iptables规则的查看、添加、插入、删除和修改

最新推荐文章于 2025-10-23 16:00:52 发布
转载 最新推荐文章于 2025-10-23 16:00:52 发布 · 1.7w 阅读 · 15
文章标签:

#iptables

这里只列出比较常用的参数,详细的请查看man iptables

1、查看
iptables -nvL --line-number

-L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数
-n 不对ip地址进行反查,加上这个参数显示速度会快很多
-v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口
–line-number 显示规则的序列号,这个参数在删除或修改规则时会用到

2、添加
添加规则有两个参数:-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部。

当前规则:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.4          0.0.0.0/0

添加一条规则到尾部:

[root@test ~]# iptables -A INPUT -s 192.168.1.5 -j DROP

再插入一条规则到第三行,将行数直接写到规则链的后面:

[root@test ~]# iptables -I INPUT 3 -s 192.168.1.3 -j DROP

查看:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.3          0.0.0.0/0
4    DROP       all  --  192.168.1.4          0.0.0.0/0
5    DROP       all  --  192.168.1.5          0.0.0.0/0

可以看到192.168.1.3插入到第三行,而原来的第三行192.168.1.4变成了第四行。

3、删除
删除用-D参数

删除之前添加的规则(iptables -A INPUT -s 192.168.1.5 -j DROP):

[root@test ~]# iptables -D INPUT -s 192.168.1.5 -j DROP

有时候要删除的规则太长,删除时要写一大串,既浪费时间又容易写错,这时我们可以先使用–line-number找出该条规则的行号,再通过行号删除规则。

[root@test ~]# iptables -nv --line-number
iptables v1.4.7: no command specified
Try `iptables -h' or 'iptables --help' for more information.
[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.3          0.0.0.0/0

删除第二行规则

[root@test ~]# iptables -D INPUT 2

4、修改
修改使用-R参数

先看下当前规则:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    DROP       all  --  192.168.1.5          0.0.0.0/0

将第三条规则改为ACCEPT:

[root@test ~]# iptables -R INPUT 3 -j ACCEPT

再查看下:

[root@test ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  192.168.1.1          0.0.0.0/0
2    DROP       all  --  192.168.1.2          0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0

