iptables命令基本用法(2)

iptables 命令详解
最新推荐文章于 2024-01-16 17:58:02 发布
原创 最新推荐文章于 2024-01-16 17:58:02 发布 · 115 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

iptables命令基本用法(2)

iptables [-t table] {-A|-D} chain rule-specification

iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -R chain rulenum rule-specification

iptables [-t table] -D chain rulenum

iptables [-t table] -S [chain [rulenum]]

iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options…]

iptables [-t table] -N chain

iptables [-t table] -X [chain]

iptables [-t table] -P chain target

iptables [-t table] -E old-chain-name new-chain-name

  1. -t table:

filter, nat, mangle, raw

例如:

[root@localhost ~]# iptables -t nat -L –n

  1. 链管理:

-F:flush,清空规则链;省略链,表示清空指定表上的所有的链;

例如:

[root@localhost ~]# iptables -F FORWARD

        -N:new, 创建新的自定义规则链;

例如:

[root@localhost ~]# iptables -t filter -N TEST

例如:

-X:drop, 删除用户自定义的空的规则链;

[root@localhost ~]# iptables -t filter -X TEST

-Z:zero,清零,置零规则计数器;

例如:

[root@localhost ~]# iptables -t filter -Z

-P:Policy,为指定链设置默认策略;对filter表中的链而言,默认策略通常有ACCEPT, DROP, REJECT;

例如:

[root@CactiEZ ~]# iptables -t filter -P INPUT DROP

-E: rEname,重命令自定义链;引用计数不为0的自定义链,无法改名,也无法删除;

例如:

[root@CactiEZ ~]# iptables -t filter -N TEST

[root@CactiEZ ~]# iptables -t filter -E TEST test1

[root@CactiEZ ~]# iptales -L -nv

  1. 规则管理:

-A:append,将新规则追加于指定链的尾部;

例如:

[root@CactiEZ ~]# iptables -A INPUT -p tcp -m state –state ESTABLISHED -j ACCEPT

-I:insert,将新规则插入至指定链的指定位置;

例如:

[root@CactiEZ ~]#-I INPUT 3 -d 11.100.45.65 -p tcp -m state –state RELATED -j ACCEPT

        -D:delete,删除指定链上的指定规则;

例如:

[root@CactiEZ ~]# iptables -D OUTPUT 2

有两种指定方式:

(1) 指定匹配条件;

(2) 指定规则编号;

-R:replace,替换指定链上的指定规则;

例如:

[root@CactiEZ ~]# iptables -R OUTPUT 1 -m state –state RELATED,ESTABLISHED -j ACCEPT

  1. 查看:

-L:list,列出指定链上的所有规则;

-n: numberic,以数字格式显示地址和端口号;

-v: verbose,显示详细信息;

-vv, -vvv

–line-numbers:显示规则编号;

-x: exactly, 显示计数器计数结果的精确值;

例如:

[root@CactiEZ ~]# iptables -L -nv –line-numbers

  1. 匹配条件:
    1. 基本匹配:

[!] -s, –src, –source IP|Netaddr:检查报文中源IP地址是否符合此处指定的地址范围;

例如:

[!] -d, –dst, –destination IP|Netaddr:检查报文中源IP地址是否符合此处指定的地址范围;

例如:

[root@CactiEZ ~]#iptables -I INPUT 3 -d 11.100.45.65 -p tcp -m state –state RELATED -j ACCEPT

-p, –protocol {tcp|udp|icmp}:检查报文中的协议,即ip首部中的protocols所标识的协议;

例如:

iptables -I INPUT 2 -p tcp -d 11.100.45.65 -m multiport –dports 80,22,21 -m state –state NEW,ESTABLISHED -j ACCEPT

-i, –in-interface IFACE:数据报文的流入接口;仅能用于PREROUTING, INPUT及FORWARD链上;

例如:

[root@CactiEZ ~]# iptables -R INPUT 1 -m state –state RELATED,ESTABLISHED -i eth0 -j ACCEPT

-o, –out-interface IFACE:数据报文的流出接口;仅能用于FORWARD, OUTPUT及POSTROUTING链上;

