Iptables 常用命令

最新推荐文章于 2025-09-18 11:32:36 发布
原创 最新推荐文章于 2025-09-18 11:32:36 发布 · 592 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ip #linux

允许回环连接
例如,如果您运行ping localhost或ping 127.0.0.1,您的服务器将使用回环接口对自身进行ping测试。如果 您配置应用程序服务器以使用本地主机地址连接到数据库服务器,也将使用回环接口。
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

允许已建立和相关的传入连接
由于网络流量通常需要双向(传入和传出)才能正常工作,通常会创建一个防火墙规则来允许已建立和相关的传入流量,以便服务器允许由服务器自身发起的传出连接的返回流量。
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

允许内部网络访问外部网络
假设eth0是您的外部网络接口,而eth1是您的内部网络接口,以下命令将允许内部网络访问外部网络:
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

丢弃无效数据包
一些网络流量数据包会被标记为无效。有时记录此类数据包可能很有用,但通常直接丢弃它们也是可以的。
sudo iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

阻止IP地址
要阻止源自特定IP地址(例如203.0.113.51)的网络连接
sudo iptables -A INPUT -s 203.0.113.51 -j DROP
sudo iptables -A INPUT -s 203.0.113.51 -j REJECT

阻止对网络接口的连接
要阻止来自特定IP地址(例如203.0.113.51)到特定网络接口(例如eth0)的连接,请使用以下命令:
iptables -A INPUT -i eth0 -s 203.0.113.51 -j DROP

允许所有传入的SSH连接
sudo iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许特定IP地址或子网的传入SSH连接
要允许来自特定IP地址或子网的传入SSH连接,请指定源地址。例如,如果您想允许整个203.0.113.0/24子网
sudo iptables -A INPUT -p tcp -s 203.0.113.0/24 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许传出SSH连接
如果您的防火墙OUTPUT策略没有设置为ACCEPT,并且您希望允许传出的SSH连接(即您的服务器主动连接到另一台服务器的SSH连接)
sudo iptables -A OUTPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许所有传入的HTTP连接
sudo iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 80 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许所有传入的HTTPS连接
sudo iptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许所有传入的HTTP/HTTPS连接
sudo iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

允许特定IP地址或子网的传入MySQL连接
要允许来自特定IP地址或子网的传入MySQL连接,请指定源地址。例如,如果您想允许整个203.0.113.0/24子网进行MySQL连接
sudo iptables -A INPUT -p tcp -s 203.0.113.0/24 --dport 3306 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 3306 -m conntrack --ctstate ESTABLISHED -j ACCEPT

阻止传出的SMTP邮件
如果您的服务器不应发送传出邮件,您可能希望阻止此类流量。要阻止传出的SMTP邮件(使用端口25)
sudo iptables -A OUTPUT -p tcp --dport 25 -j REJECT
这将配置iptables拒绝在端口25上的所有传出流量。如果您需要拒绝其他端口号对应的服务,请将上述的25端口替换为相应的端口号。

允许所有传入的SMTP连接
要允许服务器响应端口25上的SMTP连接,请运行以下命令:
sudo iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT
第二个命令允许已建立的SMTP连接的传出流量,只有在OUTPUT策略未设置为ACCEPT时才需要。

允许所有传入的IMAP连接
要允许服务器响应IMAP连接(端口143),请运行以下命令:
sudo iptables -A INPUT -p tcp --dport 143 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 143 -m conntrack --ctstate ESTABLISHED -j ACCEPT
第二个命令允许已建立的IMAP连接的传出流量,只有在OUTPUT策略未设置为ACCEPT时才需要。

允许所有传入的POP3连接
要允许服务器响应POP3连接(端口110),请运行以下命令:
sudo iptables -A INPUT -p tcp --dport 110 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 110 -m conntrack --ctstate ESTABLISHED -j ACCEPT
第二个命令允许已建立的POP3连接的传出流量,只有在OUTPUT策略未设置为ACCEPT时才需要。

允许所有传入的POP3S连接
要允许服务器响应POP3S连接(端口995),请运行以下命令:
sudo iptables -A INPUT -p tcp --dport 995 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp --sport 995 -m conntrack --ctstate ESTABLISHED -j ACCEPT
第二个命令允许已建立的POP3S连接的传出流量,只有在OUTPUT策略未设置为ACCEPT时才需要。

隐藏网络内部主机的IP地址,还能够让局域网内的主机共享公网IP,让使用私网IP的主机能够访问互联网,snat
iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -j SNAT --to-source 公网IP
如果公网IP是动态获取的,不是固定的,则可以使用MASQUERADE进行动态的SNAT操作,如下命令表示将10.1网段的报文的源IP修改为eth0网卡中可用的地址。
iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -o eth0 -j MASQUERADE

