iptables 匹配规则

最新推荐文章于 2025-06-01 09:00:08 发布
原创 最新推荐文章于 2025-06-01 09:00:08 发布 · 6.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables #匹配规则

本文详细介绍iptables防火墙的各种匹配规则,包括源地址、目的地址、协议、网卡、端口、报文内容、时间段、连接数及报文速率等多种匹配方式,并提供实际应用场景示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

iptables 匹配规则

1.    源地址匹配:

    a.    ip地址匹配        

        iptables -t filter -I INPUT -s 192.168.1.111,192.168.1.118 -j DROP

        用“,”分隔多个源地址,地址与“,”之间不能有空格

    b.    网段匹配

        iptables -t filter -I INPUT -s 192.168.1.0/24 -j DROP

    c.    反向匹配

        iptables -t filter -I INPUT ! -s 192.168.1.10 -j ACCEPT

        当源地址不是192.168.1.10时ACCEPT,注意!当源地址是192.168.1.10时,此规则匹配不上,不会因为此规则而拒绝!


2.    目的地址匹配:

    参数 -d ,使用方法与源地址匹配一致


3.    协议匹配:

    参数 -p :protocol

    iptables -t filter -A INPUT -p tcp -j ACCEPT

    -p支持的协议有:tcp, udp, udplite, icmp, icmpv6, ah, sctp等

     其中ping属于icmp协议,ssh属于tcp协议


4.    网卡匹配

     iptables -t filter -I INPUT -i eth0 -j ACCEPT

    参数 -i, -o, 其中-i表示入网卡,-o表示出网卡。-i参数可用于prerouting,forward,input。3个链。-o参数可用于forward,output,postrouting。3个链。也可用使用“!”表示反向匹配

 

5.    扩展匹配

    端口匹配:

    上述4种匹配规则都属于基本匹配,端口匹配属于扩展匹配,需要导入扩展模块并且需要指定匹配协议

    例:    iptables -t filter -I INPUT -p tcp -m tcp --dport 22 -j ACCEPT

    其中 -p 指定协议,-m 指定扩展模块,--dport/--sport 指定目的端口/源端口(注意双中横线)-m可缺省,默认使用与-p相同的模块

    其他用法:

        反向匹配: ! --dport 22       目的端口不等于22

        区间匹配:  --dport 22:25      目的端口在[22,25]之间

                           --dport 22:          目的端口在[22:65535]之间

                           --dport :80          目的端口在[0:80]之间

        离散端口匹配:   iptables -t filter -I INPUT -p tcp -m multiport --dport 1,2,3,4


    连续ip匹配:

    例:    iptables -t filter -I INPUT -m iprange --src-range 1.1.1.1-1.1.1.4 -j DROP

    也可以使用!来取反,如:iptables -t filter -I INPUT -m iprange ! --src-range 1.1.1.1-1.1.1.4 -j DROP


    报文内容匹配:
    例:    iptables -t filter -I INPUT -m string --algo bm --string "XXOO" -j ACCEPT
               含义:当报文中含有“XXOO”时,通过报文。字符串匹配算法使用 bm

               其中: --algo 指定匹配算法。包括bm与kmp。

                          --string 需要匹配的字符串


    时间段匹配:
    例:    iptables -t filter -I INPUT -m time --timestart 09:00:00 --timestop 19:00:00 -p tcp --dport 80 -j ACCEPT

               含义:在09到19点时间内,拒绝所有从80端口进入的tcp请求

                time 模块参数

                --timestart    起始时间

                --timeend    结束时间

                --weekdays    星期n,可选值有1到7,也有Mon,Tue,Wed,Thu,Fri,Sat,Sun。可以使用!取反

                --monthdays    一个月的第几天。可以使用!取反

                --datestart    一个月的起始天数

                --dateend  一个月的结束天数

    例:    iptables -t filter -I INPUT -m time ! --weekdays 6,7 ! --monthdays 22.23 --timestart 09:00:00 --timestop 19:00:00 --datestart 2018-10-10 --datestop 2018-12-12 -p tcp --dport 80 -j ACCEPT

