Iptables 規則基礎筆記

阿新 • • 發佈：2017-07-12

iptables 規則基礎筆記

Iptables規則：

Firewall:工作在主機或網絡邊緣，對進出的保溫按事先定義的規則進行檢查，並有匹配到的規則進行處理的一組硬件或者軟件.

用戶請求進來，先到本地的route路由判斷是否訪問的為本地ip，如果不是則查看是否開啟了ip-forward功能，如果開起來，則繼續向後轉發.

iptables/netfilter：

netfilter:工作內核中，讓規則能夠生效的網絡框架.

iptables:工作於用戶空間，防火墻規則編寫工具，編寫規則並發送到netfilter

PREROUTING:主要做目標地址轉換

INPUT :從本機進來的

OUTPUT:從本機出去的

FORWARD:從本機轉發的

POSTROUTING:路由之後轉發，主要做源地址轉換

過濾：做報文篩選

NAT：Network Adress Translation 網絡地址轉換.

Dnat：目標地址轉換公網響應，將公網地址自動Dnat到內網.

Snat：源地址轉換內網地址訪問公網資源，出去時將源地址轉換為公網地址.

表和鏈的對應關系：

filter：

INPUT FORWARD OUTPUT

nat：

PREROUTING OUTPUT POSTROUTING

mangle：

PREROUTING INPUT FORWARD OUTPUT POSTROUTING

檢查條件，處理機制：

通：默認為堵，只對能識別的進行放行

堵：默認為通，只對能識別的進行阻截

檢查條件：

IP：SIP DIP

TCP,UDP,ICMP協議首部

處理機制：

DROP：悄悄丟棄，不返回任何結果

REJECT：拒絕，返回拒絕信息

ACCEPT:允許通過

SNAT:源地址轉換

DNAT:目標地址轉換

RETURN:未匹配到重新返回

REDIRECT:映射

LOG:日誌

Iptables規則參數：

  # iptables -nL   查看規則

 iptables [-t table] -N chain   #新增一條自定義的規則鏈(自定義的鏈只能在被調用或轉發時生效)

-I 插入，默認為第1條

 iptables [-t table] -I chain [rulenum] rule-specification

iptables [-t table] -X [chain] #刪除一條自定義的空鏈

實例：

 # iptables -X Mew

iptables [-t table] -E old-chain-name new-chain-name #修改自定義鏈名

實例：

    [[email protected] ~]# iptables -E Mew Redhat
        [[email protected] ~]# iptables -nL
        Chain INPUT (policy ACCEPT)
        target     prot opt source               destination         
        Chain FORWARD (policy ACCEPT)
        target     prot opt source               destination         
        Chain OUTPUT (policy ACCEPT)
        target     prot opt source               destination         
        Chain Redhat (0 references)
        target     prot opt source               destination

iptables [-t table] -P chain target #修改鏈的默認策略,無法修改自定義鏈的默認規則.

實例：

# iptables -t filter -P FORWARD DROP
iptables [-t table] {-F|-L|-Z} [chain [rulenum]] [options...]

-F :清空鏈中的規則

規則有編號，在鏈中自上而下，從1開始；

-L: list,列出表中的所有規則

-n：數字格式顯示IP和Port

-v：以詳細格式顯示

實例：

  [[email protected] ~]# iptables -nL -v
   Chain INPUT (policy ACCEPT 10936 packets, 1068K bytes)
   pkts bytes target     prot opt in     out     source               destination         
    Chain FORWARD (policy DROP 0 packets, 0 bytes)
    pkts bytes target     prot opt in     out     source               destination         
   Chain OUTPUT (policy ACCEPT 8217 packets, 698K bytes)
    pkts bytes target     prot opt in     out     source               destination         
   Chain Redhat (0 references)
   pkts bytes target     prot opt in     out     source               destination

pkts：packets，被本規則所匹配到的報文個數

bytes：被本規則所匹配到的所有報文的大小之和，會執行單位換算.

