2. 程式人生 > >iptables 實際操作 之 規則查詢 2

iptables 實際操作 之 規則查詢 2

阿新 發佈:2018-06-17
識別 bytes routing acc filter 數據 size eject tab

在之前的文章中,我們已經總結過,iptables 為我們預定義了4張表,他們分別是raw 表,mangle表,nat表,filter表,不同的表擁有不同的功能。

filter 負責過濾功能,比如允許那些IP 地址訪問,拒絕那些IP地址訪問,允許訪問那些端口,禁止訪問那些端口,filter表會根據我們定義的規則進行過濾,filter表應該是我們最常用到的表了,所以此處,我們一filter表為例,開始學習怎樣實際操作iptables。

一. 查看filter 表的規則

[root@localhost ~]# iptables -t filter -L -nv --line
Chain INPUT

(policy ACCEPT 78 packets, 5830 bytes)
num pkts bytes target prot opt in out source destina
tion
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destina
tion
Chain OUTPUT (policy ACCEPT 51 packets, 5100 bytes)
num pkts bytes target prot opt in out source destina
tion

上例中我們使用 –t 選項,指定要操作的表,使用-L 選項,查看-t 選項對應的表的規則,-L選項的意思是列出規則,所以,上述命令的含義為列出filter表的所有規則。上圖中顯示了3條鏈,INPUT 鏈,FORWARD 鏈,OUTPUT 鏈,每條鏈中都有“過濾”的能力,所以,當我們要定義某條“過濾”的規則時,我們會在filter 表定義,但是具體在那條“鏈”上定義規則,這取決於我們的工作場景。比如,我們需要禁止某個IP地址訪問我們的主機,我們則需要在INPUT 鏈上定義規則。因為,我們在理論總結中已經提到過,報文發往本機時,會經過PREROUTING 鏈於INPUT 鏈,所以,如果我們想要禁止某些報文發往本機,我們只能在PREROUTING鏈和INPUT鏈中定義規則,但是PREROUTING 鏈並不存在於filter 表中,換句話說就是,PREROUTING 關卡天生就沒有過濾的能力,所以,我們只能在IPNPUT鏈中定義,當然,如果是其他工作場景,可能需要在FORWARD鏈或者OUTPUT鏈中定義過濾規則。其實,我們可以省略 –t filter當沒有使用使用-t 選項指定表時,默認認為操作filter表,即iptables –L 表示列出filter 表中的所有規則。

我們還可以只查看指定表中的指定鏈的規則,如下,我們只查看filter表中的INPUT 鏈的規則:

[root@localhost ~]# iptables -L INPUT
Chain INPUT (policy ACCEPT)
target prot opt source destination

我們可以使用 –v 來選項,查看出更多的,更詳細的信息;使用 –n 表示不對ip地址進行名稱反解,直接顯示IP地址,實例如下:

[root@localhost ~]# iptables -L -nv
Chain INPUT (policy ACCEPT 393 packets, 33975 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 200 packets, 18176 bytes)
pkts bytes target prot opt in out source destination

pkts: 對應規則匹配到的報文的個數

bytes: 對應匹配到的報文包的大小總和

target:規則對應的target,往往表示規則對應的“動作”,即規則匹配成功後需要采取的措施。

prot:表示規則對應的協議,是否只針對某些協議應用次規則。

opt:表示規則對應的選項。

in:表示數據包由那個接口(網卡)流入,我們可以設置通過那塊網卡流入的報文需要匹配當前規則。

out:表示數據包由那個接口(網卡)流出,我們可以設置通過那塊網卡流出的報文需要匹配當前規則。

source:表示規則對應的源頭地址,可以是一個IP,也可以是一個網段。

destination:表示規則對應的目標地址。可以是一個IP,也可以是一個網段。

使用 --line-numbers 可顯示規則的編號,--line-numbers 選項可以縮寫成 --line,iptables也可以識別

[root@localhost ~]# iptables -L -nv --line
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination
1 34 2556 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 24 packets, 2256 bytes)
num pkts bytes target prot opt in out source destination

聰明的你,一定會註意到括號裏的內容 policy ACCEPT packets bytes,他們表示的意思如下:

policy 表示當前鏈的默認策略,policy ACCEPT 表示上圖中INPUT的鏈的默認動作為ACCEPT,換句話說就是,默認接受通過INPUT 關卡的所有請求,所以我們在配置INPUT 鏈的具體規則時,應該將需要拒絕的請求配置到規則中,說白了就是“黑名單”機制,默認所有人都能通過,只有指定的人不能通過,當我們把INPU 鏈默認動作設置為接受(ACCEPT),就表示所有人都能通過這個關卡,此時就應該在具體的規則中指定需要拒絕的請求,就 表示只有指定的人不能通過這個關卡,這就是黑名單機制,但是,你一定發現了,上圖中所顯示出的規則,大部分都是接受請求(ACCEPT),並不是想象中的拒絕請求(DROP或者REJECT),這與我們所描述的黑名單機制不符啊,按照道理倆說,默認動作為接受,就應該在具體的規則中配置需要拒絕的人,但是上圖中並不是這樣的,之所以出現上圖中的情況,是因為iptables 的工作機制導致的,上例其實是利用了這些“機制”,完成了所謂的“白名單”機制,並不是我們所描述的“黑名單”。此處我們只要明白policy 對應的動作為鏈的默認動作即可,或者換句話說,我們只要理解,policy為鏈的默認策略即可。

