iptables 常见模块(部分内容由AI生成)

最新推荐文章于 2025-08-02 16:21:14 发布
原创 最新推荐文章于 2025-08-02 16:21:14 发布 · 1.1k 阅读 · 30 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #iptables #防火墙

iptables 提供了丰富的扩展模块(通过 -m 参数指定),用于实现更精细化的流量控制。以下是常用的模块及其典型应用场景:

1. 基础网络匹配模块

tcp / udp / icmp
  • 功能:匹配协议特定字段(如端口、ICMP 类型)。
  • 示例
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许 SSH
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT  # 允许 ping 请求
multiport
  • 功能:匹配多个端口(最多 15 个),减少规则数量。
  • 示例
    iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

2. 连接跟踪模块

state / conntrack
  • 功能:基于连接状态匹配(如 NEW, ESTABLISHED, RELATED)。
  • 示例
    iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables 规则中,ESTABLISHEDRELATED 是连接跟踪(conntrack)模块提供的两种连接状态,用于匹配特定类型的网络连接。它们的适用场景如下:

2.1. ESTABLISHED 状态
含义

匹配已建立的连接,即双向通信已经建立的连接(例如 TCP 握手已完成,或 UDP/ICMP 已有双向交互)。

适用场景
  • 允许回包:当内网主机主动访问外网服务(如访问网站、下载文件)时,外网返回的响应数据包需要放行。
    iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
  • 保持长连接:对 SSH、数据库连接等长会话,允许后续通信。
  • 减少规则冗余:无需为每个服务的返回流量单独写规则,一条 ESTABLISHED 规则即可覆盖。
示例

假设主机主动访问 example.com:80

  1. 主机发送 SYN → 外网服务器(属于 OUTPUT 链)。
  2. 服务器返回 SYN+ACK → 主机(属于 INPUT 链)。
    此时返回的 SYN+ACK 会被 ESTABLISHED 规则匹配并放行。
2.2. RELATED 状态
含义

匹配与已有连接相关联的新连接。这些新连接可能是由主连接派生的(如 FTP 的数据连接、ICMP 错误消息、DNS 辅助查询等)。

适用场景
  • FTP 被动模式:FTP 控制连接(端口 21)会动态协商数据连接端口,RELATED 可自动放行这些临时端口。
    iptables -A INPUT -m state --state RELATED -j ACCEPT
  • ICMP 错误消息:如 TCP RSTICMP Destination Unreachable 响应。
  • DNS 动态端口:部分协议(如 SIP)可能临时打开新端口传输数据。
示例

以 FTP 被动模式为例:

  1. 客户端连接 FTP 控制端口 21(主连接)。
  2. 服务器告知客户端:“数据通道在端口 30000”。
  3. 客户端连接端口 30000 时,RELATED 状态会识别此连接与主连接关联并放行。
为什么需要同时使用?
  • ESTABLISHED 确保已有连接的持续通信。
  • RELATED 处理动态协议(如 FTP、SIP)的衍生连接。
    典型的安全策略会同时允许两者:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
注意事项
  1. 依赖 conntrack 模块:需内核支持(默认已加载)。
  2. UDP/ICMP 也适用:虽然无握手,但内核会跟踪双向流量视为 ESTABLISHED
  3. 性能优化:将 ESTABLISHED,RELATED 规则放在规则集顶部,可减少后续规则匹配次数。

通过合理使用这两种状态,可以大幅简化防火墙规则,同时确保合法流量的正常通行。

3. IP/网络层匹配模块

iprange
  • 功能:匹配 IP 地址范围。
  • 示例
    iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j DROP
geoip(需额外安装)
  • 功能:根据 IP 地理位置过滤。
  • 示例
    iptables -A INPUT -m geoip --src-cc CN -j ACCEPT  # 允许中国 IP

