iptables命令使用详解

iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。

环境

操作系统:CentOS7.3

ip地址:172.16.55.7

1.iptables中的“四表五链”及“堵通策略”

A.“四表”是指,iptables的功能——filter, nat, mangle, raw.

    filter, 控制数据包是否允许进出及转发(INPUT、OUTPUT、FORWARD),可以控制的链路有input, forward, output

    nat, 控制数据包中地址转换,可以控制的链路有prerouting, input, output, postrouting

    mangle,修改数据包中的原数据,可以控制的链路有prerouting, input, forward, output, postrouting

    raw,控制nat表中连接追踪机制的启用状况,可以控制的链路有prerouting, output

  注:在centos7中,还有security表,不过这里不作介绍

B.“五链”是指内核中控制网络的NetFilter定义的五个规则链,分别为

    PREROUTING, 路由前

    INPUT, 数据包流入口

    FORWARD, 转发管卡

    OUTPUT, 数据包出口

    POSTROUTING, 路由后

C.堵通策略是指对数据包所做的操作,一般有两种操作——“通(ACCEPT)”、“堵(DROP)”,还有一种操作很常见REJECT.

谈谈REJECT和DROP之间的区别,Ming写了一封信,向Rose示爱。Rose如果不愿意接受,她可以不回应Ming,这个时候Ming不确定Rose是否接到了信;Rose也可以同样写一封信,在信中明确地拒绝Ming。前一种操作就如同执行了DROP操作,而后一种操作就如同REJECT操作。

2.iptables命令的语法规则

iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION

  -t table,是指操作的表,filter、nat、mangle或raw, 默认使用filter

  COMMAND,子命令,定义对规则的管理

  chain, 指明链路

  CRETIRIA, 匹配的条件或标准

  ACTION,操作动作

  例如,不允许10.8.0.0/16网络对80/tcp端口进行访问,

iptables -A INPUT -s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 -j DROP

  查看iptables列表

iptables -nL

3.链管理

  -N, --new-chain chain:新建一个自定义的规则链;

  -X, --delete-chain [chain]:删除用户自定义的引用计数为0的空链;

  -F, --flush [chain]:清空指定的规则链上的规则;

  -E, --rename-chain old-chain new-chain:重命名链;

  -Z, --zero [chain [rulenum]]:置零计数器;  

  -P, --policy chain target, 设置链路的默认策略

4.规则管理

  -A, --append chain rule-specification:追加新规则于指定链的尾部;

  -I, --insert chain [rulenum] rule-specification:插入新规则于指定链的指定位置,默认为首部;

  -R, --replace chain rulenum rule-specification:替换指定的规则为新的规则;

  -D, --delete chain rulenum:根据规则编号删除规则;

5.查看规则 

  -L, --list [chain]:列出规则;

  -v, --verbose:详细信息;

    -vv, -vvv  更加详细的信息

  -n, --numeric:数字格式显示主机地址和端口号;

  -x, --exact:显示计数器的精确值;

  --line-numbers:列出规则时,显示其在链上的相应的编号;

  -S, --list-rules [chain]:显示指定链的所有规则;

  查看规则的一般内容:

  

6.匹配条件

匹配条件包括通用匹配条件和扩展匹配条件。

通用匹配条件是指针对源地址、目标地址的匹配,包括单一源IP、单一源端口、单一目标IP、单一目标端口、数据包流经的网卡以及协议。

扩展匹配条件指通用匹配之外的匹配条件。

6.1通用匹配条件

[!] -s, --source address[/mask][,...]:检查报文的源IP地址是否符合此处指定的范围,或是否等于此处给定的地址;

[!] -d, --destination address[/mask][,...]:检查报文的目标IP地址是否符合此处指定的范围,或是否等于此处给定的地址;

[!] -p, --protocol protocol:匹配报文中的协议,可用值tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh 或者 "all", 亦可以数字格式指明协议;
[!] -i, --in-interface name:限定报文仅能够从指定的接口流入;only for packets entering the INPUT, FORWARD and PREROUTING chains.