target:目標，即處理機制

prot：協議，一般為{tcp|udp|ICMP}

opt:可選項

in：數據包流入接口.

out:數據包的流出接口

source：源地址

destination：目標地址：

-v

-vv

-x：exactly，精確值，不執行單位換算

--line-number：顯示各規則的行號

實例： --line-number 看到每條規則都有編號

 [[email protected] ~]# iptables -nL --line-numbers
            Chain INPUT (policy ACCEPT)
            num  target     prot opt source               destination         
            1    ACCEPT     all  --  172.16.0.0/16        172.16.0.192       
            2    ACCEPT     tcp  --  172.16.0.0/16        172.16.0.192       
            Chain FORWARD (policy DROP)
            num  target     prot opt source               destination         
            Chain OUTPUT (policy ACCEPT)
            num  target     prot opt source               destination         
            1    ACCEPT     tcp  --  172.16.0.192         172.16.0.24         
            Chain Redhat (0 references)
            num  target     prot opt source               destination

-Z:zero,規則計數器清零

iptables [-t table] {-A|-D} chain rule-specification

-A append,附加一條規則;rule-specification 條件匹配 -j 處理機制，默認在指定鏈的最後一行添加

匹配條件(通用匹配)

-s：源ip，可以時ip，也可以是網絡地址，可以取反：!172.10.10.0/24,"!"取反

-s 相當於--src或者--source

-d：匹配目標地址

-p：匹配協議，通常只使用{TCP|UDP|ICMP}三者之一

-i：數據報文流入的接口：通常只用於INPUT/FORWARD/PREROUTING

-o：流出的接口：通常只用於OUTPUT/FORWARD/POSTROUTING

實例：

# iptables -A INPUT -p tcp -s 172.16.0.0/16 -d 172.16.0.192 -j ACCEPT

所有來自172.16.0.0這個網段的tcp協議訪問本地172.16.0.192資源的都允許進來

   # iptables -A OUTPUT -p tcp -s 172.16.0.192 -d 172.16.0.24 -j ACCEPT

所有從本機 172.16.0.192出去的協議為tcp的目標為172.16.0.24的店鋪允許出去.

-s:源地址不寫，默認為4個零

實例：

 [[email protected] ~]# iptables -A INPUT -d 172.16.0.192 -j ACCEPT
 [[email protected] ~]# iptables -nL -v
 Chain INPUT (policy ACCEPT 163 packets, 15385 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 23  1752 ACCEPT     all  --  *      *       0.0.0.0/0            172.16.0.192

-i ：指定流入網卡，不能在output上使用，否則會報錯.

 # iptables -A INPUT -i eth0 -d 172.16.0.192 -j ACCEPT

只要從eth0進來訪問本機的就允許

從本機eth0出去訪問公網的就允許.

 # iptables -A OUTPUT -o eth0 -s  172.16.0.192 -j ACCEPT
Chain OUTPUT (policy ACCEPT 66 packets, 5489 bytes)
pkts bytes target     prot opt in     out     source               destination         
 4   592 ACCEPT     all  --  *      eth0    172.16.0.192         0.0.0.0/0

保存恢復規則：

service iptables save

規則會被保存至/etc/sysconfig/iptables文件中；

將火墻規則保存到其他文件中:iptables-save

# iptables-save > iptables.20170707

從某個文件中恢復規則，iptables-restore

# iptables-restore < iptables.20170707

隱含擴展：使用-p{TCP|UDP|ICMP}指定某特定協議後，協議自身所能夠進行的自動擴展

-p：tcp

--dport ：可以指定單個端口，可以使連續的多個端口.

--sport: 可以指定源端口---

--tcp-flags:標誌位

RST,SYN,ACK,FIN

實例：

#允許172.16.0.0/16通過tcp協議的22端口訪問本地資源

 [[email protected] ~]# iptables -A INPUT -i eth0 -s 172.16.0.0/16 -d 172.16.0.192 -p tcp --dport 22 -j ACCEPT

#允許本地通過tcp協議的22端口與172.16.0.0/16通訊.