packets 表示當前鏈(上例為INPUT 鏈)默認策略匹配到的包的數量,0 packets 表示策略匹配到0個包。

bytes 表示當前鏈默認策略匹配到的所有包的大小總和。

其實我們可以把packets 和bytes 稱作“計數器”,上圖中的計數器記錄了默認策略匹配到的報文數量與總大小,“計數器”只會在使用 –v 選項時,才會顯示出來。當被匹配到包達到一定數量是,計數器會自動將匹配到的包的大小轉換為可讀性較高的單位,如下圖所示。

[root@localhost ~]# iptables -nvL INPUT
Chain INPUT (policy ACCEPT 55578 packets, 332K bytes)

如果你想要查看精確的計數值,而不是經過可讀性優化過的計數值,那麽你可以使用-x 選項,表示顯示精確的計數值,示例如下。

[root@localhost ~]# iptables -nvxL INPUT
Chain INPUT (policy ACCEPT 380 packets, 33500 bytes)
pkts bytes target prot opt in out source destination
127 9448 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 22

二. 命令小結

1. iptable –t 表名 –L

查看對應表的所有規則,-t 選項指定要操作的表,省略“-t 表名” 時,默認表示操作filter表,-L 表示列出規則,即查看規則。

2. iptables –t 表名 –L 鏈名

查看指定表的指定鏈中的規則

3. iptables –t 表名 –v –L

查看指定表的所有規則,並且顯示更詳細的信息(更多字段),-v 表示 verbose,表示詳細的,冗長的,當使用 –v 選項時,會顯示出“計數器” 的信息,由於上例中使用的選項都是短選項,所以一般簡寫成為iptables –t 表名 –vL

4. iptables –t 表名 –n –L

表示查看表的所有規則,並且在顯示規則時,不對規則中的IP 或者端口進行名稱反解,-n 選項表示不解析IP 地址。

5. iptables –lin-number –t 表名 –L

表示查看表的所有規則,並且顯示規則的序號,—line-numbers 選項表示顯示規則的序號,註意,此選項為長選項,不能與其他短選項合並,不過此選項可以簡寫為 –line 註意,簡寫後仍然是兩條橫杠,仍然是長選項。

6. iptables –t 表名 –v –x –L

表示查看表中的所有規則,並且顯示更詳細的信息 (-v 選項),不過,計數器中的信息顯示為精確的計數值,而不是顯示為經過可讀優化的計數值,-x 選項表示顯示計數器的精確值。

7. iptables –line –t filter –nvxL

為了方便會將短選項進行合並,將選項粘合在一起,寫成如上命令。

8. iptables –line –t filter –nvxL INPUT

可以只查看某張表中的某條鏈,此處一filter 表的INPUT 鏈為例

iptables 實際操作 之 規則查詢 2

相關推薦

iptables 實際操作 規則查詢 2

識別 bytes routing acc filter 數據 size eject tab 在之前的文章中,我們已經總結過,iptables 為我們預定義了4張表,他們分別是raw 表,mangle表,nat表,filter表,不同的表擁有不同的功能。 fil

《MySQL 學習筆記》 表操作查詢(十)

練習 sts 學習筆記 構建 子查詢 mysql som 運算符 auto SQL語句之使用子查詢 目錄: 構建查詢練習記錄 帶any,some,關鍵字的子查詢 帶all關鍵字的子查詢 帶exists關鍵字的子查詢 帶in關鍵字的子查詢 帶比較運算符

SQL Server溫故系列(2):SQL 資料操作 CRUD 簡單查詢

1、查詢語句 SELECT 1.1、查詢語句的 SELECT 子句 1.2、查詢語句的 FROM 子句 1.2.1、內連線查詢 INNER JOIN 1.2.2、外連線查詢 OUTER JOIN 1.2.3、交叉連線查詢 CROSS JOIN 1.3、查詢語句的 WHERE 子句 1.4、查詢語句的

elasticsearch基本操作--使用QueryBuilders進行查詢

constant false cor ble conn 中一 listen terms int /** * 系統環境: vm12 下的centos 7.2 * 當前安裝版本: elasticsearch-2.4.0.tar.gz */ QueryBuilder 是es

