本文深入解析iptables防火墙的规则链、规则表、语法格式及设置条件。涵盖INPUT、OUTPUT、FORWARD等规则链,以及raw、mangle、nat、filter等规则表的功能与应用。介绍如何通过iptables命令管理防火墙规则,实现数据包过滤与处理。
一、iptables的规则链
规则链的作用在于对数据包进行过滤或处理,根据处理时机的不同,各种规则链被组织在不同的链中
规则链是防火墙规则/策略的集合
默认的五种规则链:
INPUT 处理入站数据包
OUTPUT 处理出站数据包
FORWARD 处理转发数据包
POSTROUTING 在进行路由选择后处理数据包
PREROUTING 在进行路由选择前处理数据包
二、iptables的规则表
具有某一类相似用途的防火墙规则,按照不同处理时机区分到不同的规则链以后,被归置到不同的表中
规则表是规则链的集合
默认的四个规则表
raw表:确定是否对该数据包进行状态跟踪
mangle表:为数据包设置标记
nat表:修改数据包中的源、目标IP地址或端口
filter表:确定是否放行该数据包(过滤)
三、iptables的语法格式
iptables [-t 表名] 管理选项 [链名] [条件匹配] [-j 目标动作或跳转]
不指定表名时,默认表示filter表
不指定链名时,默认表示该表内所有链
除非设置规则的缺省策略,否则需要指定匹配条件
四、规则内容
-A 在链尾追加一条新的规则
-I 在指定位置插入一条新的规则
-R 修改、替换指定位置或内容的规则
-P 设置指定链的默认规则
列表查看规则
-L 列表查看各规则信息
-line-numbers 查看规则信息时显示规则的行号
-n 以数字形式显示IP地址、端口等信息
-v 显示数据包个数、字节数等详细信息
清除规则
-D 删除指定位置或内容的规则
-F 清空规则链内的所有规则
自定义规则链
-N 创建一条新的规则
-X 删除自定义的规则链
-h 查看iptables命令的使用帮助
五、设置匹配数据包的条件
通用条件匹配
可直接使用,不依赖于其他的条件或扩展模块
包括网络协议、ip地址、网络接口等匹配方式
隐含条件匹配
一般需要以特定的协议匹配作为前提
包括端口、TCP标记、ICMP类型等匹配方式
显式条件匹配
需要使用"-m 扩展模块"的形式明确指定匹配方式
包括多端口、MAC地址、ip地址范围、数据包状态等匹配方式
协议匹配
使用“-p 协议名”的形式
协议名可使用在“/etc/protocols”文件中定义的名称
常用的协议包括tcp、udp、icmp等
地址匹配
使用“-s 源地址”、“-d 目标地址”的形式
地址可以使单个ip地址、网络地址(带掩码长度)
接口匹配
使用“-i 网络接口名”、“-o 网络接口名”的形式,分别对应接收、发送数据包的网络接口(例:eth1)
端口匹配
使用“-sport 源端口”、“-dport目标端口”的形式
采用“端口1:端口2”的形式可以指定一个范围的端口
ICMP类型匹配
使用“-icmp-type ICMP”的形式
ICMP类型可以使用类型字符串或者对应的数值,例如Echo-Request、Echo-Reply
TCP标记匹配
使用“-tcp-flags 检查范围 被设置的标记”的形式
如“--tcp-flags SYN,RST,ACK SYN”表示检查SYN、RST、ACK这3个标记,只有SYN为1时满足条件
MAC地址匹配
使用“-m mac” 结合 “-mac-source MAC地址”的形式
多端口匹配
使用“-m multiport” 结合 “-sport 源端口列表” 或者“-dports 目标端口列表”的形式
多个端口之间使用逗号“,”分割,连续的端口也可以使用冒号“:”分割
IP地址范围匹配
使用“-m iprange”结合“-src-range 源ip范围”或者“-dst-range 目标ip范围”的形式
以“-”符号连接起始ip地址、结束ip地址
数据包状态匹配
使用“-m state”结合“-state 状态类型”的形式
同时表示多种状态时以逗号“,”分割
常见的数据包状态包括:NEW、ESTABLISHED、RELATED、INVALID
常见的数据包处理方式
ACCEPT:放行数据包
DROP:丢弃数据包
REJECT:拒绝数据包
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
