檢視iptables表中鏈的命令,如檢視filter表:
iptables -t filter -liptables -t table 命令 chain rules -j target
table可以是filter nat mangle 預設為filter
命令-p 定義預設策略
-a 在規則列表的最後增加一條規則
-i 在指定的位置插入一條規則
-d 刪除一條規則
-r 替換規則列表中的某個規則
-f 刪除表中所有的規則
以上規則從上往下匹配,匹配到合適的規則資料報則不繼續往下匹配,如上圖,filter表中匹配到input鏈的icmp,則下面的規則不走。反之,如果input鏈下面的規則都不匹配,則匹配預設策略(pollicy accept)
修改預設策略命令:
iptables -t filter -p forward drop//將上圖的accept修改為drop
iptables -t filter -i input -p icmp -j drop
//-i input表示將該規則插入到input鏈的第一條規則
iptables -t filter -l
chain input (policy accept)
target prot opt source destination
drop icmp -- anywhere anywhere
reject all
-- anywhere anywhere
//刪除該規則
iptables -t filter -d input 1
iptables 匹配選項
-i 指定資料報從那個網路介面進入,如ppp0,eth0和eth1等
-o 指定資料報從哪個網路介面輸出,如ppp0,eth0和eth1等
-p 協議型別 指定資料報匹配的協議,如tcp,udp,和icmp等
-s 指定資料報匹配的源位址
-d 指定資料報的目標位址
–sport 指定資料報匹配的源埠,可以使用「起始埠號:結束埠號」的格式指定乙個範圍的埠
– dport 目標埠號:指定資料報匹配的目標埠號,可以使用」起始埠號:結束埠號「的格式指定乙個範圍的埠
/*初始環境
路由器la口網路介面為br0,預設ip為192.168.0.3.
wan口為eth2.2,上層路由器預設ip為192.168.5.1.預設路由走eth2.2
*/# ip route
192.168
.5.1 via 192.168
.5.1 dev eth2.2 metric 1
255.255
.255
.255 dev br0 scope link
192.168
.5.0/24 dev eth2.2 proto kernel scope link src 192.168
.5.105 metric 11
192.168
.0.0/24 dev br0 proto kernel scope link src 192.168
.0.3
default via 192.168
.5.1 dev eth2.2 equalize
//1.設定路由器網路介面禁止電腦ping路由器
iptables -t filter -i input -i eth2.1 -p icmp -j drop
//因為:電腦ping路由器走的是input鏈
//2.設定路由器網路介面禁止電腦ping通上層路由器192.168.5.1,但是能ping通路由器本身192.168.0.3
iptables -t filter -i forward -o eth2.2 -p icmp -j drop
//因為:電腦ping上層路由器,需要192.168.0.3的路由器做路由**,走的是forward鏈,然後通過eth2.2介面出去,查詢上層路由192.168.5.1,禁止出去的網路介面**資料即可
//禁止電腦訪問192.168.0.3路由器的介面
iptables -t filter -i input -p tcp --dport 80 -j drop
//因為:http介面的目的埠是80
參考:
只做snat時,我們並不用手動進行dnat設定,iptables會自動維護nat表,並將響應報文的目標位址轉換回來。
配置dnat時,並不能正常的dnat,經過測試發現,將相應的snat同時配置後,即可正常dnat。
在iptables防火牆下開啟vsftpd的埠
在開啟vsftpd埠後發現用客戶端工具能登陸,但無法瀏覽檔案和新建檔案.此時看了一下ftp的協議,發現ftp有主動模式和被動模式.在服務端開21埠是讓客戶端進來,並沒有出去的埠,還在服務端開啟出去的埠,最後還要新增ftp相應的模組,整個操作有點複雜,今天寫下來對自己以後加深印像.1.安裝vsftpd...
在iptables防火牆下開啟vsftpd的埠
在開啟vsftpd埠後發現用客戶端工具能登陸,但無法瀏覽檔案和新建檔案.此時看了一下ftp的協議,發現ftp有主動模式和被動模式.在服務端開21埠是讓客戶端進來,並沒有出去的埠,還在服務端開啟出去的埠,最後還要新增ftp相應的模組,整個操作有點複雜,今天寫下來對自己以後加深印像.1.安裝vsftpd...
iptables 配置例項
iptables f iptables x iptables f t mangle iptables t mangle x iptables f t nat iptables t nat x 首先,把三個表清空,把自建的規則清空。iptables p input drop iptables p ou...