iptables命令一

最新推荐文章于 2023-08-09 09:24:48 发布
转载 最新推荐文章于 2023-08-09 09:24:48 发布 · 804 阅读 · 0
文章标签:

#input #output #tcp #dns服务器 #ftp服务器 #服务器

本文详细介绍了iptables的基本概念、常用命令及配置方法。iptables是Linux系统中重要的网络防火墙工具,通过设置规则来控制网络流量。文中提供了丰富的示例,帮助读者理解和应用iptables。
 一、iptables介绍:
iptables是复杂的,它集成到linux内核中。用户通过iptables,可以对进出你的计算机的数据包进行过滤。通过iptables命令设置你的规则,来把守你的计算机网络──哪些数据允许通过,哪些不能通过,哪些通过的数据进行记录(log)。接下来,我将告诉你如何设置自己的规则,从现在就开始吧。
===================================================================
二、iptables命令:
维护规则表的命令:
1. (-N)创建一个新规则表
2. (-X)删除一个空规则表
3. (-P)改变内建规则表的默认策略
4. (-L)列出规则表中的规则
5. (-F)清空规则表中的规则
6. (-Z)将规则表计数器清零
管理规则表中的规则:
1. (-A)添加新规则到规则表
2. (-I)插入新规则到规则表的某个位置
3. (-R)替换规则表中的规则
4. (-D)删除规则表中的某条规则
在调试iptables规则时,你也许需要反复修改你的脚本来实现某些特定的功能,这时建议在你的脚本里添加这样几行,以防止重复设置规则:
# 清除所有规则
iptables -F -t filter
iptables -X -t filter
iptables -Z -t filter
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
# 设置内建规则表的默认策略
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
“-t”选项是“–table”的简写,它指明了你要对哪类规则表进行操作,默认的是指filter。
下面举例说明iptables的部分选项的使用:
指定规则操作的源地址 -s 或 –source 或 -src
指定规则操作的目标地址 -d 或 –destination 或 -dst
允许来自192.168.100.0/24的数据包通过
iptables -A INPUT -s 192.168.100.0/24 -d 0.0.0.0/0 -j ACCEPT
“-j”选项是“–jump”的简写,它指明了匹配该条规则的数据包的具体处理方法,可能是ACCEPT、DROP等。
取反:在参数前加“!”号
接受除了来自192.168.100.0/24外的所有的数据包
iptables -A INPUT -s ! 192.168.100.0/24 -d 0.0.0.0/0 -j ACCEPT
指定协议(TCP、UDP或ICMP)
-p 或 –protocol
禁止icmp协议
iptables -A INPUT -p icmp -j DROP
指定数据包进入的接口 -i 或 –in-interface
指定数据包送出的接口 -o 或 –out-interface
INPUT规则表中只允许指定-i接口,OUTPUT规则表中只允许指定-o接口,FORWARD表可以指定这两种接口。
允许从eth1进入的数据包
iptables -A INPUT -i eth1 -j ACCEPT
允许从eth0接口送出的数据包
iptables -A OUTPUT -o eth0 -j ACCEPT
转发从eth1进入,eth0送出的数据包
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
TCP/UDP扩展
指定源端口 –sport 或 –source-port
指定目的端口 –dport 或 –destination-port
允许从eth0进入访问到目标端口为21的tcp数据包
iptables -A INPUT -i eth0 -p tcp –dport 21 -j ACCEPT
允许从eth0进入访问到目标端口为21的udp数据包
iptables -A INPUT -i eth0 -p udp –dport 21 -j ACCEPT
状态匹配
–state state,state…
正如前面我们脚本中用到的,state是用逗号分隔的列表,表示要匹配的连接状态。有效的状态选项包括:INVAILD,表示数据包对应的连接是未知的;ESTABLISHED,表示数据包对应的连接已经进行了双向的数据包传输,也就是说连接已经建立;NEW,表示这个数据包请求发起一个连接;RELATED,表示数据包要发起一个新的连接,但是这个连接和一个现有的连接有关,例如:FTP的数据传输连接和控制连接之间就是RELATED关系。
禁止从eth0进来的NEW状态,也就是禁止来自eth0的新的访问请求
iptables -A INPUT -i eth0 -m state –state NEW -j DROP
“-m”是“–match”的简写。-m选项引出了iptables的state扩展模块,比如mac扩展模块,它实现根据主机网卡的MAC地址进行权限控制的规则:
iptables -A INPUT -p tcp -m mac –mac-source 01:02:03:04:05:06 -j ACCEPT
===================================================================
三、iptables设置:
1、查看本机iptables设置:
[root@tp ~]# iptables -L -n
看到 INPUT ACCEPT, FORWARD ACCEPT , OUTPUT ACCEPT我们可以这样理解 , iptables 由3个部分组成
INPUT, FORWARD 和 OUTPUT,我们先看 INPUT 和 OUTPUT(policy ACCEPT) 表示是完全接受 所有的数据,也就是说现在的iptables 防火墙 没有起到任何作用。