                  含义:当(今天不是星期6或星期7)且(今天不本月的22或23好)且(当前时间在09到19点之间)且(今天的日志在2018-10-10到2018-12-12号之间)且(是TCP协议)且(目标端口是80)则接受请求

             
    连接数匹配:
    例:iptables -I INPUT -m connlimit --connlimit-above 2 --connlimit-mask 24 -j ACCEPT
    含义: 当ip地址是24位掩码,且连接数超过2则接受请求

             --connlimit-above    连接数超过n时

             --connlimit-upto    等价于 !--connlimit-above 当连接数未达到之低昂连接数时


    报文速率限制
    例:iptables -t filter -I INPUT -p icmp -m limit --limit 10/minute -j ACCEPT
    含义:当每分钟收到包数量在10以内,则接受请求

    但是当每分钟数量超过10个时,没有相应逻辑,当想要完成超过10请求每分钟则拒绝请求的逻辑需要配合一条拒绝逻辑使用。如:

    

    参数:

            --limit-brust   表示“令牌桶”算法中令牌的数量,默认为5

            --limit  结合令牌桶算法,可以理解为生成令牌的速率。白话可粗略理解为放过包的速率

                可选速率限制参数:

                    /second,/minute,/hour,/day表示n个请求每秒/分/小时/天

            其中:令牌桶逻辑为:每建立一个请求需要消耗一个令牌,请求释放时销毁令牌。当没有可用令牌时,请求被拒绝。在默认5令牌的情况下,10/minute 不是每6秒接受一个请求,而是每6秒生成一个令牌到令牌桶。只要桶中有令牌请求就可以通过。limit-brust表示令牌桶中的令牌最大值

    icmp协议限制
    常见的使用icmp协议的操作就是ping,可以通过此模块限制ping的接收与发送

    例:iptables -t filter -I INPUT -p icmp -m icmp --icmp-type 8/0 -j REJECT

           含义:不接受ping请求,但是可以执行ping操作

    --icmp-type表示 icmp请求类型,8/0分别表示type/code。细节见下图(来自朱双印先生的博客http://www.zsythink.net/archives/1588)

    请求state限制
    请求有5种状态:NEW,ESTABLISHED,RELATED,INVALID,UNTRACKED五种

    如果我们的机器不希望被别人主动连接,只希望接接受别人对我们的请求做出的相应,可这样做

    iptables -t filter -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    表示接受ESTABLISHED和RELATED的请求,当然想要达到不响应别人的请求,需要在此之后加一条拒绝所有请求