[[email protected] ~]# iptables -A OUTPUT -s 172.16.0.192 -d 172.16.0.0/16 -p tcp --sport 22 -j ACCEPT

#允許本地lo端口進出.

# iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT

-p: udp

--sport:

--dport:

udp協議沒有標誌位。

-p：icmp

--icmp-type 8是ping請求 0是ping響應

例子：放行ping其他主機：

     # iptables -A OUTPUT -s 172.16.0.177 -p icmp --icmp-type 8 -j ACCEPT
     # iptables -A INPUT -d 172.16.0.177 -p icmp --icmp-type 0 -j ACCEPT

規則命令：

iptables -D chain rulenum [options] 刪除規則

實例：刪除OUTPUT鏈上的第1條規則

  # iptables -D OUTPUT 1

iptables [-t table] -I chain [rulenum] rule-specification 在指定的地方插入規則

如果不指定默認為第一行.

實例：在第三行

# iptables -I INPUT 3 -i lo -j ACCEPT
 # iptables -I INPUT 3 -i eth0 -d 172.16.0.192  -j ACCEPT

iptables [-t table] -R chain rulenum rule-specification 替換指定規則

明確指定將第幾行替換為.

實例：

     # iptables -R INPUT 4 -i lo -p tcp -j ACCEPT

顯示指定鏈的規則：-S 後面未指定具體的鏈，則顯示所有鏈的規則.

iptables [-t table] -S [chain [rulenum]]

實例：

 # iptables -S INPUT
 -P INPUT ACCEPT
 -A INPUT -s 172.16.0.0/16 -d 172.16.0.192/32 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
 -A INPUT -i lo -j ACCEPT
 -A INPUT -d 172.16.0.192/32 -i eth0 -j ACCEPT
 -A INPUT -i lo -p tcp -j ACCEPT

顯示擴展：必須明確指定擴展模塊

-m 擴展模塊名稱 --專用選項

multiport:多端口匹配，一次指定多個(15個以內)零散端口

[!] --source-port,--sport port[:port]

[!] --destination-port,--dport port[:port]

--ports:

實例：

iptables -A INPUT -d 172.16.0.192 -p tcp -m multiport --dport 22,80 -j ACCEPT

# iptables -A OUTPUT -s 172.16.0.192 -p tcp -m multiport --sport 22,80 -j ACCEPT

iprange：ip地址範圍

time：指定時間範圍

--datestart：

--datestop：

--timestart：

--timestop：

實例：

# iptables -A INPUT -d 172.16.100.7 -p tcp --dport 901 -m time --weekdays Mon,Tus,Wed,Thu,Fri --timestart 08:00:00 --timestop 18:00:00 -j ACCEPT

string：字符串

--algo {bm|kmp} ：字符匹配時使用到的算法

--string "string"：要查找的字符串

--from offset

從本地80端口出去包含字符串"hello"的全丟掉.

# iptables -A OUTPUT -s 172.16.0.7 -p tcp --sport 80 -m string --algo kmp --string "hello" -j DROP
# iptables -A INPUT -d 192.168.149.128  -p tcp -m multiport --dports 22,80 -j ACCEPT

[!] --src-range from[-to]

[!] --dst-range from[-to]

ip-range:指定ip段訪問：

只允許這個網段訪問本地的23端口telnet服務.

 # iptables -A INPUT -d 192.168.149.128 -p tcp --dport 23 -m iprange --src-range 172.16.0.9-172.16.0.110 -j ACCEPT
# iptables -A OUTPUT -s 192.168.149.128  -p tcp --sport 23  -m iprange --dst-range 172.16.0.9-172.16.0.110 -j ACCEPT

time：指定時間daunt

--datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

--datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

--timestart hh:mm[:ss]

--timestop hh:mm[:ss]

[!] --weekdays day[,day...]

