【iptables 实战】03 自定义链

suyukangchen2023-10-04 20:35

一、新建一个自定义链

当前的机器IP为:10.1.0.10

自定义链IN_WEB,拒绝指定源ip的报文

bash 复制代码 
[root@test-c ~]# iptables -t filter -I IN_WEB -s 10.1.0.11 -j REJECT
[root@test-c ~]# iptables -t filter --line -nvL IN_WEB
Chain IN_WEB (0 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.1.0.11            0.0.0.0/0            reject-with icmp-port-unreachable

二、引用自定义链

定义INPUT规则,引用 IN_WEB规则

bash 复制代码 
[root@test-c ~]# iptables -I INPUT -p icmp -j IN_WEB
[root@test-c ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0  
 Chain IN_WEB (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       10.1.0.11            0.0.0.0/0            reject-with icmp-port-unreachable

可以看到IN_WEB链,这个时候references的数量为1了,表示有链在引用

bash 复制代码 
[root@localhost ~]# ping 10.1.0.10
PING 10.1.0.10 (10.1.0.10) 56(84) bytes of data.
From 10.1.0.10 icmp_seq=1 Destination Port Unreachable

ping 10.1.0.10,可以看到,此时不通了

三、删除自定义链

3.1 先尝试清空IN_WEB,清空后,发现依然有引用。此时再ping10.1.0.10,能ping通了

bash 复制代码 
[root@test-c ~]# iptables -F IN_WEB
[root@test-c ~]# iptables -nvL 
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    5   420 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
Chain IN_WEB (1 references)
 pkts bytes target     prot opt in     out     source               destination

3.2 还原刚才清空的自定义链

bash 复制代码 
[root@test-c ~]# iptables -t filter -I IN_WEB -s 10.1.0.11 -j REJECT

3.3 删除自定义链

使用"-X"选项可以删除自定义链,但是删除自定义链时,需要满足两个条件:

1、自定义链没有被任何默认链引用,即自定义链的引用计数为0。

2、自定义链中没有任何规则,即自定义链为空。

那么,我们来删除自定义链WEB试试。

bash 复制代码 
[root@test-c ~]# iptables -X IN_WEB
iptables v1.8.4 (nf_tables):  CHAIN_USER_DEL failed (Device or resource busy): chain IN_WEB

删除失败,因为有引用

bash 复制代码 
[root@test-c ~]# iptables -nvL INPUT --line
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        7   588 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
[root@test-c ~]# iptables -D INPUT 1
[root@test-c ~]# iptables -X IN_WEB
iptables v1.8.4 (nf_tables):  CHAIN_USER_DEL failed (Device or resource busy): chain IN_WEB

发现还是删除失败

我们清空IN_WEB的规则以后,再尝试删除试下

bash 复制代码 
[root@test-c ~]# iptables -F IN_WEB
[root@test-c ~]# iptables -X IN_WEB

删除成功了。可能是新版本的删除规则链,要清空规则后,才能删除

相关推荐
wanderful_30 分钟前
使用eNSP模拟器搭建网络拓扑结构(笔记2):从 0 到 1 掌握华为网络仿真
网络·智能路由器
强里秋千墙外道31 分钟前
【Linux】ssh升级到最新版本-以ubuntu为例
linux·运维·ssh
QC七哥1 小时前
关于宽带网络下公网地址的理解
服务器·网络
—Qeyser1 小时前
Flutter网络请求Dio封装实战
网络·flutter·php·xcode·android-studio
9ilk1 小时前
【仿RabbitMQ的发布订阅式消息队列】--- 介绍
linux·笔记·分布式·后端·rabbitmq
馨谙2 小时前
OpenSSH 安全配置核心概念解析
linux·服务器·网络
半桔2 小时前
【IO多路转接】IO 多路复用之 select:从接口解析到服务器实战
linux·服务器·c++·github·php
无聊的小坏坏2 小时前
从零开始:C++ 线程池 TCP 服务器实战(续篇)
服务器·c++·tcp/ip
烧冻鸡翅QAQ2 小时前
HTTP 1.0版本的webserver自主实现
网络·网络协议·http
ink@re2 小时前
Linux iptables:四表五链 + 实用配置
linux·运维·服务器
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03UV安装并设置国内源04Burp与其他安全工具联动及代理设置教程05Linux下V2Ray安装配置指南06GitLab 零基础入门指南:从安装到项目管理全流程07jdk21下载、安装(Windows、Linux、macOS)08Labelme从安装到标注:零基础完整指南09NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南10HTML5 敲击乐:从零搭建交互式前端音乐项目