iptables规则配置

最新推荐文章于 2025-04-17 15:41:36 发布
原创 最新推荐文章于 2025-04-17 15:41:36 发布 · 370 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables #iptables 转发 #iptables开放端口 #端口转发

本文介绍Linux下iptables防火墙的基本概念,包括netfilter架构、iptables命令语法及常见应用场景,如开放或禁止端口、地址转换等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、netfilter/iptables概念说明

netfilter: 是集成在linux内核中的模块,对数据包进行过滤、转发等
iptables: 用于管理netfilter模块(netfilter中的表和链)

iptables表 - 四张表 (表中有什么链是固定的)

raw表prerouting链、output链
mangle表prerouting链、postrouting链、input链、forward链、output链
nat表prerouting链、postrouting链、output链
filter(默认表)input链、forward链、output链

安装iptables

#yum install -y iptables-devel iptables#yum install iptables* -y
[root@localhost ~]# rpm -qa|grep iptables
iptables-services-1.4.21-34.el7.x86_64
iptables-devel-1.4.21-34.el7.x86_64
iptables-1.4.21-34.el7.x86_64
iptables-utils-1.4.21-34.el7.x86_64

二、iptables命令语法

语法:iptables table command match target/jump
table 参数:
-t filter 指定filter表
-t net 指定net表
-t mangle 指定mangle表
-t raw 指定raw表

command 参数:
-A 顺序添加,添加一条新规则
-D 删除
-R 修改、删除一条新规则,-D后面加一个数字表示删除哪行
-I 插入一条新规则,-I后面加一个数字,表示插入到哪行
-L 查看
-F 清空链中的所有规则
-Z 清除链中使用的规则
-N 以数字的方式显示,前面一般加-L
-X 删除一个自定义链,删除这前要保证此链是空的,而且没有被引用
-P 大写P 设置默认规则
-E 重命令链

match 参数(隐含匹配):
-p 协议,tcp udp icmp,以下四行为-p后面跟的内容
–sport 指定源端口
–dport 指定目标端口
-s 源地址
-d 目的地址
-i 数据包进入的网卡
-o 数据包出口的网卡
-f 文件

动作:
target/jump参数:
-j ACCEPT 允许通过
-j DROP 删除
-j REJECT 不允许通过

DROP直接丢掉
ACCEPT 允许通过
REJECT 丢掉,但是回复信息
LOG --log-prefix"说明信息,自己随便定义",记录日志
SNAT 源地址转换
DNAT 目标地址转换
REDIRECT 重定向
MASQUERAED 地址伪装

扩展匹配:
-m state --state 匹配状态的
-m mutiport --source-port 端口匹配,指定一组端口
-m limit --limit 3/minute 每三分钟一次
-m limit --limit-burst 5 只匹配5个数据包
-m string --string --algo bm|kmp --string"xxx" 匹配字符串
-m time --simestart 8:00 --timestop 1200 表示从哪个时间到哪个时间
-mtime–days 表示哪天
-m mac --mac-source xx:xx:xx:xx:xx:xx 匹配源mac地址
-m layer7 --l7proto qq 表示匹配腾讯QQ的

三、案例 - 开放/禁止端口

开放80端口

[root@localhost ~]# iptables -t filter -A INPUT -m tcp -p tcp --dport 80 -j ACCEPT

允许ping

#iptables -p icmp -j ACCEPT

禁止192.168.1.110访问本机所有端口

-A INPUT -S 192.168.1.110 -j DROP

允许此MAC机器访问22端口

-A INPUT -m mac --mac-source f8:43:41:7e:d6:96 -p tcp --dport 22 -j ACCEPT

限制14:00至18:00可以访问80端口

-A INPUT -m time --timestart 14:00 --timestop 18:00 -p tcp --dport 80 -j ACCEPT

四、转发

查看转发规则

iptables -L -n -t nat

将目标为192.168.1.108(本机) 80端口的数据包转到192.168.1.109的8080端口

[root@localhost ~]# iptables -t nat -A PREROUTING -p tcp -m tcp -d 192.168.1.108 --dport 80 -j DNAT --to-destination 192.168.1.109:8080
[root@localhost ~]# iptables -t nat -A POSTROUTING -p tcp -m tcp -d 192.168.1.109 --dport 8080 -j SNAT --to-source 192.168.1.108
注,--to-source 192.168.1.108后面最好不要加:80,加了会返回时容易超时

开启转发功能
#echo 1 >/proc/sys/net/ipv4/ip_forward[root@localhost subsys]# vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1
#sysctl -p