4. 数据包特征匹配模块

limit
  • 功能:限制匹配速率(防洪水攻击)。
  • 示例
    iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 3/sec -j ACCEPT
hashlimit
  • 功能:更灵活的速率限制(支持按 IP/端口分组)。
  • 示例
    iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 100/sec --hashlimit-burst 50 --hashlimit-mode srcip -j ACCEPT
string
  • 功能:匹配数据包中的字符串(如 HTTP 请求)。
  • 示例
    iptables -A OUTPUT -p tcp --dport 80 -m string --algo bm --string "blockme" -j DROP
time
  • 功能:按时间范围匹配(如上班时间禁止访问某些网站)。
  • 示例
    iptables -A OUTPUT -p tcp --dport 80 -m time --timestart 09:00 --timestop 18:00 --weekdays Mon-Fri -j REJECT

5. 高级流量控制模块

connlimit
  • 功能:限制单个 IP 的连接数(防 CC 攻击)。
  • 示例
    iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
recent
  • 功能:动态维护 IP 列表(防暴力破解)。
  • 示例
    iptables -A INPUT -p tcp --dport 22 -m recent --name ssh --update --seconds 60 --hitcount 3 -j DROP
owner
  • 功能:匹配进程所有者(仅限 OUTPUT 链)。
  • 示例
    iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nginx -j ACCEPT

6. 特殊用途模块

mark
  • 功能:匹配数据包标记(结合 iproute2 实现 QoS)。
  • 示例
    iptables -A FORWARD -m mark --mark 0x1 -j DROP
tos
  • 功能:匹配 IP 头部的 TOS 字段(区分服务类型)。
  • 示例
    iptables -A INPUT -m tos --tos Minimize-Delay -j PRIORITY_QUEUE
length
  • 功能:匹配数据包长度。
  • 示例
    iptables -A INPUT -p tcp -m length --length 100:500 -j LOG

使用技巧

  1. 模块依赖:部分模块需内核支持(如 geoip 需安装 xt_geoip)。
  2. 规则顺序:将高频匹配规则(如 ESTABLISHED)放在前面提升性能。
  3. 调试工具:结合 iptables -L -v -nconntrack -L 查看匹配情况。

通过灵活组合这些模块,可以实现从基础防火墙到复杂流量管理的各种功能。iptables 提供了丰富的扩展模块(通过 -m 参数指定),用于实现更精细化的流量控制。以下是常用的模块及其典型应用场景:

1. 基础网络匹配模块

tcp / udp / icmp
  • 功能:匹配协议特定字段(如端口、ICMP 类型)。
  • 示例
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # 允许 SSH
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT  # 允许 ping 请求
multiport
  • 功能:匹配多个端口(最多 15 个),减少规则数量。
  • 示例
    iptables -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT

2. 连接跟踪模块

state / conntrack
  • 功能:基于连接状态匹配(如 NEW, ESTABLISHED, RELATED)。
  • 示例
    iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

3. IP/网络层匹配模块

iprange
  • 功能:匹配 IP 地址范围。
  • 示例
    iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j DROP
geoip(需额外安装)
  • 功能:根据 IP 地理位置过滤。
  • 示例
    iptables -A INPUT -m geoip --src-cc CN -j ACCEPT  # 允许中国 IP

4. 数据包特征匹配模块

limit
  • 功能:限制匹配速率(防洪水攻击)。
  • 示例
    iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 3/sec -j ACCEPT
hashlimit
  • 功能:更灵活的速率限制(支持按 IP/端口分组)。
  • 示例
    iptables -A INPUT -p tcp --dport 80 -m hashlimit --hashlimit-upto 100/sec --hashlimit-burst 50 --hashlimit-mode srcip -j ACCEPT
string
  • 功能:匹配数据包中的字符串(如 HTTP 请求)。
  • 示例
    iptables -A OUTPUT -p tcp --dport 80 -m string --algo bm --string "blockme" -j DROP
time
  • 功能:按时间范围匹配(如上班时间禁止访问某些网站)。
  • 示例
    iptables -A OUTPUT -p tcp --dport 80 -m time --timestart 09:00 --timestop 18:00 --weekdays Mon-Fri -j REJECT

5. 高级流量控制模块

connlimit
  • 功能:限制单个 IP 的连接数(防 CC 攻击)。
  • 示例
    iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j DROP
recent
  • 功能:动态维护 IP 列表(防暴力破解)。
  • 示例
    iptables -A INPUT -p tcp --dport 22 -m recent --name ssh --update --seconds 60 --hitcount 3 -j DROP
owner
  • 功能:匹配进程所有者(仅限 OUTPUT 链)。
  • 示例
    iptables -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nginx -j ACCEPT

