPUT ! -d 192.168.0.230 -p tcp  --dport 80 -m connlimit --connlimit-above 2 -j DROP
[!] -s 源地址
-p #协议
    tcp	
        --dport 目标端口
        --sport 源端口
        --tcp-flags 匹配报文的tcp头的标志位
            {SYN,ACK,FIN,RST,URG,PSH} {..} 
        --syn 匹配tcp新建连接的请求报文,相当于使用"--tcp-flags SYN,RST,ACK,FIN  SYN"
        #iptables -t nat -I PREROUTING -d 192.168.0.172 -p tcp --dport 553 -m comment --comment "!mapping:rtsp" -j DNAT --to-destination 192.168.100.172:554

    udp
        --dpor  
        --sport
    icmp
        --icmp-type
                echo-request  或数字8
                echo-reply (响应的数据包)一般用0来表示
                其他参考icmp协议

-m	#模块
    tcp #tcp模块
        --source-port [!] port[:port]
        --destination-port [!] port[:port]
        --tcp-flags [!] mask comp
            第一个参数是我们应该检查的标志,写为逗号分隔列表,
            第二个参数是逗号分隔的标志列表,必须设置。
            标志是:SYN ACK FIN RST URG PSH ALL NONE。
        
    multiport	#指定多端口号
        --sport 匹配报文的源端口
        --dport 匹配报文的目标端口
        --ports 匹配源与目标端口
        #iptables -t filter -I -s 192.168.0.12 -p tcp -m multiport --sport 11 -j REJECT 

    iprange	匹配指定范围内的地址
        [!] --src-range from[-to]:指明连续的源IP地址范围;
        [!] --dst-range from[-to]:指明连续的目标IP地址范围;
        #iptables -I INPUT -d 192.168.184.142 -p tcp -m multiport --dports 22:23,80 -m iprange --src-range 192.168.184.1-192.168.184.150 -j ACCEPT

    state	状态检查
        --state {NEW,ESTATBLISHED,INVALID,RELATED}  指定检测那种状态

    string	字符串匹配,能够检测报文应用层中的字符串
        --algo bm|kmp  指定算法bm或kmp
        [!] --string pattern  指明字符串是什么
        #防止电子邮件欺骗
        #iptables -I INPUT -p tcp --dport 25 -m string --string "Subject" --algo bm -j DROP

    connlimit	连接数限制
        --comlimit-above #限定大连接个数
        #允许8080端口最大连接数为 30
        #iptables -I INPUT -p tcp --dport 8080 -m connlimit --connlimit-above 30 -j REJECT

    conntrack	
        --ctstate
    limit	限定匹配数据包的个数
        --limit 25/sec
        --limit-burst 50
        #响应请求的速率
        # iptables -A INPUT -d 192.168.184.142 -p icmp --icmp-type 0 -m limit --limit-burst 5 --limit 30/minute -j ACCEPT 
    recent	限制一段时间内的连接数

    time	时间        
        --datestart  YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
        --datestop  YYYY[-MM[-DD[Thh[:mm[:ss]]]]]
        --timestart   hh:mm[:ss]
        --timestop   hh:mm[:ss]
        [!] --monthdays  day[,day...]
        [!] --weekdays  day[,day...]
        #iptables -I INPUT -d 192.168.184.142 -p tcp --dport 80 -m time --timestart 00:00 --timestop 23:59 -j REJECT

	comment #注释(最多256个字符)
        --comment ""
        #-m comment --comment "allow SSH to this host from anywhere"
    mac     #
        --mac-source [!] address 
        匹配的源MAC地址。它的形式必须是XX的:XX:XX:XX:XX:XX。需要注意的是,这恰恰使从以太网设备来并进入PREROUTING,FORWARD和INPUT链的包感。
        # iptables -A INPUT -s 192.168.100.172 -m mac --mac-source e0:50:8b:05:b9:6b -j DROP
        # iptables -A input_rule -s 192.168.100.172 -m mac ! --mac-source e0:50:8b:05:b9:6b -j DROP
    iprange
        --src-range
        #iptables -I INPUT -m iprange --src-range 192.168.1.23-192.168.1.63 -j ACCE
-j
   LOG
      --log-level 日志级别(0-7 man syslog)
      --log-prefix "" 日志记录