允许伪装

#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

把默认INPUT链规则设置为允许

#iptables -t filter -P INPUT ACCEPT

把默认转发链规则设置为允许

#iptables -P FORWARD ACCEPT
要save保存

------------------------end

iptables防火墙配置及Netfilter框架
weixin_48579910的博客
07-13 1465
iptables是一个功能强大且灵活的防火墙工具,通过定义和管理规则,可以有效地控制和保护网络流量。了解并掌握iptables的基本概念、命令和配置示例,可以帮助管理员在多种网络环境下构建安全的防火墙策略。对于更简化的管理,可以考虑使用ufw或firewalld等工具。Netfilter框架是Linux内核中强大且灵活的网络数据包处理框架,通过钩子点、表、链和规则的组合,实现复杂的网络过滤、地址转换和数据包修改功能。
iptables规则设置
weixin_40123451的博客
07-23 815
i docker0 -o docker0 -p tcp -m tcp -s 网段地址/掩码 -d172.17.0.2 --dport 端口号 -j ACCEPT。iptables -I DOCKER-USER -i eth0 -o docker0 -p tcp --dport 端口号 -d 容器IP地址/32 -j ACCEPT。iptables -A INPUT -s 网段地址/掩码 -p tcp --dport 端口号 -j ACCEPT。
iptables基本原理和规则配置
沉默的鹏先生
02-27 1586
iptables原理图 1.表的作用 Mangle:打个标记,更改ttl值,更改查看tos Nat:做DNAT、SNAT和端口映射 Filter:通过五元组控制数据包 Conntrack:跳过连接跟踪以及加速数据包到达本地或出去 路由判决:查路由看是转发还是找自己的 优先级顺序:raw > mangle > nat > fiter 2.Iptables查...
iptables 防火墙
2501_91344566的博客
04-17 1178
在 Linux 系统中,iptables 作为一款强大的防火墙工具,因其高度的灵活性和强大的功能,被广泛用于保护服务器免受未经授权的访问和恶意攻击。iptables 不仅能够在网络层对 TCP/IP 数据包进行精细的过滤和限制,还能够通过其复杂的规则系统实现多种网络策略。
iptables 规则配置
wudaoshihun的博客
08-29 504
摘要:二、IPTABLES规则(Rules)牢记以下三点式理解iptables规则的关键:Rules包括一个条件和一个目标(target)如果满足条件,就执行目标(target)中的规则或者特定值。如果不满足条件,就判断下一条Rules。目标值(TargetValues)下面是你可以在target里指定的特殊值:ACCEPT–允许防火墙接收数据包DROP–防火墙丢弃包QUEUE–防火墙将数据包...
配置iptables规则
ha_123_qq的博客
07-23 331
yum -y install iptables-services iptables systemctl enable iptables sh /home/pccuser/abc.sh 脚本 #!/bin/bash systemctl start iptables iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t...
iptables 规则
刘某的博客
04-03 1282
简述 iptables 表、链、规则、示例说明。
移动安全防护_Android开发_Java高级编程_iptables规则配置_自定义UI控件_内容提供者监听_反射机制_数据库管理_基于Linux内核的移动设备安全防护系统_包含木.zip
最新发布
05-04
iptables规则配置是Linux系统中用于配置防火墙规则的工具,它在Android设备上同样适用。通过正确配置iptables规则,可以有效地控制进出Android设备的网络流量,防止恶意软件和攻击者侵入系统。这对于开发基于Linux...
两小时精通Linux iptables规则配置与管理
iptables规则可以包含各种匹配条件,它们定义了规则适用于哪些特定的数据包。常见的匹配条件有: - `-p` 或 `--protocol`:指定协议类型,如TCP、UDP或ICMP。 - `-s` 或 `--src` 或 `--source`:指定数据包的源地址...
iptables规则配置详解
# 1. iptables简介 ## 1.1 什么是iptables?...通过合理配置iptables规则,可以增强系统的安全性和稳定性。 ## 1.3 iptables和其他防火墙的区别 与传统的基于用户空间的防火墙工具相比,iptables是一个在内核空间操
Ubuntu网络服务与防火墙:iptables规则配置与管理
[Ubuntu网络服务与防火墙:iptables规则配置与管理](https://avatars.dzeninfra.ru/get-zen_doc/271828/pub_65ff253175d1500baae60885_65ff257374b4ea5e87979cb8/scale_1200) # 1. Ubuntu网络服务基础 ## 1.1 网络...
iptables 端口转发
07-02
iptables是一个Linux下优秀的nat+防火墙工具
通过iptables进行端口转发和映射(需要注意里面的书写顺序)
04-13
通过iptables进行端口转发和映射(需要注意里面的书写顺序)
关于iptables规则配置方法(笔记)
热门推荐
剁椒鱼头没剁椒的博客
02-08 1万+
关于iptables规则配置方法(笔记)
iptables防火墙规则
XMYX-0
12-29 1944
iptables 是一个用于配置 Linux 内核防火墙规则的工具。它是一个强大而灵活的工具,可以用于定义数据包的过滤规则、网络地址转换 (NAT)、端口转发等。iptables 提供了一种对网络流量进行细粒度控制的方式,可以用于保护系统免受网络攻击,限制网络访问,实现网络地址转换等功能。用于过滤数据包,决定是否允许或拒绝数据包通过。用于网络地址转换,例如,将私有 IP 地址映射到公共 IP 地址。用于修改数据包的特定字段,如 TTL(生存时间)。用于配置连接跟踪表规则
Linux安全防火墙(iptables配置策略
qq_53058639的博客
06-01 2968
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
iptables入门教程配置详解--iptables规则
知识禁区
11-30 876
iptables入门教程配置详解--iptables规则 本章将详细地讨论如何构件你自己的iptables规则规则就是指向标,在一条链上,对不同的连接和数据包阻塞或允许它们去向何处。插入链的每一行都是一条规则。我们也会讨论基本的matche及其用法,还有各种各样的target,以及如何建立我们自己的target(比如,一个新的子链)。 *IJ
iptables命令选项以及参数配置
weixin_44866492的博客
03-15 1427
添加规则,修改规则,删除规则,保存规则,开机自动读取。
iptables的原理及配置规则
weixin_33812433的博客
08-24 270
iptables的前身叫ipfirewall (内核1.x时代),这是一个作者从freeBSD上移植过来的,能够工作在内核当中的,对数据包进行检测的一款简易访问控制工具。但是ipfirewall工作功能极其有限(它需要将所有的规则都放进内核当中,这样规则才能够运行起来,而放进内核,这个做法一般是极其困难的)。当内核发展到2.x系列的时候,软件更名为ipchains,它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值