# iptables -A OUTPUT -s 192.168.149.128 -p tcp --sport 91 -m time --weekdays 1,7 --timestart 08:00:00 --timestop 18:00:00 -j ACCEPT
# iptables -A INPUT -d 192.168.149.128 -p tcp --dport 91 -m time --weekdays 1,7 --timestart 08:00:00 --timestop 18:00:00 -j ACCEPT

string：字符串訪問控制

--algo {bm|kmp}：字符匹配查找時使用的算法

--string：查找的字符串

[!] --hex-string pattern：要查找的字符串，字符編碼轉換

--from ：

--to

# iptables -I OUTPUT -s 192.168.149.128 -p tcp --sport 80 -m string --algo kmp --string "hello" -j DROP

connlimit ：每個ip對指定服務的最大連接數

[!] --connlimit-above n

請求本地80端口，並發大於5的請求全部丟掉.

# iptables -I INPUT -d 192.168.149.128 -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP

limit:報文的速率控制

--limit-burst number ：峰值

--limit rate[/second|/minute|/hour|/day]每秒的速率

# iptables -A INPUT -d 192.168.149.128 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 5 -j ACCEPT

hping3 命令

ab -c 20 -n 2000 http://www.baidu.com/index.html 並發測試命令

網絡工具排名：

sectools.org

state：狀態匹配

ip_conntrack,nf_conntrack Iptables根據這2個模塊完成連接追蹤

--state：

NEW 狀態；第一次連接狀態叫NEW

ESTABLISHED 連接狀態,後續的狀態都是ESTABLISHED

RELATED 相關聯的，命令請求和數據傳輸之間就是RELATED

INVALID 無效連接或者無法識別的連接

法則：

1、對於進入的狀態為ESTABLISHED的都應該放行

2、對於出去的狀態為ESTABLISHED的都應該放行

3、嚴格檢查進入的狀態為NEW的連接

4、所有狀態為INVIALIED的都應該拒絕

實例：

匹配state 狀態為NEW,ESTABLISHED的放行.

調整連接追蹤功能所能容納的最大追蹤連接數：

/proc/sys/net/nf_conntrack_max 定義了onntrack 連接追蹤的最大值

/proc/net/nf_conntrack 定義了當前追蹤的所有連接

/proc/sys/net/netfilter/ 目錄定義個了超時時間

        # iptables -A INPUT -d 172.16.0.177 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
        # iptables -A OUTPUT -s 172.16.0.177 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
        # iptables -A INPUT -d 172.16.0.177 -p icmp --icmp-type 8 -m limit --limit 2/second --limit-burst 5 -m state --state NEW,ESTABLISHED -j ACCEPT
        # iptables -A OUTPUT -s 172.16.0.177 -p icmp -m state --state NEW,ESTABLISHED -j ACCEPT

放行本地80端口，進來時state為NEW,ESTABLISHED，出去時狀態為 ESTABLISHED

  # iptables -A INPUT -d 172.16.0.177 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
        # iptables -A OUTPUT -s 172.16.0.177 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

-j target

        RETURN：返回調用連
        # iptables -N clean_in
        # iptables -t filter -I clean_in -d 172.16.0.255 -p tcp --tcp-flags ALL ALL -jDROP
        # iptables -t filter -I clean_in -d 172.16.0.255 -p tcp --tcp-flags ALL NONE -jDROP
        # iptables -A clean_in -d 172.16.255.255 -p ucmp -j DROP
        # iptables -A clean_in -d 255.255.255.255 -p ucmp -j DROP
        # iptables -A clean_in -d 172.16.0.177 -j RETURN
        # iptables -I INPUT -d 172.16.0.177 -j RETURN
        # iptables -I clean_in 4 -d 172.16.0.177 -m state --state INVALID -j DROP  無法識別的都應該要刪除.