2、清除原有规则:
[root@tp ~]# iptables -F  //清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X  //清除用户自定义的filter中的所有规则链的规则 
3、设定预设置规则:
[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT 或 DROP  //ACCEPT允许   DROP丢弃
[root@tp ~]# iptables -p FORWARD DROP
查看服务器默认端口情况:
[root@tp ~]# netstat -ntlp
4、添加规则:
为了能采用远程SSH登陆,我们要开启22端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
(注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下)
针对这2条命令进行一些讲解吧
-A 参数就看成是添加一条 INPUT 的规则
-p 指定是什么协议 我们常用的tcp 协议,当然也有udp 例如53端口的DNS到时我们要配置DNS用到53端口 大家就会发现使用udp协议的而 --dport 就是目标端口 当数据从外部进入服务器为目标端口
反之 数据从服务器出去 则为数据源端口 使用 --sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收
其他的端口也一样,如:
----------------------------------------------------------
 如果做了WEB服务器,开启80端口:
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
-----------------------------------------------------------
 如果做了邮件服务器,开启25,110端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
-----------------------------------------------------------
 如果做了FTP服务器,开启21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
----------------------------------------------------------
 如果做了DNS服务器,开启53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了
----------------------------------------------------------
 允许icmp包通过,也就是允许ping
[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT
[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT
----------------------------------------------------------
 允许loopback!(不然会导致DNS无法正常关闭等问题)
IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)
IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)
-----------------------------------------------------------
 减少不安全的端口连接:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP
[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP
有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的 elite 端口)上的服务。既然合法服务都不使用这些非标准端口来通信,阻塞这些端口能够有效地减少你的网络上可能被感染的机器和它们的远程主服务器进行独立通信的机会。
还有其他端口也一样,像:31335、27444、27665、20034 NetBus、9704、137-139(smb),2049(NFS)端口也应被禁止。
=======================================================================================================
四、下面是优化:
如:我们只允许192.168.0.3的机器进行SSH连接
[root@tp ~]# iptables -A INPUT -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
如果要允许,或限制一段IP地址可用 192.168.0.0/24 表示192.168.0.1-255端的所有IP.
24表示子网掩码数.但要记得把 /etc/sysconfig/iptables 里的这一行删了.
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT 因为它表示所有地址都可以登陆.或采用命令方式:
[root@tp ~]# iptables -D INPUT -p tcp --dport 22 -j ACCEPT
还有一种即使使用
[root@tp ~]#iptables -L-n --line或iptables -L -n --line-number排序规则
然后删除规则:
[root@tp ~]# iptables -D INPUT 1 //其中1为input里的规则号。
在下面就是FORWARD链,FORWARD链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链,对正在转发链的监控.