透明代理,将公网ip转为实际服务的内网ip,dnat
iptables -t nat -I PREROUTING -d 公网IP -p tcp --dport 公网端口 -j DNAT --to-destination 私网IP:端口号
iptables -t nat -A POSTROUTING -s 10.1.0.0/16 -j SNAT --to-source 公网IP

端口映射
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
其他机器访问本机的80端口时,会被映射到8080端口,这也是docker端口映射的原理。
 

Iptables常用命令详解
niaooer的博客
07-20 783
四表五链: (raw,mangle,nat,filter)(PREROUTING,INPUT,FILTER,OUTPUT,POSTROUTING) iptables -nL iptables -nL input --line-number iptables -nL FORWARD --line-number iptables -D iptables -t nat -D PREROUTING iptables -L -t nat service iptables save iptables -t nat -
iptables常用命令汇总
最新发布
weixin_43592627的博客
10-25 839
今天分享一下iptables知识点和常用命令。现在redhat系统默认使用firewalld,ubuntu默认使用ufw防火墙,为什么还要学iptables呢,还有其他应用场景,比如容器环境,Docker 默认直接管理 iptables 规则来实现网络隔离和端口映射。
iptables常用命令.doc
08-17
这是我自己整理的iptables文档,在此提供仅供用来参考参考!
iptables相关管理命令
meltsnow的博客
03-14 461
1.基本参数 参数 功能 -t 指定表名称 -n 不作解析 -L 列出指定表中的策略 -A 增加策略 –dport 端口 -s 数据来源 -j 动作 ACCEPT 允许 REJECT 拒绝 DPOR 丢弃 -N 增加链 -E 修改链名称 -X 删除链 -D 删除指定策略 -I 插入 -R 修
iptables常用命令
lw585625的博客
07-14 490
[size=large][color=blue]常用命令列表: sudo iptables -L -v 获得更详细信息 sudo iptables -L -n 获得信息 命令 -A, --append 范例 iptables -A INPUT ... 说明 新增规则到某个规则炼中,该规则将会成为规则炼中的最后一条规则。 命令 -D, --delete 范例 iptable...
iptables 常用使用命令
u011029104的专栏
01-31 2953
iptables 使用三个不同的链来允许或阻止流量:输入(input)、输出(output)和转发(forward)输入(input) —— 此链用于控制传入连接的行为输出(output) —— 此链用于传出连接转发(forward) —— 这条链用于传入的连接,这些连接实际上不是在本地传递的,比如路由和 NATing。
iptables常用命令及应用
weixin_30607659的博客
07-22 196
http://blog.youkuaiyun.com/bill_lee_sh_cn/article/details/4401896iptables中DNAT的配置方法 一、命令格式 iptables [-t TABLE] COMMAND CHAIN [creteria] -j(jump) ACTION{ACCEPT,DROP,REJECT,SNAT,DNA...
Iptables命令常用命令
m0_73135216的博客
09-13 3435
下是一些非常实用的。
iptable常用命令
weixin_38805083的博客
09-18 369
摘要:iptablesLinux内核防火墙的重要配置工具,支持查看、添加、删除规则及NAT转换。常用命令包括-L查看规则、-A/-I添加规则、-D删除规则,支持端口控制、IP过滤和转发设置。关键操作包含SNAT/DNAT地址转换、默认策略配置(ACCEPT/DROP)及规则持久化保存(iptables-save/restore)。使用时需注意协议、端口、网卡等参数,建议操作前备份现有规则。
iptables之centos6版本常用设置
weixin_30656145的博客
03-23 269
默认策略 # iptables -LChain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHE...
iptables 常用命令
weixin_42464273的博客
12-23 464
iptables 常用命令
iptables 使用
weixin_34345560的博客
04-19 479
原文链接 本文介绍25个常用的iptables用法。如果你对iptables还不甚了解,可以参考上一篇iptables详细教程:基础、架构、清空规则、追加规则、应用实例,看完这篇文章,你就能明白iptables的用法和本文提到的基本术语。 一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认链策略 ipta...
Iptables 常用命令汇总
AlwaysBeta 的专栏
01-24 394
技术博客: https://github.com/yongxinz/tech-blog 同时,也欢迎关注我的微信公众号 AlwaysBeta,更多精彩内容等你来。 基本操作 启动 iptables : service iptables start 关闭 iptables : service iptables stop 重启 iptables : service iptables restar...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

差点GDP

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值