[!] -o, --out-interface name:限定报文仅能够从指定的接口流出;for packets entering the FORWARD, OUTPUT and POSTROUTING chains.

6.2扩展匹配条件

  • 隐含扩展匹配条件

-p tcp:可直接使用tcp扩展模块的专用选项;
  [!] --source-port,--sport port[:port] 匹配报文源端口;可以给出多个端口,但只能是连续的端口范围

  [!] --destination-port,--dport port[:port] 匹配报文目标端口;可以给出多个端口,但只能是连续的端口范围 ;

  [!] --tcp-flags mask comp 匹配报文中的tcp协议的标志位;Flags are: SYN ACK FIN RST URG PSH ALL NONE;
    mask:要检查的FLAGS list,以逗号分隔;
    comp:在mask给定的诸多的FLAGS中,其值必须为1的FLAGS列表,余下的其值必须为0;

  [!] --syn: --tcp-flags SYN,ACK,FIN,RST SYN

-p udp:可直接使用udp协议扩展模块的专用选项:

  [!] --source-port,--sport port[:port]

  [!] --destination-port,--dport port[:port]

-p icmp
  [!] --icmp-type {type[/code]|typename}

    0/0:echo reply

    8/0:echo request

  • 显式扩展匹配条件

  必须用-m option选项指定扩展匹配的类型,常见的有以下几种,

1、multiport

以离散或连续的 方式定义多端口匹配条件,最多15个;

  [!] --source-ports,--sports port[,port|,port:port]...:指定多个源端口;

  [!] --destination-ports,--dports port[,port|,port:port]...:指定多个目标端口;

iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -j ACCEPT

2、iprange

以连续地址块的方式来指明多IP地址匹配条件;

  [!] --src-range from[-to]

  [!] --dst-range from[-to]

# iptables -I INPUT -d 172.16.0.7 -p tcp -m multiport --dports 22,80,139,445,3306 -m iprange --src-range 172.16.0.61-172.16.0.70 -j REJECT

3、time

匹配数据包到达的时间

  --timestart hh:mm[:ss]

  --timestop hh:mm[:ss]

  [!] --weekdays day[,day...]

  [!] --monthdays day[,day...]

  --datestart YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

  --datestop YYYY[-MM[-DD[Thh[:mm[:ss]]]]]

  --kerneltz:使用内核配置的时区而非默认的UTC;

4、string
匹配数据包中的字符

  --algo {bm|kmp}

  [!] --string pattern

  [!] --hex-string pattern

  --from offset

  --to offset

~]# iptables -I OUTPUT -m string --algo bm --string "gay" -j REJECT


5、connlimit
用于限制同一IP可建立的连接数目

  --connlimit-upto n

  --connlimit-above n

~]# iptables -I INPUT -d 172.16.0.7 -p tcp --syn --dport 22 -m connlimit --connlimit-above 2 -j REJECT


6、limit
限制收发数据包的速率

  --limit rate[/second|/minute|/hour|/day]

  --limit-burst number

~]# iptables -I OUTPUT -s 172.16.0.7 -p icmp --icmp-type 0 -j ACCEPT


7、state
限制收发包的状态

  [!] --state state

  INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED.

  NEW: 新连接请求;

  ESTABLISHED:已建立的连接;

  INVALID:无法识别的连接;

  RELATED:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接;

  UNTRACKED:未追踪的连接;

state扩展:

内核模块装载:
  nf_conntrack
  nf_conntrack_ipv4

手动装载:
  nf_conntrack_ftp

追踪到的连接:
  /proc/net/nf_conntrack

调整可记录的连接数量最大值:
  /proc/sys/net/nf_conntrack_max

超时时长:
  /proc/sys/net/netfilter/*timeout*

  