[root@CactiEZ ~]# iptables -R OUTPUT 1 -m state –state RELATED,ESTABLISHED -o eth0 -j ACCEPT

  1. 扩展匹配:-m macth_name –spec_options

例如:-m tcp –dport 22

[root@CactiEZ ~]# iptables -A FORWARD -s 172.16.31.125/32 -p udp -m udp –dport 123 -j ACCEPT

  1. 隐式扩展:对-p protocol指明的协议进行的扩展,可省略-m选项;

-p tcp

–dport PORT[-PORT]:目标端口,可以是单个端口或连续多个端口;

例如:

[root@CactiEZ ~]#iptables -I INPUT 2 -p tcp -d 11.100.45.65 -m multiport –dports 80,22,21 -m state –state NEW,ESTABLISHED -j ACCEPT

–sport PORT[-PORT]

例如:

-[root@CactiEZ ~]#iptables -A FORWARD -d 172.16.31.125/32 -p tcp -m tcp –sports 873 -j ACCEPT

–tcp-flags LIST1 LIST2:检查LIST1所指明的所有标志位,且这其中,LIST2所表示出的所有标记位必须为1,而余下的必须为0;没有LIST1中指明的,不作检查;

SYN, ACK, FIN, RST, PSH, URG

–tcp-flags SYN,ACK,FIN,RST SYN === –syn:

–syn

例如:

-[root@CactiEZ ~]#iptables -A OUTPUT -d 172.16.31.125/32 -p tcp -m multiport –dports 53,80 -m tcp –tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

    -p udp

–dport PORT[-PORT]:目标端口,可以是单个端口或连续多个端口;

–sport PORT[-PORT]:源端口,可以是单个端口或连续多个端口;

例如:

[root@localhost ~]#iptables -A OUTPUT -d 172.16.31.125/32 -p udp -m multiport –dports 53 -m state –state NEW -j ACCEPT

    -p icmp

–icmp-typ可用数字表示其类型:

0:echo-reply

8: echo-request

例如:

[root@localhost ~]#iptables -A INPUT -d 11.100.45.65/32 -p icmp -m icmp –icmp-type 8 -j ACCEPT

  1. 显式扩展: 必须使用-m选项指定使用的扩展;
  1. 目标:

-j TARGET:jump至指定的TARGET

ACCEPT: 接受

DROP: 丢弃

REJECT: 拒绝

RETURN: 返回调用链

REDIRECT:端口重定向

LOG: 记录日志

MARK:做防火墙标记

DNAT:目标地址转换

SNAT:源地址转换

MASQUERADE:地址伪装

自定义链:由自定义链上的规则进行匹配检查

例如:

[root@localhost ~]#iptables -A OUTPUT -s 11.100.45.65/32 -p udp -m multiport –dports 161 -j ACCEPT

