iptable防火牆詳解

2021-09-20 18:07:28 字數 3244 閱讀 5761

iptable防火牆詳解

一.基本格式

1.  iptable  [-t  表]  命令選項  [連名]   匹配條件   [-j 動作]

2.常用命令選項如下:

二.舉例

# iptable -t filter -f【清空filter表中所有規則】

# iptable -t filter -z【清空filter表中的計數器值】

#iptable -t filter  -x 【清除filter表中自定義連】

# iptable -t filter -p input drop 【設定input連預設策略為drop】

# iptable -t filter -p output drop

# iptable -t filter -p forwrod drop

# iptable -t filter -a input -p tcp -j accept 【在input連最後新增一條允許tcp協議的資料報進入的規則】

# iptable -t filter -r input 1 -p tcp -j drop 【替換input連的第1條規則為拒絕tcp資料報進入】

# iptable -t nat -vnl  --line-number  【以詳細的、數字的格式列出nat表中的所有規則】

# iptable -t nat -d postrouting 1  【刪除nat表postrouting 連中的第1條規則】

三.條件匹配

1. 協議匹配:用於檢查資料報使用的協議,符合規則就允許,反之拒絕。允許使用的協議名在/etc/protocols檔案中。

常用的協議有tcp,udp,icmp,ip 和all。【  -p  協議名 】

# iptable -i input -p icmp  -j reject 【拒絕進入防火牆本身的icmp資料報】

# iptable -a forward -p udp -j accept  【允許**udp的所有資料報】

2. 位址匹配:用於檢查資料報的位址是否符合規則,包括源位址和目的位址。【-s  源位址, -d  目的位址】

# iptable -a forward -s 10.0.0.0/8   -j drop  【拒絕**來自10.0.0.0/8 網段的資料報】

# iptable -a forward -d 80.0.0.0/8   -j drop  【 拒絕**目的是80.0.0.0/8 網段的資料報】

3.埠匹配:用於檢查資料報的tcp或udp埠,需要和 「-p 協議型別」 一起使用【-sport  源埠,-dport 目的埠】

# iptables -a forward -s 10.0.0.0/8  -p tcp  --dport  80    -j accept 【允許**來自10.0.0.0/8網段,目的埠是80的資料報】

# iptables -i forward -s 10.0.0.0/8  -p tcp  --sport 21     -j accept【允許**來自10.0.0.0/8網段,源埠是21的資料報】

4.介面匹配:用於檢查資料報從防火牆那個介面進入或出去,來判斷是否允許。

# iptables -a forward  -i eth0 -s 10.0.0.0/8 -p tcp --dport 80  -j accept

【允許**從eth0進入,來自10.0.0.0/8網段,使用tcp 協議,目的埠椒80的資料報】

# iptables -a input -i eth0  -s 80.0.0.0/8  -j dorp 【拒絕從eth0進入,來自80.0.0.0/8的資料報】

5.snat轉換:一般linux充當閘道器伺服器時使用

snat只能用在nat表的postrouting連,用於對源位址進行轉換。要結合 --to 使用。

# iptables -t nat -a postrouting -s 10.0.0.0/8  -j snat  --to 202.106.1.1

【將來自10.0.0.0/8網段的所有資料報的源位址轉為202.106.1.1】

# iptables -t nat -a postrouting  -i eth0  -s 80.0.0.0/8  -p tcp --dport 25 -j snat  --to 202.106.1.1

6.dnat轉換:只能用在nat表中的prerouting連,用於對目的位址或埠進行轉換。

# iptables -t nat -a prerouting -i eth1 -d 202.106.1.1  -p tcp --dport  80 -j dnat --to 10.0.0.10

【將從eth1 進入,目的位址是202.106.1.1,使用tcp 協議,目的埠是80的資料報的目的位址轉為10.0.0.1】

7.masquerade:偽裝,是snat的特例。

# iptables  -t nat  -a postrouting -s 10.0.0.0/8 -o eth1  -j masquerade

【將來自10.0.0.0/8網段,從eth1出去的資料報的源位址偽裝為eth1介面位址】

四.拓展模組

1.按**mac位址匹配

# iptables -t filter -a forward -m --mac-source  00:02:b2:03:a5:f6  -j drop

【拒絕**來自該mac位址的資料報】

2.按多埠或連續埠匹配

20:      表示20以後的所有埠

20:100   表示20到100的埠

:20     表示20之前的所有埠 

-m  multiport [--prots, --sports,--dports] 

#  iptables -a input -p tcp -m  multiport  --dports 21,20,25,53,80  -j accept 【多埠匹配】

#  iptables -a input -p tcp -dport  20:    -j accept

#  iptables -a input -p tcp  -sport 20:80   -j accept

#  iptables -a input -p tcp  -sport  :80    -j accept

3.還可以按資料報速率和狀態匹配

-m  limit  --limit 匹配速率   如: -m  limit --limit 50/s  -j accept

-m  state  --state  狀態     如: -m  state --state invalid,related  -j accept

iptable防火牆詳解

一.基本格式 1.iptable t 表 命令選項 連名 匹配條件 j 動作 2.常用命令選項如下 二.舉例 iptable t filter f 清空filter表中所有規則 iptable t filter z 清空filter表中的計數器值 iptable t filter x 清除filte...

iptable防火牆詳解

一.基本格式 1.iptable t 表 命令選項 連名 匹配條件 j 動作 2.常用命令選項如下 二.舉例 iptables t filter f 清空filter表中所有規則 iptables t filter z 清空filter表中的計數器值 iptables t filter x 清除fi...

iptable防火牆原理

linux 2.0 ipfs firewalld linux 2.2 ipchain firewall linux 2.4 iptables netfilter iptables 是在使用者空間寫規則的,neifilter工作在核心空間放置規則的位置 netfilter是核心的乙個資料報處理模組,具...