iptables(4)规则匹配条件(源、目、协议、接口、端口)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-21 1666
上篇文章中我们介绍的规则匹配源地址,通过-s参数指定源地址,那我们从源地址开始逐步介绍。图中我指定的源地址是单个IP地址一次指定多个源IP地址通过“,”隔开多个地址,可以一次性指定多个源地址,但是指定了多个不连续的源地址后,在iptables列表中会列出多行显示。注意逗号两侧都没有空格,多个IP之间通过逗号隔开一次性指定一个网段直接使用网段信息,来设置源地址段,那么该条规则就会匹配源地址是这个网段来的所有数据反向匹配(条件取反)!
Linux系统Iptables规则执行顺序详解
weixin_34150503的博客
07-31 1228
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。   1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. ...
spaCy规则匹配技术详解:从基础到高级应用
最新发布
gitblog_00516的博客
06-01 384
spaCy规则匹配技术详解:从基础到高级应用 什么是规则匹配 在自然语言处理中,规则匹配是一种基于预定义模式识别文本中特定内容的技术。spaCy提供了强大的规则匹配引擎,相比传统正则表达式,它能够直接操作文档中的词元(Token)及其语言学特征,实现更智能的文本匹配规则匹配与统计模型的对比 何时使用规则匹配 规则匹配特别适合以下场景: 需要匹配的内容有明确、固定的模式(如IP地址、URL等)...
iptables规则匹配是有顺序的
jesseszr的博客
10-17 1499
因此,如果需要加新ip地址,则需要在加完ip后重新设置一下。假设要只允许1个ip访问,设置以下两条规则,如果顺序为。
【无标题】iptables之防火墙概述及规则匹配
xzy8088的专栏
08-21 548
iptables之防火墙实例
iptables规则链执行顺序
热门推荐
houlc的专栏
12-20 1万+
预备知识(转): iptable有三种队列(表)规则,mangle queue, filter queue, nat queue。 1。The first is the mangle table which is responsible for the alteration of quality of service bits in the TCP header. 2。The second
iptables 防火墙(一)| 四表/五链、数据包匹配流程、编写 iptables 规则
开源世界
06-23 1184
一名致力于在技术道路上的终身学习者、实践者、分享者,一位忙起来又偶尔偷懒的原创博主,一个偶尔无聊又偶尔幽默的少年。 一、Linux 防火墙基础 Linux防火墙主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,典型的包过滤防火墙,基于内核编码实现,具有非常稳定的性能和高效率。 iptables:用来管理 Linux 防火墙的命令程序,位于/sbin/iptables目录下,属于用户空间的防火墙管理体系。 netfilter:Linux 内核中实现包过滤防火墙的内部结构,一般不以程序或文件的形式存在
Linux系统Iptables规则执行顺序详细讲解
03-04
Iptables是采用规则堆栈的方式来进行过滤,当一个封包进入网卡,会先检查Prerouting,然后检查目的IP判断是否需要转送出去,接着就会跳到INPUT或Forward进行过滤,如果封包需转送处理则检查Postrouting,如果是来自...
Iptables防火墙基本匹配条件应用
11
01-28 876
1、允许某个来源访问本机的特定服务,这种访问属于数据的流入,那么就会经过PREROUTING和INPUT两个链,允许或者拒绝这些操作都是在filter表实现的,PREROUTING链没有filter,因此首先就可以得出结论,这条规则会在INPUT链的filter表中进行添加。INPUT链中一共有2条规则,第一条规则的动作是允许,允许192.168.20.21访问192.168.20.20的tcp 80端口,第二条规则的动作是拒绝,拒绝全部IP访问本机的80端口。
iptables基本匹配
kakaka666的博客
06-04 902
当数据包来到的时候先匹配第一条规则,如果符合规则则接受。如果不符合第一条规则,接着匹配第二条规则,如果是tcp包执行DROP动作,丢弃报文。如果不是tcp包执行默认规则ACCEPT。当数据包发出的时候先匹配第一条规则,如果TCP包符合规则则接受发出。如果不符合第一条规则,接着匹配第二条规则,不是tcp包执行DROP动作,丢弃报文。从ens38进来的icmp包全都丢弃,从其他网络接口就来的包不匹配第一条规则,执行默认规则ACCEPT。凡是由本机发出的TCP协议报文都允许出去,其他的协议不允许;
防火墙——iptables防火墙(四表五链、防火墙配置方法、匹配规则详解)
Axic123的博客
05-20 3699
IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上。
iptables防火墙进阶匹配以及常见扩展规则
weixin_45266856的博客
02-17 594