钟明家
关注
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 5160
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
【Linux安全管理】iptables配置与iptables基本用法
Linux小白一只~正处于学习阶段,觉得我写的还好的请多多给我点赞呀,谢谢大家!!(๑>ڡ<)☆
11-22 4499
iptables介绍 1、防火墙分类 2iptables的启动 ①在开机时禁用firewalld服务: ②安装iptables-services ③将它设置为开机自启 3iptables 四表五链详解
iptables命令使用基础(02)
weixin_34151004的博客
01-07 94
一.iptables命令规则:根据指定的匹配条件来尝试匹配每个流经此处的报文,一旦匹配成功,则由规则后面指定的处理动作进行处理;匹配条件:分为基本匹配条件和扩展匹配条件,扩展匹配条件又分为隐式扩展和显式扩展;基本匹配条件:源地址,目标地址,传输协议;扩展匹配条件:需要借助于扩展模块进行指定的匹配条件;...
iptables命令使用
郑泽洲的博客
11-09 615
# 模拟某个服务器挂了 QA测试时,需要测试Redis服务器或者DDB挂了的情况,总不能去拔网线吧。。 所以用iptables命令来做 iptables -I OUTPUT 1 -p tcp --dport 6000 -j DROP //-I表示insert,或者用-A append;效果类似 iptables -D OUTPUT -p tcp --dport 6000 -j DROP ...
iptables 常用命令示例
weixin_30919571的博客
05-23 261
一、常用命令示例: 1、命令 -A, --append 范例:iptables -A INPUT -p tcp --dport 80 -j ACCEPT 说明 :新增规则到INPUT规则链中,规则时接到所有目的端口为80的数据包的流入连接,该规则将会成为规则链中的最后一条规则。 2命令 -D, --delete 范例:iptables -D INPUT -p tcp --dport 8...
iptables基本概念及操作
Error_404notFound的博客
05-31 815
定义 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。对于TCP/IP
iptables命令使用实例
每天进步一点点。。。的博客
12-04 3114
iptables命令是Linux上常用的防火墙软件,是netfilter项目的一部分。可以直接配置,也可以通过许多前端和图形界面配置。   iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。   iptables命令选项输入顺序: iptables -t 表名 规则链名 [规则号] -p 协议名 --sport 源
iptables命令实例
08-04
iptables 命令实例 本文档主要介绍了 Linux 中的iptables 命令的实例,涵盖了 iptables基本用法、规则设定、端口控制、NAT 转发等方面的...通过本文档,读者可以了解到 iptables 命令的使用方法和常用的规则设定。
iptables入门指南:快速掌握iptables命令用法
本文将为你深入浅出地介绍iptables基本概念、命令结构以及使用方法。 1. **iptables与ipchains的区别**: - 在ipchains时代,规则表的命名(如input链)是小写,而在iptables中,这些名称被标准化为大写,例如...
运维工具之iptables命令
最新发布
m0_60981735的博客
01-16 1962
粗略的介绍了一下iptables的原理规则以及在实际运维场景中如何使用
linux iptables 参数,关于linux iptables的常用使用
weixin_39947812的博客
05-12 941
1、检查iptables是否安装: rpm-qa2、联网安装iptables服务组件:yuminstall iptables3、检查iptables是否运行:serviceiptables status4、查看iptables的详细规则:iptables -L5、禁止/解封一个特定ip访问主机:iptables -I INPUT -s[来源IP] -j DROP; #禁止来源IP对本机的来访ipt...
iptables(防火墙)详细教程
菜鸟学安全的博客
04-14 3096
iptables防火墙详解
IPTables防火墙基本使用和命令
m0_68636078的博客
03-11 1682
iptables基本命令和使用
iptables命令详解--包括高级用法
热门推荐
sinat_27261621的博客
06-27 3万+
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n ...
Linux中iptables 配置及命令
JustGunag的博客
05-10 935
iptables配置文件 直接改iptables配置就可以了:vim /etc/sysconfig/iptables。 1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 这样的设置好了,我们只是临时的, 重启服务器还是会恢复原来没有设置
Linux的iptables在指定的防火墙规则序号前添加防火墙规则
Jian Sun_的博客
10-18 1285
一、问题背景 背景:公司安全部门检测到公司的hadoop集群中存在Yarn的未授权漏洞,即8080、8088端口外网可以访问的问题,于是,产生了给服务器增加防火墙规则的需求,具体如下: 二、问题处理 查看防火墙现有配置规则 iptables --line -nvL INPUT 添加防火墙规则 添加白名单 iptables -A INPUT 3 -s **IP/网段 -j ACCEPT 添加丢包规则 iptables -I INPUT -p tcp --dport...
iptables的详细介绍及配置方法
sky101010ws的专栏
08-25 2258
原文地址:http://lyp0909.blog.51cto.com/508999/509408 Firewall(防火墙):组件,工作在网络边缘(主机边缘),对进出网络数据包基于一定的规则检查,并在匹配某规则时由规则定义的处理进行处理的一组功能的组件。 防火墙类型:根据工作的层次的不同来划分,常见的防火墙工作在OSI第三层,即网络层防火墙,工作在OSI第七层的称为应用层防火墙,或
iptables命令、规则、参数详解
qq_40265822的博客
05-27 2万+
(table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables - 防火墙常用规则与使用方式记录
m0_51777056的博客
06-21 3561
iptables常用记录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值