【iptables 实战】03 自定义链

一、新建一个自定义链

当前的机器IP为:10.1.0.10

自定义链IN_WEB,拒绝指定源ip的报文

bash 复制代码
[root@test-c ~]# iptables -t filter -I IN_WEB -s 10.1.0.11 -j REJECT
[root@test-c ~]# iptables -t filter --line -nvL IN_WEB
Chain IN_WEB (0 references)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       10.1.0.11            0.0.0.0/0            reject-with icmp-port-unreachable

二、引用自定义链

定义INPUT规则,引用 IN_WEB规则

bash 复制代码
[root@test-c ~]# iptables -I INPUT -p icmp -j IN_WEB
[root@test-c ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0  
 Chain IN_WEB (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       10.1.0.11            0.0.0.0/0            reject-with icmp-port-unreachable

可以看到IN_WEB链,这个时候references的数量为1了,表示有链在引用

bash 复制代码
[root@localhost ~]# ping 10.1.0.10
PING 10.1.0.10 (10.1.0.10) 56(84) bytes of data.
From 10.1.0.10 icmp_seq=1 Destination Port Unreachable

ping 10.1.0.10,可以看到,此时不通了

三、删除自定义链

3.1 先尝试清空IN_WEB,清空后,发现依然有引用。此时再ping10.1.0.10,能ping通了

bash 复制代码
[root@test-c ~]# iptables -F IN_WEB
[root@test-c ~]# iptables -nvL 
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    5   420 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
Chain IN_WEB (1 references)
 pkts bytes target     prot opt in     out     source               destination    

3.2 还原刚才清空的自定义链

bash 复制代码
[root@test-c ~]# iptables -t filter -I IN_WEB -s 10.1.0.11 -j REJECT

3.3 删除自定义链

使用"-X"选项可以删除自定义链,但是删除自定义链时,需要满足两个条件:

1、自定义链没有被任何默认链引用,即自定义链的引用计数为0。

2、自定义链中没有任何规则,即自定义链为空。

那么,我们来删除自定义链WEB试试。

bash 复制代码
[root@test-c ~]# iptables -X IN_WEB
iptables v1.8.4 (nf_tables):  CHAIN_USER_DEL failed (Device or resource busy): chain IN_WEB

删除失败,因为有引用

bash 复制代码
[root@test-c ~]# iptables -nvL INPUT --line
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        7   588 IN_WEB     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
[root@test-c ~]# iptables -D INPUT 1
[root@test-c ~]# iptables -X IN_WEB
iptables v1.8.4 (nf_tables):  CHAIN_USER_DEL failed (Device or resource busy): chain IN_WEB

发现还是删除失败

我们清空IN_WEB的规则以后,再尝试删除试下

bash 复制代码
[root@test-c ~]# iptables -F IN_WEB
[root@test-c ~]# iptables -X IN_WEB

删除成功了。可能是新版本的删除规则链,要清空规则后,才能删除

相关推荐
Let's Chat Coding19 小时前
对称密钥认证:主机和设备共享同一把密钥
运维·服务器·网络
bukeyiwanshui19 小时前
20260622 安装配置ubuntu
linux·运维·ubuntu
写代码的学渣19 小时前
Linux 安装 Swap 交换分区大小标准(通用 + 生产服务器 + 个人 PC)
linux·运维·服务器
qq_1631357519 小时前
Linux 【03- netstat命令超详细教程】
linux
cjhbachelor19 小时前
线程的控制
linux
写代码的学渣20 小时前
Linux 彻底清空历史命令 & 恢复历史命令(完整版、重启永久生效)
linux·运维·chrome
fei_sun20 小时前
ARP(地址解析协议)与NDP(邻居发现协议)
运维·服务器
生万千欢喜心20 小时前
liunx AnolisOS-8.9-x86_64-dvd.iso win11 适配龙蜥 - 虚拟机
linux
技术不好的崎鸣同学21 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Web极客码21 小时前
跨国网络抖动下的 AI 爬虫流调优:我如何用 Claude 打造“智能退避”资讯清洗管道
网络·人工智能·爬虫