大數據學習Scala中main函數的分析以及基本規則2

語言 python rgs 數字 popu 結束 圖片 區別 返回 一、main函數的分析 首先來看我們在上一節最後看到的這個程序,我們先來簡單的分析一下。有助於後面的學習 object HelloScala { def main(args:

web自動化2-selenium基本操作元素定位

main .com blog text lin div spa wid 操作 id driver.find_elenment_by_id("kw") name driver.find_element_by_name("kw") class name diver.find

laravel 數據庫操作查詢構造器

操作 大數 avg 李冰冰 數據庫操作 排序 span var table /** * 新增數據 * / $bool = DB::table(‘wt_001‘)->insert([‘username‘=>‘冰

Django項目的ORM操作--模型類數據查詢

ron 基本 import lte nth true 實例對象 exclude false 1.查詢基本格式及理解: 類名.objects.[查詢條件]   例如我們要查詢數據庫中一張表(bookinfo)的所有數據,sql語句為:select * from bookinf

mysql數據操作多表查詢

子查詢 any 資源 splay having span left join 返回 union 一:介紹 主題:   多表連接查詢   符合條件連接查詢   子查詢 準備表 #建表 create table department( id int, name varcha

tp5.1 高級查詢 表裏2字段比較大小

ret total number HERE ber () 5.1 time() 高級 $map = [ ‘status‘ => 1, ‘is_show‘ => 1,];$result =

Linuxiptables(六、rich規則)

允許 permanent -- 生效 基本 最大 ipv6 strong tables 其它規則 當基本firewalld語法規則不能滿足要求時,可以使用以下更復雜的規則 rich-rules 富規則,功能強,表達性語言 Direct configuration

[Swift4.2實際操作]九、完整例項-(3)建立和安裝開發證書、釋出證書及開發證書配置檔案、釋出證書配置檔案

本文將為你演示,如何建立開發證書和釋出證書,以及其他輔助內容。首先開啟瀏覽器,進入【蘋果開發者網站】輸入【Apple ID】和【密碼】,點選登入按鈕,進入開發者管理後臺。   點選左側的【Membership(會員關係)】,進入會員關係頁面,在會員狀態頁面,顯示了你的開發者賬號型別,組織資訊等,在此可以檢視賬

[Swift4.2實際操作]九、完整例項-(4)在專案中使用CocoaPod管理類庫和外掛

本文將為你演示,如何使用CocoaPod第三方類庫管理工具,在專案中安裝未來需要使用的類庫。首先建立一份文字檔案。可以使用一個指令碼建立檔案,你可以採用自己的方式是建立一份文字檔案,接著在檔名稱上點選修改檔名稱。檔名稱:Podfile然後雙擊開啟該檔案。接著輸入Pod配置資訊。//設定應用程式所支援的系統版本

[Swift4.2實際操作]九、完整例項-(5)建立BaseViewController作為控制器的基類

本文將給專案中的所有檢視控制器,建立一份基類。該基類用來定義一些共用的屬性和方法。 首先在用來放置檢視控制器類的資料夾上點選滑鼠右鍵,開啟右鍵 選單。 選擇【New File】建立檔案選項。 在彈出的檔案模板選擇視窗中,保持預設的選項, 然後點選【Next】下一步按鈕,進入下一步設定頁面。輸入類名、父

[Swift4.2實際操作]九、完整例項-(6)建立App歡迎介面

1 import UIKit 2 3 class WelcomeViewController: BaseViewController { 4 5 override func viewDidLoad() { 6 super.viewDi

[Swift4.2實際操作]九、完整例項-(7)登入頁面:建立自定義檢視及相關元件

本文將開始建立登入頁面,首先建立該頁面所需的一些自定義元件:做為登入按鈕的自定義檢視物件。在【RegLogin】組的名稱上點選滑鼠右鍵,開啟右鍵選單。【New File】->【Cocoa Touch Class】建立新檔案【RegButton.swift】Name:RegButtonSubclass:S

Android初試--Android中的檔案操作SDcard操作(2)

SDCARD:通俗的說,就像外接硬碟。 在模擬器中使用SDCard,你需要先建立一張SDCard卡(當然不是真的SDCard,只是映象檔案)。建立SDCard可以在Eclipse建立模擬器時隨同建立,也可以使用DOS命令進行建立,在DOS視窗中進入android SDK安裝路徑的tools

python資料查詢操作 一場缺少db.commit()引發的血案……

---恢復內容開始--- 最近大作業用到了python操作資料庫的內容。涉及的庫是pymmysql,我就不詳細介紹這個庫的操作了,直接奔入主題--->開整  背景:        涉及程式中一個實時檢視資料表中state欄位==1的功能,我把這個功能單

[Xcode10 實際操作]二、檢視與手勢-(2)UIView檢視的層次關係

本文將演示建立三個檢視物件,其中第二個檢視是第三個檢視的父檢視。 現在開始編寫程式碼,實現這項功能 1 import UIKit 2 3 class ViewController: UIViewController { 4 5 override func viewDid

[Xcode10 實際操作]二、檢視與手勢-(10)UITapGestureRecognizer手勢單擊

本文將演示使用檢視的手勢功能,完成檢視的互動操作。 1 import UIKit 2 3 class ViewController: UIViewController { 4 5 override func viewDidLoad() { 6 supe