iptables 命令详解

狗贤2024-10-20 17:10

iptables 是 Linux 中用于设置、维护和检查 IP 数据包过滤规则的命令。它是一个强大的工具,广泛用于网络防火墙、安全性和网络地址转换 (NAT) 等。

以下是 iptables 命令的主要选项及其详细说明。

1. 基本语法

bash 复制代码 
iptables [选项] [链名称] [规则匹配条件] [动作]
  • [选项]:指定操作,如新增、删除、插入规则等。
  • [链名称] :指定 iptables 的链,如 INPUTOUTPUTFORWARDPREROUTING 等。
  • [规则匹配条件]:数据包过滤的条件,如源 IP 地址、目标端口等。
  • [动作] :匹配到的包执行的操作,如 ACCEPTDROPREJECT 等。

2. 链 (Chain)

iptables 主要有以下几种内置链:

  • INPUT:用于控制进入本地系统的数据包。
  • OUTPUT:用于控制本地系统发送的数据包。
  • FORWARD:用于控制通过本地系统的数据包(本机不是目的地时)。
  • PREROUTING:用于在包进入路由之前修改数据包,用于 NAT。
  • POSTROUTING:用于在包离开路由后修改数据包,用于 NAT。

3. 主要选项

3.1 链管理选项

  • -L:列出指定链中的所有规则。

    bash 复制代码 
    iptables -L

    可以查看当前所有规则,也可以加上链名查看特定链的规则。

  • -N:创建新链。

    bash 复制代码 
    iptables -N my_chain

  • -X:删除自定义链(前提是该链没有规则)。

    bash 复制代码 
    iptables -X my_chain

  • -F:清空指定链中的所有规则。如果不指定链,则清空所有链的规则。

    bash 复制代码 
    iptables -F

  • -Z:将链的计数器清零。

    bash 复制代码 
    iptables -Z
3.2 规则管理选项

  • -A:在指定链的末尾追加一条规则。

    bash 复制代码 
    iptables -A INPUT -s 192.168.1.100 -j ACCEPT

    允许来自 IP 地址 192.168.1.100 的连接。

  • -I:在指定链的指定位置插入一条规则(默认在首位)。

    bash 复制代码 
    iptables -I INPUT 1 -s 192.168.1.100 -j ACCEPT

    INPUT 链的第一个位置插入一条规则,允许 192.168.1.100 的连接。

  • -D:删除指定链中的规则。可以通过规则编号或直接匹配规则来删除。

    bash 复制代码 
    iptables -D INPUT 1

    删除 INPUT 链中的第一条规则。

  • -R:替换指定链中的某条规则。

    bash 复制代码 
    iptables -R INPUT 1 -s 192.168.1.101 -j ACCEPT

    替换 INPUT 链的第一条规则,允许 192.168.1.101 的连接。

  • -P:设置默认策略(即当数据包不匹配任何规则时的默认动作)。

    bash 复制代码 
    iptables -P INPUT DROP

    设置 INPUT 链的默认策略为丢弃所有不匹配的包。

3.3 匹配条件选项

  • -s--source:指定源 IP 地址。

    bash 复制代码 
    iptables -A INPUT -s 192.168.1.100 -j ACCEPT

    匹配来自 192.168.1.100 的数据包。

  • -d--destination:指定目标 IP 地址。

    bash 复制代码 
    iptables -A OUTPUT -d 192.168.1.200 -j ACCEPT

    匹配发往 192.168.1.200 的数据包。

  • -p--protocol :指定协议类型(如 tcpudpicmp)。

    bash 复制代码 
    iptables -A INPUT -p tcp -j ACCEPT

    匹配 TCP 协议的数据包。

  • --sport :指定源端口号(仅适用于 tcpudp 协议)。

    bash 复制代码 
    iptables -A INPUT -p tcp --sport 22 -j ACCEPT

    允许来自端口 22 的 TCP 包(通常是 SSH)。

  • --dport:指定目标端口号。

    bash 复制代码 
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT

    允许访问本机 80 端口(HTTP)。

  • -i--in-interface:指定进入的网络接口。

    bash 复制代码 
    iptables -A INPUT -i eth0 -j ACCEPT

    允许所有从接口 eth0 进来的包。

  • -o--out-interface:指定离开的网络接口。

    bash 复制代码 
    iptables -A OUTPUT -o eth0 -j ACCEPT

    允许所有从接口 eth0 发出的包。

  • -m state --state:使用连接跟踪模块,匹配数据包的连接状态。

    bash 复制代码 
    iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT

    允许新连接和已建立的连接的数据包。

  • -m limit:限制数据包匹配速率。

    bash 复制代码 
    iptables -A INPUT -p icmp -m limit --limit 1/second -j ACCEPT

    限制每秒最多接受 1 个 ICMP 数据包(防止 ICMP 洪水攻击)。

3.4 动作选项

  • -j--jump :指定匹配条件满足时跳转到的动作目标链

    • ACCEPT:允许数据包通过。
    • DROP :丢弃数据包,不作任何响应
    • REJECT :拒绝数据包,并返回错误信息 (比如 icmp-port-unreachable)。
    • LOG:记录日志,但不阻止数据包的继续处理。

    示例:

    bash 复制代码 
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j LOG --log-prefix "HTTP Access: "
iptables -A INPUT -p tcp --dport 80 -j DROP

  • RETURN:从自定义链返回到上一个链。

    示例:

    bash 复制代码 
    iptables -N my_chain
iptables -A my_chain -j RETURN
3.5 NAT 相关选项

  • -t nat:选择 NAT 表进行操作。NAT 表用于网络地址转换,常见的用途是端口映射、源 IP 地址转换等。

    • PREROUTING:在数据包被路由之前应用规则。
    • POSTROUTING:在数据包被路由之后应用规则。
    • OUTPUT:在本地生成的数据包上应用 NAT 规则。

    示例:端口转发(将 80 端口的访问转发到 8080 端口)

    bash 复制代码 
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080
3.6 保存与恢复规则

  • 保存规则

    bash 复制代码 
    iptables-save > /etc/iptables/rules.v4

  • 恢复规则

    bash 复制代码 
    iptables-restore < /etc/iptables/rules.v4

4. 常用的综合示例

  1. 允许 SSH 访问(TCP 22 端口):

    bash 复制代码 
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

  2. 允许 HTTP/HTTPS 访问

    bash 复制代码 
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

  3. 拒绝所有其他流量

    bash 复制代码 
    iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

通过这些规则,iptables 可以被用来控制网络流量,保障服务器和网络的安全。

相关推荐
落霞的思绪13 分钟前
苍穹外卖07——来单提醒和客户催单(涉及SpringTask、WebSocket协议、苍穹外卖跳过微信支付同时保证可以收到订单功能)
linux·前端·数据库
黑牛先生19 分钟前
【Linux】模拟Shell命令行解释器
linux·运维·服务器
bai_shuang1 小时前
Linux环境(Ubuntu)上搭建MQTT服务器(EMQX )网络环境部署
linux·服务器·ubuntu
关爱的眼神6371 小时前
shell脚本练习
linux·运维·服务器
钡铼技术物联网关1 小时前
1TOPS 算力加持:瑞芯微 RK3568 边缘计算盒子重塑电路板质检模式
linux·arm开发·自动化·硬件工程
QQ8513017761 小时前
strace、ltrace、ftrace 和 dtrace
linux·服务器·数据库
想做富婆1 小时前
linux:文件的创建/删除/复制/移动/查看/查找/权限/类型/压缩/打包
linux·运维·服务器
weiyiwen19822 小时前
CENTOS STREAM PC INSTALL FLURM
linux·服务器·centos
weixin_438338512 小时前
Vmware虚拟机centos扩展硬盘空间
linux·运维·centos
Bull-man2 小时前
LS1046+XILINX XDMA PCIE调通
linux·arm开发·fpga开发·嵌入式
热门推荐
01go下载依赖提示连接失败02ESP-IDF学习记录(4) ESP-IDF examples目录03半导体应用系统一些小知识收集(strip&wafer mapping,EAP&scada)04密码学原理技术-第六章-introduction to pulibc-key cryptography05渗透测试之SQLMAP工具详解 kali自带SQLmap解释 重点sqlmap --tamper 使用方式详解 搞完你就很nice了06优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间07Dell服务器升级ubuntu 22.04失败解决08华为HarmonyOS帮助应用实现在线认证服务 -- 2 FIDO免密身份认证09HCIA-datacom数通题库和录播视频资料10xgboost: Why not implement distributed XGBoost on top of spark