开启转发功能,(在做NAT时,FORWARD默认规则是DROP时,必须做)
[root@tp ~]# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
[root@tp ~]# iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT
丢弃坏的TCP包
[root@tp ~]#iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP
处理IP碎片数量,防止攻击,允许每秒100个
[root@tp ~]#iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT
设置ICMP包过滤,允许每秒1个包,限制触发条件是10个包.
[root@tp ~]#iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
我在前面只所以允许ICMP包通过,就是因为我在这里有限制。
iptables 提供了一个参数 是检查状态的,下面我们来配置下 22 和 80 端口,防止无效的数据包。
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
可以看到和我们以前使用的:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
多了一个状态判断。
同样80端口也一样, 现在删掉原来的2条规则,
[root@tp ~]# iptables -L -n --line-number 这个是查看规则而且带上编号。我们看到编号就可以
删除对应的规则了。
[root@tp ~]# iptables -D OUTPUT 1  这里的1表示第一条规则。
当你删除了前面的规则, 编号也会随之改变。看到了吧。好,我们删除了前面2个规则,22端口还可以正常使用,说明没问题了
ken_GL
关注
Linux学习笔记:iptables命令管理
欢迎相互探讨交流知识呀~
08-05 1375
其实iptables只是Linux防火墙的管理工具而已,位于/sbin/iptables。真正实现防火墙功能的是netfilter,它是Linux内核中实现包过滤的内部结构。-t:指定需要维护的防火墙规则表 filter、nat、mangle或raw。在不使用 -t 时则默认使用 filter 表。COMMAND:子命令,定义对规则的管理。chain:指明链表。CRETIRIA:匹配参数。ACTION:触发动作。1. filter表——三个链:INPUT、FORWARD、OUTPUT
iptables系列教程(二)| iptables语法规则
Dragon的博客
05-15 4239
目录 iptables 命令基本语法 -t table command参数 条件匹配参数 目的动作 iptables 常用附加模块: iptables 规则备份和恢复 iptables 命令基本语法 “ iptables [-t table] command [链名] [条件匹配] [-j 目标动作] 以下是对 iptables 命令的拆分讲解: -t table 用来指明使用的表,有三种选项:filter,nat,mangle。若未指定,则默认使用filter表。 com.
iptables命令详解和举例(完整版)
热门推荐
09-07 5万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables命令详解--包括高级用法
sinat_27261621的博客
06-27 3万+
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n ...
Linux学习之 Iptables 应用
白话机器学习
08-09 520
iptables 可以检测、修改、转发、重定向和丢弃 IPv4 数据包。过滤 IPv4 数据包的代码已经内置于内核中,并且按照不同的目的被组织成表的集合。表由组预先定义的链组成,链包含遍历顺序规则。每条规则包含个谓词的潜在匹配和相应的动作(称为目标),如果谓词为真,该动作会被执行。也就是说条件匹配。
规则 防火墙 iptables input accept
【设计改变世界】github地址:https://github.com/guochunyang2004
11-16 1289
由于 mangle 这个表格很少被使用,如果将图 9.3-3 的 mangle 拿掉的话,那就容易看的多了: 图 9.3-4、iptables 内建各表格与链的相关性(简图) 透过图 9.3-4 你就可以更轻松的了解到,事实上与本机最有关的其实是 filter 这个表格内的 INPUTOUTPUT 这两条链,如果你的 iptables 只是用来保护 Linux 主机...
iptables常用命令
sre救赎之路
04-14 1万+
iptables 是 Linux 中的个防火墙软件,可以管理 Linux 系统上的网络流量,帮助保护网络安全。
精选资源
详解Linux iptables 命令
01-20
查看规则的命令格式为: iptables [-t tables] [-L] [-nv] -t :后面接 table ,例如 nat 或 filter ,若省略此项目,则使用默认的 filter -L :列出某个 table 的所有链或某个链的规则 -n :直接显示 IP,速度会快...
iptables命令实例
08-04
iptables 命令实例 本文档主要介绍了 Linux 中的iptables 命令的实例,涵盖了 iptables 的基本用法、规则设定、端口控制、NAT 转发等方面的知识点。 iptables 的基本概念 iptables 是 Linux 系统中的个...
