iptables-save 输出格式详解

前言格式详解总结

前言

我们都知道:iptables是linux系统下用来配置netfilter子系统的一个client tool。

配套的常用命令有:
iptables -- 对表、链、规则进行配置
iptables-save -- dump 已配置的规则,可以用 > 重定向到一个文件中
iptables-restore -- 从之前导出的iptable规则配置文件加载规则。

今天主要讲一下iptables-save的输出格式怎么看:
(网上找了很久没找到相关的介绍,只能自己来了…)

格式详解

[email protected] # iptables-save -t nat -c

说明:-t 表示要dump的表(不指定的话dump所有表的配置)。-c 表示输出中显示每条规则当前报文计数。

# Generated by iptables-save v1.4.21 on Tue Jan 15 15:42:32 2019--这是注释*nat-- 这表示下面这些是nat表中的配置:PREROUTING ACCEPT [5129516:445315174]-- :PREROUTING ACCEPT,表示nat表中的PREROUTING 链默认报文策略是接受(匹配不到规则继续) ,

-- [5129516:445315174] 即[packet, bytes],表示当前有5129516个包(445315174字节)经过nat表的PREROUTING 链:INPUT ACCEPT [942957:151143842]:OUTPUT ACCEPT [23898:3536261]:POSTROUTING ACCEPT [23898:3536261]-- 解释同上:DOCKER - [0:0]-- 解释同上(此条是自定义链)---------- 下面开始按条输出所有规则----------[4075:366986] -A PREROUTING -m addrtype --dst-type LOCAL -j DOCKER-- [4075:366986]即[packet, bytes],表示经过此规则的包数,字节数。 后面部分则是用iptables命令配置此规则的命令(详解选项可参考iptables帮助)。[0:0] -A OUTPUT ! -d 127.0.0.0/8 -m addrtype --dst-type LOCAL -j DOCKER[0:0] -A POSTROUTING -s 172.17.0.0/16 ! -o docker0 -j MASQUERADE[2:188] -A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN[0:0] -A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN[0:0] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535[0:0] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535[0:0] -A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE[0:0] -A DOCKER -i docker0 -j RETURN--以上规则同第一条规则的解释COMMIT-- 应用上述配置# Completed on Tue Jan 15 15:42:32 2019

哈哈,是不是很简单:)

总结

其实iptables-save输出的是iptable规则的当前配置,是从配置角度输出的(方便由iptable-restore解析并重新配置),(-c参数也可输出包计数信息)

如果想查看当前规则的状态,用iptables命令则更清晰明了。

举例:

[email protected] # iptables --table filter --list VXLAN-INPUT --line-numbers -n -v

Chain VXLAN-INPUT (1 references)num pkts bytes target prot opt in out source destination 1 0 0 DROP all -- storage_data0 * 0.0.0.0/0 0.0.0.0/0 2 0 0 DROP all -- storage_data1 * 0.0.0.0/0 0.0.0.0/0 3 0 0 DROP all -- brcps * 0.0.0.0/0 0.0.0.0/0 4 0 0 DROP all -- external_api * 0.0.0.0/0 0.0.0.0/0 5 0 0 DROP all -- external_om * 0.0.0.0/0 0.0.0.0/0 6 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0

-- 这个输出就不用解释了吧,有表头,很清晰!

iptables --table filter --list VXLAN-INPUT --line-numbers -n -v 命令中参数解释:

  1. --table filter --list VXLAN-INPUT :输出filter 表的VXLAN-INPUT链下的所有规则。
  2. --line-numbers:显示规则号(按号删除规则很方便)。
  3. -v:显示流量统计信息。

原文地址:https://www.cnblogs.com/sixloop/p/iptables-save-help.html

时间: 2024-10-15 21:06:06

iptables-save 输出格式详解的相关文章

iptables防火墙配置详解

iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表. filter负责过滤数据包,包括的规则链有,input,output和forward: nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output: mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING: inpu

iptables Data filtering详解

内容简介防火墙的概述iptables简介iptables基础iptables语法iptables实例案例详解(一)防火墙的简介防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性.它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务.它可以根据网络传输的类型决定IP包是否可以传进或传出内部网.防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制