6. 特殊用途模块

mark
  • 功能:匹配数据包标记(结合 iproute2 实现 QoS)。
  • 示例
    iptables -A FORWARD -m mark --mark 0x1 -j DROP
tos
  • 功能:匹配 IP 头部的 TOS 字段(区分服务类型)。
  • 示例
    iptables -A INPUT -m tos --tos Minimize-Delay -j PRIORITY_QUEUE
length
  • 功能:匹配数据包长度。
  • 示例
    iptables -A INPUT -p tcp -m length --length 100:500 -j LOG

使用技巧

  1. 模块依赖:部分模块需内核支持(如 geoip 需安装 xt_geoip)。
  2. 规则顺序:将高频匹配规则(如 ESTABLISHED)放在前面提升性能。
  3. 调试工具:结合 iptables -L -v -nconntrack -L 查看匹配情况。

通过灵活组合这些模块,可以实现从基础防火墙到复杂流量管理的各种功能。

PS:本文部分内容出自腾讯元宝。

iptables详解:常用模块的基本使用
qq_68163788的博客
11-20 1228
iptables是一个Linux系统上用于配置和管理网络规则的工具,它可以用于防火墙、网络地址转换(NAT)、数据包过滤等功能。常用模块iptables中的重要组成部分,它们可以帮助用户实现特定的网络功能和安全策略。本文将详细介绍iptables中常用模块的基本使用,包括过滤规则、NAT规则、连接跟踪规则等内容,帮助用户更好地理解和使用iptables
Docker 网络中 `iptables` 与 Linux Namespace 行为详解:原理、链路与实战排查路径
努力分享一些人工智能、计算机视觉、影像等相关的知识干货!
07-03 1087
在 Docker 网络体系中,`iptables` 与 Linux Namespace 是实现容器间隔离、地址转换与转发控制的核心机制。本文从网络命名空间构造、veth 对连接、iptables 链表流转等多个维度,全面解析容器从发送数据包到出网的全链路过程,结合实际部署中的调试与排错经验,深入剖析典型问题的行为表现与定位方式,帮助读者构建可理解、可调试、可扩展的容器网络知识体系。
iptablesiptables表、链、规则 、匹配模式、扩展模块、连接追踪模块(一)
u011029104的专栏
01-30 967
默认情况当禁止ping后,其他主机无法ping通本主机,本主机也无法ping通其他主机,现需要本主机可以ping通其他主机,而其他主机依然无法ping同本主机。3.请求从本机发出:local Process(本机) --> OUTPUT --> POSTROUTING。1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)1.请求到达本机: PREROUTING --> INPUT --> Local Process (本机)
iptables加载模块实践总结
u012566181的专栏
09-02 4128
iptables加载模块的方法: 1,首先,要编写出用户态的模块 .so, 这个模块把它放入iptables工具的lib中, 一般这个位置在 /lib/xtables中,如果是手动编译而且没有更改路径的化,那么一般是在 /usr/local/lib/xtables中。 当然,当你手动安装iptables的时候,最好是能够把要生成.so的的文件放入到iptalbes的源码包的extentsion
iptables 参数详解
大鹏
08-01 3557
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport8080 -j ACCEPT -A 追加,在当前链的最后新增一个规则 -p tcp :TCP协议的扩展。一般有三种扩展     --dportXX-XX:指定目标端口,不能指定多个非连续端口,只能指定单个端口,比如     --dport21  或者 --d
一般人都知道的iptables操作
m0_55877125的博客
05-24 469
【代码】一般人都知道的iptables操作。
iptables编程入门】:开发者自定义防火墙模块指南
iptables基础与概念解析 iptablesLinux内核防火墙软件,位于操作系统的用户空间,提供了一系列的表和链,用于管理进出网络包。理解iptables的基本概念是掌握其高级配置和应用的前提。 ## 1.1 iptables的定义与...
30、可视化 iptables 日志与攻击欺骗分析
最新发布
purple的博客
08-02 116
本文探讨了如何通过可视化分析iptables日志来识别端口扫描、蠕虫攻击和被入侵系统的出站连接,并详细介绍了攻击欺骗技术及其应对策略。利用psad、Gnuplot和AfterGlow等工具,可以直观发现潜在的网络安全威胁。同时,文中还分析了入侵检测系统(IDS)的误报问题,并提供了使用snortspoof.pl脚本生成伪造攻击数据包的演示,以帮助安全人员更好地理解攻击欺骗的原理及防护方法。