-n --line-numbers

一些使用命令

# 统计输出源端口5902的tcp流量
iptables -A OUTPUT -p tcp --sport 5902  
# 统计输出到目标地址192.168.0.55的tcp流量
iptables -A OUTPUT -p tcp -d 192.168.0.55
# 做网关使用将172.16.3.0网段的数据转发到enp1s0源地址修改为192.168.0.251(源地址转换)
iptables -t nat -A POSTROUTING -s 172.16.3.0/24 -o enp1s0 -j SNAT --to-source 192.168.0.251
# centos上的防火墙实现: 转发nat表输出到网卡enp1s0源地址为192.168.3.0网段,进行MASQUERED动态伪装(自动选择IP,可解决IP地址变化问题)
sudo firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -o enp1s0 -j MASQUERADE -s 192.168.3.0/24
# 查看当前
iptables -nvL
# 查看表
iptables -t raw -nvL
iptables -t nat -nvL
iptables -t mangle -nvL
iptables -t filter -nvL

linux配置相关

# vim /etc/sysctl.conf
#使能IPv4转发
net.ipv4.ip_forward=1                      # 1表示开启 0表示关闭

临时生效:

sysctl -w net.ipv4.ip_forward=1

当前存在的表

cat /proc/net/ip_tables_names
cat /proc/net/ip6_tables_names

  • luci-bwc 流量统计与图表展示
  • /proc/net/ip_conntrack 连接跟踪文件(老版本)
  • /proc/net/nf_conntrack 连接跟踪文件
iptables 命令大全 iptables -A -L -D等【转】
weixin_30861459的博客
02-11 6418
原文链接http://blog.163.com/xychenbaihu@yeah/blog/static/132229655201212705752493/ iptables指令 语法: iptables[-ttable]command[match][-jtarget/jump] -t参数用来指定规则表,内建的规则表有三个,分别是:n...
iptadmin:iptables Web界面-开源
05-06
用Haskell编写Linux防火墙的Web界面。 它涵盖了选项和目标的一小部分。 它用作独立的https守护程序,并允许使用pam对系统帐户进行​​身份验证。 Iptadmin无法通过设计破坏iptables配置文件。 它不允许用户阻止对接口的网络访问。
iptables命令详解
zgdong2025的专栏
11-19 414
iptables 指令语法 iptables [-t table] command [match] [-j target/jump] [-t table] 指定规则表 -t 参数用来,内建的规则表有三个,分别是:nat、mangle 和 filter,当未指定规则表时,则一律视为是 filter。个规则表的功能如下: nat:此规则表拥有 PREROUTING 和 POST
iptables学习记录
最新发布
weixin_47830774的博客
03-30 400
即 Network Address Translation(网络地址转换)表,负责处理数据包中的地址转换,如源地址转换(SNAT)和目标地址转换(DNAT)。比如局域网内的网关服务器转发数据包到互联网时,就会用到此链规则。在数据包完成路由决策,即将离开本机时进行处理,常用于源地址转换(SNAT),如将局域网内不同 IP 转换为统一的公网 IP 发出。在数据包进入路由决策之前进行处理,当外部数据包进入本机时,首先会经过此链。处理本机发出的数据包,可在此设置规则控制本机发出的数据包的走向等。
利用iptables来配置linux禁止所有端口登陆和开放指定端口
热门推荐
yakoo5的专栏
10-27 1万+
1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。     下面是命令实现:     iptables -P INPUT DROP     iptables -P FORWARD DROP     iptables -P OUTPUT DROP     再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了     这样的
iptables命令
a19860903的专栏
02-16 516
本文来自: http://man.linuxde.net/iptables iptables命令 iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。 语法  iptables(选项)(参数)
《Linux 防火墙 IPtables 全攻略》.pdf
10-27