被動服務器放行例如ftp，服務器被動模式下相應端口隨機相應.

1、確保iptables加載ftp協議支持的模塊：ip_nat_ftp,ip_conntrack_ftp

編輯/rtc/sysconfig/iptables-config文件，定義如下參數：

IPTABLES_MODULES="ip_nat_ftp,ip_conntrack_ftp"

手動安裝使用：modprobe ip_nat_ftp

2、方形請求報文的RELATED和ESTABLISHED

        # iptables -A INPUT -d 172.16.0.177 -p tcp --dport 22 -j ACCEPT
        # iptables -A INPUT -d 172.16.0.177 -p tcp --dport 21 -j ACCEPT
        # iptables -A OUTPUT -s 172.16.0.177 -p tcp --sport 22 -j ACCEPT
        # iptables -A OUTPUT -s 172.16.0.177 -p tcp --sport 21 -j ACCEPT
        # iptables -P INPUT DROP
        # iptables -P OUTPUT DROP
        # iptables -A INPUT -d 172.16.0.177 -m state --state RELATED,ESTABLISHED -j ACCEPT
        # iptables -A INPUT -s 172.16.0.177 -m state --state ESTABLISHED -j ACCEPT
        # iptables -I INPUT 2 -d 172.16.0.177 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT
        # iptables -I OUTPUT 1 -s 172.16.0.177 -p tcp -m state --state ESTABLISHED -j ACCEPT

本文出自 “螞蟻” 博客，請務必保留此出處http://215687833.blog.51cto.com/6724358/1946477

Iptables 規則基礎筆記

iptables 規則基礎筆記Iptables規則： Firewall:工作在主機或網絡邊緣，對進出的保溫按事先定義的規則進行檢查，並有匹配到的規則進行處理的一組硬件或者軟件. 用戶請求進來，先到本地的route路由判斷是否訪問的為本地ip，如果不是則查看是否開啟了ip-forward功能，如果開

LINUX iptables規則學習筆記

網絡安全防火墻策略防火墻策略一般分為兩種，一種叫“通”策略，一種叫“堵”策略，通策略，默認門是關著的，必須要定義誰能進。堵策略則是，大門是洞開的，但是你必須有身份認證，否則不能進。所以我們要定義，讓進來的進來，讓出去的出去，所以通，是要全通，而堵，則是要選擇。當我們定義的策略的時候，要分別定義多條功能，其中

Java基礎筆記（四）——命名規則、數據類型

嚴格符號構造函數不能釋放常量存在 null 超過標識符即Java程序中需要自定義的名稱，如變量名、方法名、類名、包名、工程名等。標識符的命名規則： 1.可由字母、數字、下劃線（_）和美元符（$）組成，不能以數字開頭。 2.嚴格區分大小寫。 3.不能是Java

java 基礎筆記第一波~

all 作用域 clas style string oid 代碼 hello pan Java 基礎知識首次復習、 1.作用域其實就是這個變量可以起作用的範圍. 2.有時候碰到的 value ，其實就一個變量名，別想的太復雜。 3.Java 局部變量，實例變量，類

python基礎筆記

賦值區別數字 odi 多行註釋執行 spa tuple 單擊路徑和文件名不要有中文 #！/usr/bin/env python #-*- coding:utf-8 -*- 2.7需要加此行。3.5不用版本區別： python3.5 print(

Android基礎筆記（十三）- 內容提供者原理和簡單使用

暴露 tel java 四大組件 per 存儲建數據庫開發 fun 為什麽要有內容提供者內容提供者的工作原理使用內容解析者對內容提供者進行增刪改查操作利用內容提供者和內容解析者備份手機短信利用內容提供者插入短信為什麽要有內容

python基礎筆記（一）

val 變量下劃線 .py 字母 pass 變量名 del 交互 python解釋器執行python程序的過程：python3 C:\test.py 1.啟動python解釋器（內存中） 2.將C：\test.py 內容從硬盤讀入內存（這一步與文本編輯器是一樣的） 3.執