iptables(7)扩展模块state
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-24 1529
前面文章我们已经介绍了一些扩展模块,如iprange、string、time、connlimit、limit,还有扩展匹配条件如--tcp-flags、icmp。这篇文章我们介绍state扩展模块
软件防火墙iptables扩展模块
qq_38419276的博客
05-09 652
扩展模块的使用帮助: CentOS 7,8: man iptables-extensions CentOS 6: man iptables iptables 在使用-p选项指明了特定的协议时,无需再用-m选项指明扩展模块的扩展机制,不需要手动加 载扩展模块 tcp 协议的扩展选项 [!] --source-port, --sport port[:port]:匹配报文源端口,可为端口连续范围 [!] --destination-port,--dport port[:port]:匹配报文目标端口,可为连续范围
iptables详解(5):iptables匹配条件总结之二(常用扩展模块
ss810540895的博客
10-20 1145
在本博客中,从理论到实践,系统的介绍了iptables,如果你想要从头开始了解iptables,可以查看iptables文章列表,直达链接如下前文已经总结了iptables中的基本匹配条件,以及简单的扩展匹配条件,此处,我们来认识一些新的扩展模块
Linux安全管理】iptables模块的使用与FORWARD转发
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
12-09 3797
iptables模块的使用 FORWARD转发
iptables()--扩展详解
weixin_34358092的博客
07-08 572
1、其实匹配扩展中,还有需要加-m引用模块的显示扩展,默认是隐含扩展,不要使用 -m 状态检测的包过滤 -m state --state {NEW,ESTATBLISHED,INVALID,RELATED} 指定检测那种状态 -m multiport 指定多端口号 --sport --dport --ports...
iptables(6)扩展匹配条件--tcp-flags、icmp
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1166
--tcp-flags”指的就是tcp头中的标志位,在使用iptables时,我们可以通过此扩展匹配条件,去匹配tcp报文的头部的标识位,然后根据标识位的实际情况实现访问控制的功能。那我们来看下tcp的报头结构标志符(9比特长)ECN显式拥塞通知(Explicit Congestion Notification)是对TCP的扩展,定义于 RFC 3540 (2003)。ECN允许拥塞控制的端对端通知而避免丢包。ECN为一项可选功能,如果底层网络设施支持,则可能被启用ECN的两个端点使用。
iptables深度指南
weixin_43230594的博客
09-07 5144
Linux iptables
Iptables命令常用命令
m0_73135216的博客
09-13 3426
下是一些非常实用的。
深入理解iptables扩展与兼容性
weixin_42356162的博客
04-12 773
本文将探讨iptables的扩展功能,包括数据包匹配和目标模块的使用,以及其诊断信息的含义和处理错误的方式。同时,文章还将介绍iptables与IPCHAINS的兼容性差异和主要变化,帮助读者更好地理解和运用iptables进行网络管理。
iptables(5)常用扩展模块iprange、string、time、connlimit、limit
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 2426
之前我们已经介绍过扩展模块的简单使用,比如使用-m tcp/udp ,-m multiport参数通过--dports,--sports可以设置连续和非连续的端口范围。那么我们如何匹配其他的一些参数呢,比如源地址范围,目的地址范围,时间范围等,这就是我们这篇文章介绍的内容
LinuxIptables简易应用
天下事,在局外呐喊议论,总是无益,必须躬身入局,挺膺负责,乃有成事之可冀
01-09 1182
一个非常简易通用适用于大部分场景的基础脚本,基于此广泛应用于rhel5-rhel9系列和ubuntu系列的数千台系统,有充分的实践过程,可靠且易于维护。 在有docker或k8s的环境中,建议基于此改用自定义链维护自定义策略,在本文通过自定义链并写入开机启动的解决案例中有采用自定义链的方式可参考。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值