Linux防火墙iptables是一种基于内核的防火墙软件,具有网络流量过滤功能。iptables主要通过NetFilter来实现规则的存放和执行,而iptables则运行在用户空间,负责定义规则并将它们传递给NetFilter。iptables中的规则...
iptables-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables是Linux系统中用于配置和管理防火墙规则的工具。在本次提供的rpm压缩包文件中,包含了iptables及其依赖的rpm安装包。该压缩包的文件名为"iptables-1.4.21-35.el7.x64-86.rpm.tar.gz",解压后会得到一系列rpm...
iptables-services-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables是一种在Linux系统中广泛使用的用于配置和控制防火墙规则的工具,它工作在内核空间的netfilter模块上,是许多Linux发行版中默认的防火墙管理器。iptables-services-1.4.21-35.el7.x86_64.rpm是iptables服务...
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz
01-26
iptables-devel-1.4.21-35.el7.x64-86.rpm.tar.gz 是一个包含多种rpm包的压缩文件,用于在Linux系统的RPM包管理系统上安装iptables开发环境所需的文件。iptables是一个用于配置Linux内核防火墙的命令行工具,广泛...
Centos离线安装iptables.docx
04-15
### Centos离线安装iptables详解 #### 一、前言 在CentOS系统中,iptables是用于设置网络规则的重要工具之一。然而,在某些情况下,由于网络环境限制或安全考虑,我们可能无法通过在线方式安装iptables。本文将...
iptables工具__过滤包—命令(-A、-I、-D、-R、-L等)、参数(-p、-s、-d、--sport、--dport、-i、-o等)、动作-j (ACCEPT、DROP、REJECT、RED
tanyjin的博客
04-25 1617
iptables 指令 语法:          iptables [-t table] command [match] [-j target/jump]          -t 参数用来指定规则表,内建的规则表有三个,分别是:nat、mangle 和 filter,           当未指定规则表时,则一律视为是 filter。 各个规则表的功能如下:  
Linux下IPTABLES配置详解
weixin_33938733的博客
09-10 260
我们来配置一个filter表的防火墙.(1)查看本机关于IPTABLES的设置情况[root@tp ~]# iptables -L -nChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)targe...
Linux------iptables防火墙常用命令
weixin_48190875的博客
08-26 1629
iptables的表、链结构 规则链 规则的作用:对数据包进行过滤或处理 链的作用:容纳各种防火墙规则 链的分类依据:处理数据包的不同时机 默认包括5种规则链 INPUT:处理入站数据包 OUTPUT:处理出站数据包 FORWARD:处理转发数据包 POSTROUTING链: 在进行路由选择后处理数据包 PREROUTING链:在进行路由选择前处理数据包 规则表 表的作用:容纳各种规则链 表的划分依据:防火墙规则的作用相似 默认包括4个规则表 raw表:确定是否对该数据包进行状
iptable命令详解
weixin_49840888的博客
08-22 7129
说明:表名、链名用于指定 iptables命令所操作的表和链,命令选项用于指定管理iptables规则的方式(比如:插入、增加、删除、查看等;条件匹配用于指定对符合什么样 条件的数据包进行处理;会按照规则的顺序进行检查,一旦某个数据包匹配到了某条规则,就不会继续检查后面的规则。通常,更具体的规则(如单个 IP 地址)应该放在前面,而更宽泛的规则(如整个子网)放在后面。iptables-save把规则保存到文件中,再由目录rc.d下的脚本(/etc/rc.d/init.d/iptables)自动装载。
运维——Linux防火墙iptables语法详解
海渊_haiyuan的博客
08-01 2757
运维——Linux防火墙iptables语法详解在Linux防火墙中,对于数据报而言,有以下几个流向:PREROUTING–>FORWARD–>POSTROUTINGPREROUTING–>INPUT–>本机OUTPUT–>POSTROUTING数据报的流向主要流向其实也是iptables的两种工作模式: 用作NAT路由器 用作主机防火墙 iptables会根据不同的数据处理包处理功能不同的规则表。
用 ipset 和 iptables 保护 sip 端口
fs交流的博客
04-02 669
用ipset和iptables保护sip端口
Linux运维--iptables防火墙命令以及端口号等详解(全)
lza20001103的博客
09-02 1935
Linux运维--iptables防火墙命令以及端口号等详解(全)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值