第三条规则的target已改为ACCEPT。

iptables(2)安装及规则查询
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-20 1767
iptables为我们预定义了4张表,它们分别是raw表、mangle表、nat表、filter表,不同的表拥有不同的功能,iptalbes基本语法、查询方式。
使用iptablesipset实现大量屏蔽恶意IP地址
qq_44880708的博客
03-03 1471
使用iptables规则禁止ssh恶意访问
Linux iptables:四表五链 + 实用配置
最新发布
2402_83576389的博客
10-23 876
本文介绍了Linux系统中iptables防火墙的安装、配置使用方法。主要内容包括:1) iptables的安装与启动;2) 四表五链的关系及功能说明;3) 基本语法常用选项详解;4) 规则查看方法;5) 五个实用配置实例,包括拒绝特定IP访问、ICMP控制、多地址/端口设置、SNAT/DNAT转换规则持久化保存。通过具体命令示例,展示了如何实现常见的防火墙功能,如端口控制、地址转换规则永久保存等。文章提供了详细的参数说明操作演示,适合系统管理员参考使用iptables进行网络安全管理。
iptables防火墙
Another_Feng的博客
03-24 1161
iptables概述 Linux系统的防火墙:IP信息包过滤系统,它实际上由两个组件netfilteriptables组成。 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。 netfilter/iptables关系: netfilter:属于“内核态”(Kernel Space,又称为内核空间)的防火墙功能体系 是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。 iptables:属于“用户态”(User Space,又称为用户空间)的防
iptables规则查看添加删除修改
weixin_33788244的博客
01-24 3129
这里只列出比较常用的参数,详细的请查看man iptables 1、查看 iptables -nvL –line-number -L 查看当前表的所有规则,默认查看的是filter表,如果要查看NAT表,可以加上-t NAT参数 -n 不对ip地址进行反查,加上这个参数显示速度会快很多 -v 输出详细信息,包含通过该规则的数据包数量,总字节数及相应的网络接口 –l...
ansible常用模块之 -- iptables模块 – 修改iptables规则
weixin_44762073的博客
10-27 1395
ansible常用模块之 -- iptables模块 – 修改iptables规则
iptables修改规则保存规则
m0_56573171的博客
12-28 3156
如果上图中的命令没有使用-s指定对应规则中原本的源地址,那么在修改完成后,你修改规则中的源地址对应的原本的匹配条件会自动变成0.0.0.0/0(此IP表示所以网段的IP地址),而此时,-j对应的动作又为REJECT,所以在执行上述命令时,如果没有指明规则原本的源地址,那么所有IP的请求都被拒绝了(因为没有指定原本的源地址,当前规则的源地址自动变成0.0.0.0/0),如果你正在使用ssh远程到服务器上进行iptables设置,那么你的ssh请求也将会被阻断。iptables -t 表名。
linux防火墙iptables规则查看添加删除修改方法总结
01-10
-line-number 显示规则的序列号,这个参数在删除修改规则时会用到 2、添加 添加规则有两个参数:-A-I。其中-A是添加规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入规则的首部。 当前规则:...
(源码)基于 Node.js express 的 iptables 规则生成器.zip
08-06
2. 规则管理可进行基本指令操作,如列出、清空 iptable 及修改 Policy,还能新增、删除插入规则。 3. 图像化展示将 INPUT F 规则图像化,直观呈现规则逻辑。 4. 实用功能支持一键复制指令,可将指令添加到绘图...
如何通过iptables命令精确管理Linux系统的防火墙规则,包括查看添加删除修改特定的防火墙规则
11-04
为了更深入地理解iptables的工作原理各种高级配置,强烈建议您参考以下资料:《Linux iptables规则操作指南:查看添加删除修改》。这份指南包含了丰富的实例最佳实践,将帮助您提升iptables操作的熟练度...
Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
无糖可乐没有灵魂
07-28 1948
【代码】Shell ❀ 一键配置Iptables规则脚本 (HW推荐)
iptables基本命令规则简介
11-21
iptables基本命令规则简介,快速掌握iptables
在Linux系统中,如何精确地使用iptables命令管理防火墙规则,包括查看添加删除修改特定的防火墙规则?请提供详细的步骤示例。
11-04
《Linux iptables规则操作指南:查看添加删除修改》是一份珍贵的资源,它能够帮助你深入理解iptables在Linux系统中的应用,特别是关于规则查看添加删除修改操作。这些操作对于精确管理防火墙规则至关...
iptables(3)规则管理(新增、插入修改删除、保存)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-20 4268