iptables命令参数大全
05-15
1. 打开ip包转发功能  echo 1 > /proc/sys/net/ipv4/ip_forward 2. 在NAT/防火墙计算机上的NAT表中添加目的...iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 202.96.134.130:80
Iptables
weixin_40571637的博客
12-06 592
Iptables iptables(网络 过滤器)是个工作于用户空间的防火墙应用软件,是与3.5版本Linux内核集成的IP信息包过滤系统。如果Linux系统连接到因特网或LAN、服务器或连接LAN和因特网的代理服务器,则该系统有利于在Linux系统上更好地控制IP信息包过滤和防火墙配置。 安装iptables服务之前,要将firewalld服务彻底关掉 安装服务,
iptables INPUT设置
jackycjw的博客
06-06 1万+
参数说明: -A:规则直接加在末尾 -I:后面跟具体的位置,将规则插入到指定的位置 -D: 删除规则 -p:协议类型,如tcp类型,还有特定的-dport端口参数 -j: 处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝 如: 1、端口6379接受tcp协议 iptables -A INPUT -p tcp --dport 6379 -j ACCEPT 2...
Linux防火墙iptables学习笔记(三)iptables命令详解和举例
cuizhu0832的博客
12-02 818
网上看到这个配置讲解得还比较易懂,就转过来了,大家起看下,希望对您工作能有所帮助。 网管员的安全意识要比空喊Linux安全重要得多。 iptables -F iptables -X iptables -F -t m...
iptables 设置经典
在水一方
10-19 948
iptables 设置经典2006年10月03日 星期二 22:10  (转注:这篇文章全面而深入的介绍了linux下iptables的使用!强烈推荐)对 于Internet上的系统,不管是什么情况都要明确点:网络是不安全的。因此,虽然创建个防火墙并不能保证系统100%安全,但却是绝对必要的。 Linux提供了个非常优秀的防火墙工具?netfilter/iptables。它完全免费、功能强大
iptables语法规则
qq_50247813的博客
03-03 709
iptables -A FORWARD -d 192.168.1.1 -j DROP //禁止转发192.168.1.1的数据包。显示详细信息,包括每条规则的匹配包数量和匹配字节数 x: 在v的基础上,禁止自动单位换算(K,M)//将源地址是192.168.1.0/24 的数据包进行地址伪装,转换成eth0上的IP地址。//把从eth0口进来访问TCP/80端口的数据包目的地址改成192.168.1.1。2、 数据包的目的(dport)地址是22,就是要访问我本地的22端口。(如为指定,则认为是所有链)
Linux服务器防火墙Iptables命令使用详解
cn_yaojin
01-11 783
原文地址:https://blog.youkuaiyun.com/han156/article/details/78449253   iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用P...
Linux 防火墙iptables命令详解
yongchaocsdn的博客
06-04 1323
转载自:http://www.cnblogs.com/blogforly/p/5997287.html Linux 防火墙iptables命令详解 <div class="postBody"> <div id="cnblogs_post_body"><p>【<a href="http://
iptables 基本指令
魔幻之翼的坚持
06-05 1191
iptables 中的指令,均需区分大小写。ipchains 和 iptables 在语法上的主要的差异,注意如下∶1. 在 ipchains 中,诸如 input 链,是使用小写的 chains 名,在 iptables 中,要改用大写 INPUT。2. 在 iptables 中,要指定规则是欲作用在那个规则表上(使用 -t 来指定,如 -t nat),若不指定,则预设是作用在 filter
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 3135
iptables防火墙详解
Linux防火墙iptables命令详解与实例
首先,iptables命令主要涉及以下几个部分: 1. **规则链与操作**: - `iptables-AINPUT`:添加条新的输入链(INPUT)规则,用于处理到达系统的数据包。这里给出了两个示例,个是接受来自特定IP地址(192.168....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值