时间: 2024-10-12 16:50:36

iptables命令使用详解的相关文章

iptables命令的详解

Linux系统中防火墙:iptables/netfilter (既可以当主机防火墙,又可以当网络防火墙) netfilter:linux内核中的防火墙的框架,Feamework,防火墙功能实现的主体: iptables:专门为netfilter编写的数据报文的匹配规则的用户空间的应用程序工具: 在使用iptables防火墙的时候,我们建议将Centos 7 中的 firewalld 关闭,并停止运行: [[email protected] ~]# systemctl stop firewalld

iptables Data filtering详解

内容简介防火墙的概述iptables简介iptables基础iptables语法iptables实例案例详解(一)防火墙的简介防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它能增强机构内部网络的安全性.它通过访问控制机制,确定哪些内部服务允许外部访问,以及允许哪些外部请求可以访问内部服务.它可以根据网络传输的类型决定IP包是否可以传进或传出内部网.防火墙通过审查经过的每一个数据包,判断它是否有相匹配的过滤规则,根据规则的先后顺序进行一一比较,直到满足其中的一条规则为止,然后依据控制

【转】Snort 命令参数详解

转载自<Snort 命令参数详解> 用法:        snort -[options] <filters> 选项: -A <alert> 设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介. -b 用二进制文件保存网络数据包,以应付高吞吐量的网络. -B <mask> 将IP地址信息抹掉,去隐私化. -c <cf> 使用配置文件<cf>,这会使得snort进入IDS模式,并从<

Pip 命令使用详解

Pip 命令使用详解 2015-01-06 21:44 3033人阅读 评论(0) 收藏 举报  分类: debian(3)  redis(1)  python 1.pip下载安装1.1 pip下载 1 # wget "https://pypi.python.org/packages/source/p/pip/pip-1.5.4.tar.gz#md5=834b2904f92d46aaa333267fb1c922bb" --no-check-certificate 1.2 pip安装 1

iptables防火墙配置详解

iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表. filter负责过滤数据包,包括的规则链有,input,output和forward: nat则涉及到网络地址转换,包括的规则链有,prerouting,postrouting和output: mangle表则主要应用在修改数据包内容上,用来做流量整形的,默认的规则链有:INPUT,OUTPUT,NAT,POSTROUTING,PREROUTING: inpu

linux wget 命令用法详解(附实例说明)

Linux wget是一个下载文件的工具,它用在命令行下.对于Linux用户是必不可少的工具,尤其对于网络管理员,经常要下载一些软件或从远程服务器恢复备份到本地服务器.如果我们使用虚拟主机,处理这样的事务我们只能先从远程服务器下载到我们电脑磁盘,然后再用ftp工具上传到服务器.这样既浪费时间又浪费精力,那不没办法的事.而到了Linux VPS,它则可以直接下载到服务器而不用经过上传这一步.wget工具体积小但功能完善,它支持断点下载功能,同时支持FTP和HTTP下载方式,支持代理服务器和设置起来

linux nc命令使用详解(转)

linux nc命令使用详解 功能说明:功能强大的网络工具 语 法:nc [-hlnruz][-g<网关...>][-G<指向器数目>][-i<延迟秒数>][-o<输出文件>][-p<通信端口>][-s<来源位址>][-v...][-w<超时秒数>][主机名称][通信端口...] 参 数: -g<网关> 设置路由器跃程通信网关,最丢哦可设置8个. -G<指向器数目> 设置来源路由指向器,其数值为4的

【转】 wget 命令用法详解

wget是在Linux下开发的开放源代码的软件,作者是Hrvoje Niksic,后来被移植到包括Windows在内的各个平台上.它有以下功能和特点:(1)支持断点下传功能:这一点,也是网络蚂蚁和FlashGet当年最大的卖点,现在,Wget也可以使用此功能,那些网络不是太好的用户可以放心了:(2)同时支持FTP和HTTP下载方式:尽管现在大部分软件可以使用HTTP方式下载,但是,有些时候,仍然需要使用FTP方式下载软件:(3)支持代理服务器:对安全强度很高的系统而言,一般不会将自己的系统直接暴

Mysql导入导出工具Mysqldump和Source命令用法详解

mysqldump -u 用户名 -p [--opt] DATABASENAME [Table] >导出SQL文件名 例子: mysqldump -h host -u user -p --opt databasename [table] > /home/user/databasename.sql 使用Mysqldump导出数据表结构 mysqldump -u root -p --no-data mysql user >D:\PHPWeb\sqlbackup\mysql_user.sql