上一篇文章中,我们已经介绍了怎样使用iptables命令查看规则,那么这篇文章我们就来介绍一下,怎样管理规则,即对iptables进行”增、删、改”操作。注意:在进行iptables实验时,请务必在个人的测试机上进行,不要再有任何业务的机器上进行测试。在进行测试前,为保障我们环境的纯粹性,我们需要将iptables清空,以便进行后续的各项实验测试。可以通过一下命令清空防火墙规则
iptables规则
qq_25096749的博客
10-18 3645
iptables
iptables规则查询
m0_56573171的博客
12-27 5132
当需要禁止某个IP地址访问我们主机时,则需要在INPUT链上定义规则,因为报文发往本机时,会经过PREROUTING链与INPUT链,所以如果我们想禁止某些报文发往主机,只能在PREROUTING链与INPUT链中定义规则,但是PREROUTING链并不存在与filter表中,换句话说,PREROUTING关卡天生就没有过滤能力,所以只能在INPUT链中定义。target 表示规则对应的target,往往表示规则对应的动作,即规则匹配成功后需要采取的措施。条件匹配用于指定对符合什么样条件的数据包进行处理;
使用iptables -S命令查看链中的规则
雜貨鋪
05-05 7936
手册 #man iptables   -S, --list-rules [chain]               Print all rules in the selected chain.  If no chain is selected, all chains are printed like  iptables-save.  Like               every ot
iptables查看添加删除规则
zhaoyang10的专栏
01-05 3448
查看带序号的规则 iptables -L -n --line-number 删除指定序号的规则 iptables -D INPUT 15 添加一条规则到尾部: iptables -A INPUT -p tcp -s 10.73.24.173 --dport 8501 -j ACCEPT iptables -A INPUT -s 10.73.24.173 -j DROP 添加一条规则到指定行: iptables -I INPUT 14 -p tcp -s 10.73.24.173 --dport 8501
【网络】iptables 2 查看规则语法、添加规则语法
m0_45406092的博客
04-30 947
参数 简写 含义 --table -t 指定规则表,缺省时指向filter表 --list -L 列出一个链或全部链的规则查看操作必带该参数,但可以不指定值指定值,仅列出指定链的规则;不指定值,则列出全部链的规则 例子 说明 iptables -t 表名 -L 查看对应表的所有规则-t选项指定要操作的表,省略"-t 表名"时,默认表示操作filter表,-...
kylin v10系统iptables添加删除操作
07-04
<think>我们正在讨论的是银河麒麟V10系统(基于CentOS体系)中的iptables操作。用户的问题集中在规则添加删除,以及如何确保规则永久生效(因为引用[1]提到重启后规则丢失的问题)。 关键点: 1. 规则添加:使用 `iptables -A` 或 `iptables -I` 命令 2. 规则删除:使用 `iptables -D` 按编号或按规则匹配删除,或者使用 `iptables -F` 清空 3. 规则保存:在银河麒麟V10中,需要将规则保存到文件,并确保开机加载。引用[1]提到规则丢失,所以我们需要特别注意保存步骤。 根据引用[1]引用[2]的提示,我们可以总结: - 银河麒麟V10可能默认没有安装iptables服务(即没有保存开机恢复的机制),所以需要手动保存规则并设置开机加载。 - 另外,引用[2]中提到了一些内核参数设置(如net.ipv4.ip_forward),这些与iptables规则本身无关,但可能影响网络功能。 因此,回答将包括: 1. iptables规则的基本添加删除操作(与标准Linux相同) 2. 针对银河麒麟V10的规则永久保存方法(解决重启丢失问题) 步骤: 一、添加规则 二、删除规则 三、保存规则(永久生效) 注意:在银河麒麟V10中,保存规则可能需要手动创建服务或使用其他方法,因为默认可能没有`service iptables save`命令(CentOS 6有,CentOS 7及以后使用firewalld,但麒麟V10可能兼容了iptables-service)。 根据引用[1]的提示,我们可以采用以下方法保存规则: 1. 使用`iptables-save`命令将规则输出到文件(如`/etc/iptables/rules.v4`) 2. 配置开机自动加载该规则文件(通过创建systemd服务或网络脚本) 但是,麒麟V10可能已经提供了iptables-persistent类似的工具?如果没有,我们可以手动设置。 参考解决方案: 1. 安装iptables-persistent(如果可用): sudo apt-get install iptables-persistent # 因为麒麟V10基于Debian?但引用中提到了CentOS7,所以可能是yum? 实际上,银河麒麟V10有多个版本(服务器版通常基于CentOS,桌面版可能基于Ubuntu)。根据引用[3]的下载链接(csdn)描述,我们无法确定,但用户问题中提到了“银河麒麟V10”,且引用[1]提到“从centos7开始的改新”,所以这里我们按照CentOS体系来处理。 2. 