前文已经总结了iptables中的基本匹配条件,以及简单的扩展匹配条件,此处,我们来认识一些新的常见的扩展模块。
iptables规则的顺序
yi_Afly的专栏
08-17 1540
iptables的INPUT CHAIN、FORWARD CHIAN和OUTPUT CHAIN中,每当遇到匹配的ACCEPT或者REJECT或者DROP规则时,就不会再继续向下匹配。 所以,以INPUT CHAIN为例,如果想打开某一个特定端口(比如TCP 1990),而屏蔽掉其它端口,应该这样配置:-A INPUT -p tcp --dport 1990 -j ACCEPT -A INPUT
【Linux】iptables之防火墙概述及规则匹配+实例(1)
liu_chen_yang的博客
08-09 8462
多端口匹配:-m multiport --sports | --dports 端口列表。多端口匹配:-m multiport --sports | --dports 端口列表。入站: PREROUTING→INPUT。IP范围匹配:-m iprange --src-range IP范围。MAC地址匹配:-m mac --mac-source MAC地址。IP范围匹配:-m iprange --src-range IP范围。MAC地址匹配:-m mac --mac-source MAC地址。......
Linux iptables防火墙详解(三)——iptables匹配条件
永远是少年
12-06 2912
今天继续给大家介绍Linux基础知识,本文主要内容是Linux iptables防火墙配置命令匹配条件。 一、iptables匹配参数介绍 二、iptables匹配参数使用示例
iptables设置规则顺序
weixin_42035350的博客
12-05 1348
iptables设置防火墙规则顺序
iptables(四)iptables匹配条件总结之一
aa43795381的博客
01-25 348
经过前文的总结,我们已经能够熟练的管理规则了,但是我们使用过的"匹配条件"少得可怜,之前的示例中,我们只使用过一种匹配条件,就是将"源地址"作为匹配条件。 那么这篇文章中,我们就来了解一下更多的匹配条件,以及匹配条件的更多用法。 注意:在参照本文进行iptables实验时,请务必在个人的测试机上进行,因为如果iptables规则设置不当,有可能使你无法连接到远程主机中。 ...
iptables详解(4):iptables匹配条件总结之一
ss810540895的博客
10-20 1284
s用于匹配报文的源地址,可以同时指定多个源地址,每个IP之间用逗号隔开,也可以指定为一个网段。#示例如下-d用于匹配报文的目标地址,可以同时指定多个目标地址,每个IP之间用逗号隔开,也可以指定为一个网段。#示例如下-p用于匹配报文的协议类型,可以匹配的协议类型tcp、udp、udplite、icmp、esp、ah、sctp等(centos7中还支持icmpv6、mh)。#示例如下。
IPtables 匹配条件
小楼一夜听春雨,深巷明朝卖杏花
08-30 1886
规则从上到下匹配,如果IP来源10.0.0.1符合规则,那么下面规则就不执行了,如果来源于其他规则不满足,那么就走下面,任何地址到本机的22都拒绝。如果不符合这条drop的规则,那么就继续往下去匹配,下面没有规则就回到链的默认规则,默认规则是ACCEPT,只要没有符合这条规则,那么就都允许。drop就是什么消息都不返回,reject就会返回因为防火墙阻止了,也就是一个会返回消息,一个不会返回消息。仅允许'10.0.0.1'访问'10.0.0.200'服务器的'22'端口、其他地址全部拒绝。......
iptables匹配mark值
11-08
iptables中,标记(Mark)主要用于流量分类和QoS(Quality of Service,服务质量)。虽然直接操作mark值可能不是默认选项,但可以通过`--set-mark`或`--append MARK`命令来设置或修改包的标记。 然而,关于在iptables规则中直接匹配mark值,通常不推荐这样做,因为mark值通常是由内核层或其他中间件应用的,比如netfilter的skb标记模块。标准的iptables链(如INPUT或FORWARD)主要基于协议、源/目的地址和端口来过滤,而不是直接基于mark值。 如果你想基于mark值过滤,可能会涉及到更底层的脚本或者在防火墙之外的地方设置mark。例如,你可以通过`ip rule`或`ebtables`来操作mark值,然后在iptables中检查这些规则的结果。 如果你想要演示如何设置mark值,可以这样操作: ```bash iptables -t mangle -A PREROUTING -p tcp --destination-port 80 -j MARK --set-mark 0x1234 ``` 这会在所有前往80端口的TCP包上设置一个标记为0x1234。然后,在另一个位置(如POSTROUTING链),你可以使用这个标记来进行后续的操作: ```bash iptables -t mangle -A POSTROUTING -m mark --mark 0x1234 -j DROP ``` 但这超出了iptables基本配置的范畴,更适合高级网络管理员或定制化环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值