【iptables 实战】03 自定义链

suyukangchen2023-10-04 20:35

一、新建一个自定义链

当前的机器IP为:10.1.0.10

自定义链IN_WEB,拒绝指定源ip的报文

bash 复制代码 
[root@test-c ~]# iptables -t filter -I IN_WEB -s 10.1.0.11 -j REJECT
[root@test-c ~]# iptables -t filter --line -nvL IN_WEB
Chain IN_WEB (0 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.1.0.11            0.0.0.0/0            reject-with icmp-port-unreachable

二、引用自定义链

定义INPUT规则,引用 IN_WEB规则

bash 复制代码 
[root@test-c ~]# iptables -I INPUT -p icmp -j IN_WEB
[root@test-c ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0  
 Chain IN_WEB (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       10.1.0.11            0.0.0.0/0            reject-with icmp-port-unreachable

可以看到IN_WEB链,这个时候references的数量为1了,表示有链在引用

bash 复制代码 
[root@localhost ~]# ping 10.1.0.10
PING 10.1.0.10 (10.1.0.10) 56(84) bytes of data.
From 10.1.0.10 icmp_seq=1 Destination Port Unreachable

ping 10.1.0.10,可以看到,此时不通了

三、删除自定义链

3.1 先尝试清空IN_WEB,清空后,发现依然有引用。此时再ping10.1.0.10,能ping通了

bash 复制代码 
[root@test-c ~]# iptables -F IN_WEB
[root@test-c ~]# iptables -nvL 
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    5   420 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
Chain IN_WEB (1 references)
 pkts bytes target     prot opt in     out     source               destination

3.2 还原刚才清空的自定义链

bash 复制代码 
[root@test-c ~]# iptables -t filter -I IN_WEB -s 10.1.0.11 -j REJECT

3.3 删除自定义链

使用"-X"选项可以删除自定义链,但是删除自定义链时,需要满足两个条件:

1、自定义链没有被任何默认链引用,即自定义链的引用计数为0。

2、自定义链中没有任何规则,即自定义链为空。

那么,我们来删除自定义链WEB试试。

bash 复制代码 
[root@test-c ~]# iptables -X IN_WEB
iptables v1.8.4 (nf_tables):  CHAIN_USER_DEL failed (Device or resource busy): chain IN_WEB

删除失败,因为有引用

bash 复制代码 
[root@test-c ~]# iptables -nvL INPUT --line
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        7   588 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
[root@test-c ~]# iptables -D INPUT 1
[root@test-c ~]# iptables -X IN_WEB
iptables v1.8.4 (nf_tables):  CHAIN_USER_DEL failed (Device or resource busy): chain IN_WEB

发现还是删除失败

我们清空IN_WEB的规则以后,再尝试删除试下

bash 复制代码 
[root@test-c ~]# iptables -F IN_WEB
[root@test-c ~]# iptables -X IN_WEB

删除成功了。可能是新版本的删除规则链,要清空规则后,才能删除

相关推荐
殇者知忧几秒前
Tmux快速上手
linux·tmux
TechWayfarer8 分钟前
移动网络IP定位难题:4G/5G用户的IP为什么老飘?
网络·tcp/ip·5g
草莓熊Lotso1 小时前
MySQL 从入门到实战:视图特性 + 用户权限管理全解
linux·运维·服务器·数据库·c++·mysql
雾岛听蓝1 小时前
进程信号机制深度解析
linux·开发语言·经验分享·笔记
zmjjdank1ng2 小时前
OSI模型和TCP/IP模型
服务器·网络·tcp/ip
Dream of maid9 小时前
Python12(网络编程)
开发语言·网络·php
菜菜艾9 小时前
基于llama.cpp部署私有大模型
linux·运维·服务器·人工智能·ai·云计算·ai编程
重生的黑客9 小时前
Linux开发工具:条件编译、动静态库与 make/makefile 入门
linux·运维·服务器
minji...10 小时前
Linux 线程同步与互斥(三) 生产者消费者模型,基于阻塞队列的生产者消费者模型的代码实现
linux·运维·服务器·开发语言·网络·c++·算法
w61001046610 小时前
cka-2026-ConfigMap
java·linux·cka·configmap
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点03一周AI热点速览(2026.03.31-04.06):GPT-6曝光、谷歌开源Gemma 4、资本狂飙与模型军备竞赛04基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南05免费!不限量!用opencode接入英伟达(NVIDIA)大模型,轻松打造你的 AI 编程助手06从限购到畅通:GLM-5.1 Coding Plan接入攻略07Oh My Codex 快速使用指南08CodeBuddy与WorkBuddy深度对比:腾讯两款AI工具差异及实操指南09AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析10LLM Wiki:让大模型替你打理知识库的完整指南