CentOS 7下 iptables/netfilter使用详解(一)

一.理论部分  1.什么是防火墙? 防火墙:(英文:Firewall),隔离工具 防火墙其实就是一个组件,这个组件能够屏蔽来自于互联网,或来自于企业内部的用户的攻击操作(DDos攻击,端口扫描等等):主要目的是防范非授权的访问的!它工作于网络或主机的边缘(通信报文的进出口),对于进出本网络或主机的报文根据事先定义的检查规则做匹配检测,对于能够被规则匹配到的报文做出相应处理,时刻检查出入防火墙的所有数据包,决定拦截或是放行哪些数据包. 它需要对我们主机上的或者是网络内的所有主机上的网络通信操作做一

iptables基础知识详解

iptables防火墙可以用于创建过滤(filter)与NAT规则.所有Linux发行版都能使用iptables,因此理解如何配置 iptables将会帮助你更有效地管理Linux防火墙.如果你是第一次接触iptables,你会觉得它很复杂,但是一旦你理解iptables的工 作原理,你会发现其实它很简单. 首先介绍iptables的结构:iptables -> Tables -> Chains -> Rules. 简单地讲,tables由chains组成,而chains又由rules组

Linux服务器 iptables 防火墙配置详解

导读: 很好的一篇关于Linux防火墙 iptables配置, linux防火墙配置很关键, 这牵扯到服务器安全, 安全不是绝对的,但是iptables配的好可以杜绝大多数灰色试探. 转载到老吧博客了, 更多iptables配置可以咨询作者. linux iptables 防火墙配置非常重要, 我们来配置一个filter表的防火墙. 查看本机关于IPTABLES的设置情况 [[email protected] ~]# iptables -L -n 如果你在安装linux时没有选择启动防火墙,什么

Linux下针对路由功能配置iptables的方法详解

作为公司上网的路由器需要实现的功能有nat地址转换.dhcp.dns缓存.流量控制.应用程序控制,nat地址转换通过iptables可以直 接实现,dhcp服务需要安装dhcpd,dns缓存功能需要使用bind,流量控制可以使用tc,应用程序控制:例如对qq的封锁可以使用 netfilter-layer7-v2.22+17-protocols-2009-05-28.tar.gz来实现 1.网络规划 操作系统是centos5.8 2.安装dhcpd yum install dhcp-3.0.5-3

iptables防火墙原理详解

1. netfilter与iptables Netfilter是由Rusty Russell提出的Linux 2.4内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤.数据包处理.地址伪装.透明代理.动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤.包速率限制等.Iptables/Netfilter的这些规则可以通过灵活组合,形

iptables 基本配置详解

什么是防火墙 隔离本地网络与外界网络之间的一道防御系统,通俗的说,防火墙就是防火的墙,主要目的就是隔离火并建立安全区域,所以防火墙对于互联网或计算机而言可能是工作在主机或网络的边缘(计算机的边缘可能是一块网卡,而网络边缘可能是路由),对于进出数据的报文事先定义好的规则中的标准进行检查.监控,一旦符合标准的话,我们就采取由这个规则定义的处理动作,我们称为主机防火墙或网络防火墙. Linux的网络防火墙: 有两组框架,实现防火功能的主要是netfilter, Netfilter:是内核中的过滤框架,

C#中Console.WriteLine()函数输出格式详解

格式项都采用如下形式: {index[,alignment][:formatString]} 其中"index"指索引占位符,这个肯定都知道: ",alignment"按字面意思显然是对齐方式,以","为标记: ":formatString"就是对输出格式的限定,以":"为标记. alignment:可选,是一个带符号的整数,指示首选的格式化字段宽度.如果“对齐”值小于格式化字符串的长度,“对齐”会被忽略,