或者,手动保存恢复: iptables-save > /etc/sysconfig/iptables # 这是CentOS传统的保存位置 # 然后设置开机加载:可以通过在/etc/rc.local中添加命令,或者启用iptables服务(如果存在) 然而,引用[1]提到“银河麒麟V10重启后iptables配置丢失的解决方案”,说明需要特殊处理。我搜索到的一种解决方案是: 步骤1:将当前规则保存到文件 iptables-save > /etc/iptables.rules 步骤2:创建开机自动加载的脚本 在/etc/network/if-pre-up.d/目录下创建脚本iptablesload(此目录下的脚本会在网络接口启动前执行) 脚本内容: #!/bin/sh iptables-restore < /etc/iptables.rules 然后给脚本执行权限:chmod +x /etc/network/if-pre-up.d/iptablesload 但是,这个目录是Debian/Ubuntu风格的。对于CentOS体系,我们可以使用rc.local。 因此,针对CentOS体系(银河麒麟服务器版): iptables-save > /etc/sysconfig/iptables # 然后确保iptables服务已启用(但麒麟V10可能没有这个服务) # 如果没有,可以编辑/etc/rc.d/rc.local,添加iptables-restore < /etc/sysconfig/iptables # 并给rc.local执行权限:chmod +x /etc/rc.d/rc.local 注意:在CentOS7及以上,默认使用firewalld,所以需要先停止firewalld并安装iptables-services: systemctl stop firewalld systemctl disable firewalld yum install iptables-services systemctl enable iptables systemctl start iptables # 然后使用service iptables save 来保存 由于用户没有说明是否安装了iptables-services,且引用[1]提到问题,我们假设用户没有安装。因此,我们提供两种方法(手动保存通过安装服务)。 考虑到用户可能对操作系统的具体版本不清楚,我们提供通用方法。 回答结构: ### 一、添加规则 #### 1. 基本添加命令 - 追加规则到链尾:`iptables -A 链名 规则参数` 例如允许80端口: ```bash iptables -A INPUT -p tcp --dport 80 -j ACCEPT ``` - 插入规则到链首(或指定位置):`iptables -I 链名 [位置] 规则参数` 例如在INPUT链的第1条插入: ```bash iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT ``` ### 二、删除规则 #### 1. 按规则编号删除(推荐) ```bash # 查看规则编号 iptables -L --line-numbers # 删除指定链的指定编号规则(例如删除INPUT链的第3条规则iptables -D INPUT 3 ``` #### 2. 按规则内容匹配删除 ```bash # 必须完全匹配规则参数(例如删除允许80端口的规则iptables -D INPUT -p tcp --dport 80 -j ACCEPT ``` #### 3. 清空所有规则(慎用) ```bash iptables -F # 清空所有规则 iptables -X # 删除用户自定义链 iptables -Z # 计数器清零 ``` ### 三、保存规则(永久生效,防止重启丢失) 银河麒麟V10重启后iptables规则丢失的解决方案[^1]: #### 方法1:使用iptables-services(推荐,适用于CentOS体系的麒麟V10) 1. 停止并禁用firewalld(如果已安装): ```bash systemctl stop firewalld systemctl disable firewalld ``` 2. 安装iptables-services: ```bash yum install iptables-services ``` 3. 启用iptables服务并保存规则: ```bash systemctl enable iptables # 设置开机启动 systemctl start iptables # 启动服务 service iptables save # 保存当前规则(会保存到/etc/sysconfig/iptables) ``` 之后每次修改规则后,都需要执行`service iptables save`保存。 #### 方法2:手动保存(通用方法) 1. 保存当前规则到文件: ```bash iptables-save > /etc/sysconfig/iptables # 或自定义路径,如/etc/iptables.rules ``` 2. 设置开机自动加载规则- 编辑`/etc/rc.d/rc.local`文件,添加: ```bash iptables-restore < /etc/sysconfig/iptables ``` - 给`rc.local`执行权限: ```bash chmod +x /etc/rc.d/rc.local ``` - 注意:确保`rc.local`服务已启用(在systemd系统中,服务名为`rc-local.service`): ```bash systemctl enable rc-local.service ``` ### 注意事项 -修改规则前,建议先备份规则:`iptables-save > /path/to/backup` - 规则保存后,重启系统验证是否生效。 ### 操作示例 添加一条允许8080端口的规则并永久保存: ```bash # 添加规则 iptables -A INPUT -p tcp --dport 8080 -j ACCEPT # 保存规则(根据选择的方法) # 方法1: service iptables save # 方法2: iptables-save > /etc/sysconfig/iptables # 然后确保rc.local已设置 ``` 删除规则并保存: ```bash # 查看规则编号 iptables -L INPUT --line-numbers # 假设该规则在INPUT链的第5条 iptables -D INPUT 5 # 保存 service iptables save # 或再次iptables-save覆盖文件 ``` --- §§相关问题§§ 1. 如何检查银河麒麟V10中iptables服务是否已安装? 2. 为什么在银河麒麟V10中iptables规则重启后会丢失? 3. 如何备份恢复iptables规则? 4. 在银河麒麟V10中如何设置开机自动启用内核参数(如net.ipv4.ip_forward)?</think>### 银河麒麟 V10 系统中 iptables 规则操作指南 #### 一、添加规则 1. **基本添加命令** ```bash # 追加规则到链尾 iptables -A 链名 规则参数 # 示例:允许80端口访问 iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 插入规则到链首 iptables -I 链名 规则参数 # 示例:在INPUT链首插入SSH允许规则 iptables -I INPUT -p tcp --dport 22 -j ACCEPT ``` 2. **指定位置插入** ```bash # 在指定位置插入规则(例如第3位) iptables -I INPUT 3 -p icmp -j ACCEPT ``` #### 二、删除规则 1. **按规则编号删除(推荐)** ```bash # 查看带编号的规则 iptables -L INPUT --line-numbers # 输出示例: # num target prot opt source destination # 1 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh # 2 DROP tcp -- anywhere anywhere tcp dpt:80 # 删除指定编号规则(如删除第2条) iptables -D INPUT 2 ``` 2. **按规则内容匹配删除** ```bash # 必须完全匹配原始规则参数 iptables -D INPUT -p tcp --dport 80 -j DROP ``` 3. **清空规则链** ```bash # 清空指定链(如INPUT) iptables -F INPUT # 清空所有规则 iptables -F ``` #### 三、永久保存规则(解决重启丢失问题) 银河麒麟 V10 需特殊处理防止重启丢失规则[^1]: ```bash # 1. 保存当前规则 iptables-save > /etc/iptables.rules # 2. 创建开机加载脚本 cat <<EOF | sudo tee /etc/network/if-pre-up.d/iptablesload #!/bin/sh iptables-restore < /etc/iptables.rules exit 0 EOF # 3. 添加执行权限 sudo chmod +x /etc/network/if-pre-up.d/iptablesload # 4. 验证重启后生效 sudo reboot ``` #### 四、内核参数配置(增强网络功能) 引用[2]中提到的关键参数配置: ```bash # 编辑配置文件 sudo vim /etc/sysctl.conf # 添加以下参数 net.ipv4.ip_forward = 1 net.bridge.bridge-nf-call-iptables = 1 net.bridge.bridge-nf-call-ip6tables = 1 # 立即生效 sudo sysctl -p ``` #### 五、操作示例 **场景**:删除旧HTTP规则添加HTTPS规则并永久保存 ```bash # 1. 查看现有规则 iptables -L INPUT --line-numbers # 2. 删除旧HTTP规则(假设编号为3) iptables -D INPUT 3 # 3. 添加HTTPS规则 iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 4. 永久保存 iptables-save > /etc/iptables.rules ``` ### 注意事项 1. **规则匹配顺序**:iptables 从上到下匹配规则,第一条匹配的规则生效 2. **临时生效**:直接执行的规则立即生效但重启会丢失 3. **备份恢复**: ```bash # 备份规则 iptables-save > iptables.backup # 恢复规则 iptables-restore < iptables.backup ``` ### 加固工具参考 银河麒麟系统加固工具可辅助配置安全策略[^3],下载地址: ``` https://download.youkuaiyun.com/download/taoxicun/90802440 ``` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值