linux中的iptables的简介与常用基础用法

前言:使用iptables最应该注意的三个问题!(血与泪的教训)

一:使用 iptables -F时 一定将所有的表和链的默认策略改为ACCEPT(一不注意就要跑客户现场

javascript 复制代码
我们在服务器中使用iptables时,通常会把链的默认策略设置为DROP,这时候
如果要清除所有的策略的话,将无法从外部连接,只能去机房连接显示器!!

二:添加策略前:记得保持已有连接,允许本地回环接口。(万一执行错误,还可以悔改)

javascript 复制代码
# 保持现有连接
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许本地回环流量
iptables -A INPUT -i lo -j ACCEPT

# 最好是使用 at 命令在后面重启下来进行测试。防止无法联通服务器!!
echo "sudo shutdown -r now" | at 15:00

三:在配置Linux iptables时,链的规则(Rule)应优先于链的默认策略(Policy)进行设置。原因如下:

javascript 复制代码
1. 逻辑顺序
    规则(Rule):用于显式允许或拒绝特定流量(如 ACCEPT/DROP 特定端口或IP)。
    默认策略(Policy):当所有规则都不匹配时,流量会按默认策略处理(通常是 ACCEPT 或 DROP)。

2. 安全实践

如果先设置默认策略为 DROP(拒绝所有流量),但未提前添加允许规则
(如SSH端口22),会导致当前连接中断(例如无法通过SSH远程管理服务
器)。
	正确顺序:
    先添加允许关键服务的规则(如SSH的 INPUT 链规则)。
    再将默认策略设为 DROP,确保未匹配的流量被拒绝。

例如: 设置INPUT链默认策略为DROP,仅允许22端口,443端口,80端口,8086端口及tun0网卡的流量进入,应当如此设置:

javascript 复制代码
iptables -A INPUT -p all --dport 22 -j ACCEPT
iptables -A INPUT -p all --dport 443 -j ACCEPT
iptables -A INPUT -p all --dport 80 -j ACCEPT
iptables -A INPUT -p all --dport 8086 -j ACCEPT
iptables -A INPUT -p all -i tun0 -j ACCEPT
iptables -P INPUT DROP  # 默认策略排最后

四:除非用一些网络安全产品,如果只用iptables,最好记录好每一条命令且提交GIT(用于后续人员参考及修改)

javascript 复制代码
笔者自己就会把所有客户,每个客户都要建立一个文件夹,将iptables等运维相关的笔记都记录在其中。都是教训。。。。

iptables简介和本质。

iptables是Linux的防火墙工具,是网络安全的基本工具。这套防火墙系统甚至被用来做很多专业网络设备的核心。

iptables是一种典型的包过滤防火墙,通过检测到达的数据包头中的信息,确定哪些通过,哪些拒绝,哪些记录,哪些丢弃等等。

iptables的行为主要依据数据包的目的地址,端口号,协议类型,接口。

iptables的组成部分

iptables主要有3个表组成:filter,nat,manage

filter表包含了包过滤的所有内容。(通常来说,只是用filter表就可以达成大多数安全需求)

nat表用来做网络地址转换。

manage用于修改除了nat和filter包过滤之外的网络包。

iptables的初始化

通常使用5个命令就可以完成绝大多数客户现场的配置:

javascript 复制代码
-P   设置链的默认策略
-F   清除链或表的所有策略(不重置默认策略!!,参考教训1)
-A   添加一条策略
-D   删除一条策略(删除策略,需要知道原添加命令,参考 教训4)
-L   列出表与链的策略。

初始化

javascript 复制代码
iptables -F  清除整个filter表的策略
iptables -F INPUT  清除整个filter表中INPUT链的策略

iptables的设置

1:设置默认策略 -P

javascript 复制代码
iptables -P INPUT DROP
iptables -P FORWARD DROP

2:添加链规则 -A

javascript 复制代码
-p proto    匹配网络协议类型tcp、udp、icmp  ALL(ALL代表所有类型都可通过)
--icmp-type type 匹配ICMP类型与 -p icmp 搭配使用(比如8类型是ping)
-s source-ip 匹配来源主机(或网络网段)的IP地址
--sport port 匹配来源主机的端口,和-s source-ip 搭配使用
-d dest-ip 匹配目标主机的IP地址
--dport port 匹配目标主机(或网络网段)的端口,和d dest-ip 搭配使用
javascript 复制代码
# 允许所有通过lo本地回环接口的请求。
iptables -A INPUT -i lo -p ALL -j ACCEPT
# 允许访问本机器的22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# 只允许eth0接口访问本机的80端口。
iptables -A INPUT -i eth0 -p ALL --dport 80 -j ACCEPT
# 只允许10.10.160.0/24 通过tun0访问本地8086端口
iptables -A INPUT -i tun0 -s 10.10.160.0/24 -p ALL --dport 8086 -j ACCEPT

删除链规则 -D

javascript 复制代码
# 删除 允许所有通过lo本地回环接口的请求。
iptables -D INPUT -i lo -p ALL -j ACCEPT
# 删除 允许访问本机器的22端口
iptables -D INPUT -p tcp --dport 22 -j ACCEPT
# 删除 只允许eth0接口访问本机的80端口。
iptables -D INPUT -i eth0 -p ALL --dport 80 -j ACCEPT
# 删除 只允许10.10.160.0/24 通过tun0访问本地8086端口
iptables -D INPUT -i tun0 -s 10.10.160.0/24 -p ALL --dport 8086 -j ACCEPT

查看链规则:

javascript 复制代码
iptables -L --line-numbers
相关推荐
初听于你8 小时前
缓存技术揭秘
java·运维·服务器·开发语言·spring·缓存
云手机掌柜9 小时前
技术深度解析:指纹云手机如何通过设备指纹隔离技术重塑多账号安全管理
大数据·服务器·安全·智能手机·矩阵·云计算
程序猿阿伟10 小时前
《重构工业运维链路:三大AI工具让设备故障“秒定位、少误判”》
运维·人工智能·重构
蜀山雪松10 小时前
全网首先 Docker Compose 启动Postgresql18
运维·docker·容器
Turboex邮件分享11 小时前
Syslog日志集成搭建
运维·elasticsearch·集成测试
口嗨农民工11 小时前
win10默认搜索APP和window设置控制命板
linux·服务器·c语言
YongCheng_Liang11 小时前
网络工程师笔记8-OSPF协议
运维·网络·网络协议
河南博为智能科技有限公司12 小时前
动力环境监控主机-全方位一体化监控解决方案
运维·服务器·人工智能·物联网·边缘计算
vxtkjzxt88812 小时前
自动化脚本的自动化执行实践
运维·自动化
qq_4557608512 小时前
cmake命令行工具介绍
linux·服务器