Python的基礎筆記

c語言運行下載提示微軟.net 語言 2.7 基於交互 python的種類: CPython 　　當我們從Python官方網站下載並安裝好Python 2.7後，我們就直接獲得了一個官方版本的解釋器：CPython。這個解釋器是用C語言開發的，

SQL Server數據庫基礎筆記

狀態常見問題 upd 登錄名 sel use 安裝路徑 windows 步驟啟動和停止SQL Server服務三種形式後臺啟動服務計算機—>右鍵—>管理—>服務和應用程序—>服務—>sql server(MSSQLSERVER)

鳥哥Linux基礎筆記

鳥哥linux基礎筆記--help：支持中文顯示man：純英文界面，比較正統info：支持超鏈接跳轉，三者中最詳細建議：一般使用man命令即可鳥哥Linux基礎筆記

iptables規則

iptables 規則一、針對默認ACCEPT的防火墻策略，只開放某些固定的端口，其他的全部禁用掉iptables -A INPUT -s xxx.xxx.xxx.xxx/24 -j ACCEPTiptables -A INPUT -s xxx.xxx.xxx.xxx -p tcp -j ACCEP

MySql數據庫基礎筆記(一)

ddl 增刪條件兩個 size style del sel into 一、表與庫的概念數據庫管理數據,它是以什麽樣的形式組成的? 生活中的表---->表 table多行多列,傳統的數據庫都是這樣的;聲明了表頭,一個表創建好了,剩下的就是往表中添加數據多張表放在

python3 基礎筆記記錄-3

情況無限來源分配內存 body 過程 linu 特性 sub http://www.cnblogs.com/alex3714/articles/5740985.html本節內容1. 函數基本語法及特性2. 參數與局部變量3. 返回值嵌套函數4.遞歸5.匿名函數6.

java基礎筆記

per pretty else enc 5.0 trac ++ sse label Java 基礎語法一個Java程序可以認為是一系列對象的集合，而這些對象通過調用彼此的方法來協同工作。下面簡要介紹下類、對象、方法和實例變量的概念。對象：對象是類的一個實例，有狀態和行

10.19-10.22 iptables規則備份和恢10.20 firewalld的9個zone

iptables 規則備份 10.19 iptables規則備份和恢復 10.20 firewalld的9個zone 10.21 firewalld關於zone的操作 10.22 firewalld關於service的操作 # 10.19 iptables 規則備份和恢復 - 保存和

Python網絡編程基礎筆記

pytho ftp pcs 第四章 XML 底層服務器端第二章 ice 第一部分：底層網絡第一章：客戶/服務器網絡介紹 1.1 理解TCP基礎 TCP/IP事實上是一些協議的合集。當前大多數使用中的通信都使用TCP協議。為了實現共享，TCP是通過把您要

TensorFlow基礎筆記(0) 參考資源學習文檔

筆記 blank 中文 fly python .org ocs 官方文檔極客學院 1 官方文檔 https://www.tensorflow.org/api_docs/ 2 極客學院中文文檔 http://www.tensorfly.cn/tfdoc/api_docs/p

TensorFlow基礎筆記(4) Tensor Transformation

ces ade col mat none lan flow indices 範圍 https://segmentfault.com/a/1190000008793389 抽取 tf.slice(input_, begin, size, name=None)：按照指定的下

TensorFlow基礎筆記(6) 圖像風格化實驗

iptables規則備份和恢復，firewalld的9個zone，firewalld關於zone的操作，firewalld關於service的操作

firewalld service zone iptables 筆記內容：l 10.19 iptables規則備份和恢復l 10.20 firewalld的9個zonel 10.21 firewalld關於zone的操作l 10.22 firewalld關於service的操作筆記日期：201

Iptables 規則基礎筆記

相關推薦