linux之iptables使用
iptables命令是Linux上常用的防火牆軟體,是netfilter專案的一部分。可以直接配置,也可以通過許多前端和圖形介面配置。
語法
iptables(選項)(引數)
選項
-t<表>:指定要操縱的表; -A:向規則鏈中新增條目; -D:從規則鏈中刪除條目; -i:向規則鏈中插入條目; -R:替換規則鏈中的條目; -L:顯示規則鏈中已有的條目; -F:清楚規則鏈中已有的條目; -Z:清空規則鏈中的資料包計算器和位元組計數器; -N:建立新的使用者自定義規則鏈; -P:定義規則鏈中的預設目標; -h:顯示幫助資訊; -p:指定要匹配的資料包協議型別; -s:指定要匹配的資料包源ip地址; -j<目標>:指定要跳轉的目標; -i<網路介面>:指定資料包進入本機的網路介面; -o<網路介面>:指定資料包要離開本機所使用的網路介面。
iptables命令選項輸入順序:
iptables -t 表名 <-A/I/D/R> 規則鏈名 [規則號] <-i/o 網路卡名> -p 協議名 <-s 源IP/源子網> --sport 源埠 <-d 目標IP/目標子網> --dport 目標埠 -j 動作
表名包括:
- raw:高階功能,如:網址過濾。
- mangle:資料包修改(QOS),用於實現服務質量。
- net:地址轉換,用於閘道器路由器。
- filter:包過濾,用於防火牆規則。
規則鏈名包括:
- INPUT鏈:處理輸入資料包。
- OUTPUT鏈:處理輸出資料包。
- PORWARD鏈:處理轉發資料包。
- PREROUTING鏈:用於目標地址轉換(DNAT)。
- POSTOUTING鏈:用於源地址轉換(SNAT)。
動作包括:
- accept:接收資料包。
- DROP:丟棄資料包。
- REDIRECT:重定向、對映、透明代理。
- SNAT:源地址轉換。
- DNAT:目標地址轉換。
- MASQUERADE:IP偽裝(NAT),用於ADSL。
- LOG:日誌記錄。
例項
清除已有iptables規則
iptables -F iptables -X iptables -Z
開放指定的埠
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT #允許本地迴環介面(即執行本機訪問本機) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #允許已建立的或相關連的通行 iptables -A OUTPUT -j ACCEPT #允許所有本機向外的訪問 iptables -A INPUT -p tcp --dport 22 -j ACCEPT #允許訪問22埠 iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允許訪問80埠 iptables -A INPUT -p tcp --dport 21 -j ACCEPT #允許ftp服務的21埠 iptables -A INPUT -p tcp --dport 20 -j ACCEPT #允許FTP服務的20埠 iptables -A INPUT -j reject #禁止其他未允許的規則訪問 iptables -A FORWARD -j REJECT #禁止其他未允許的規則訪問
遮蔽IP
iptables -I INPUT -s 123.45.6.7 -j DROP #遮蔽單個IP的命令 iptables -I INPUT -s 123.0.0.0/8 -j DROP #封整個段即從123.0.0.1到123.255.255.254的命令 iptables -I INPUT -s 124.45.0.0/16 -j DROP #封IP段即從123.45.0.1到123.45.255.254的命令 iptables -I INPUT -s 123.45.6.0/24 -j DROP #封IP段即從123.45.6.1到123.45.6.254的命令是
檢視已新增的iptables規則
iptables -L -n -v Chain INPUT (policy DROP 48106 packets, 2690K bytes) pkts bytes target prot opt in out source destination 5075 589K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 191K 90M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 1499K 133M ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 4364K 6351M ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 6256 327K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 3382K packets, 1819M bytes) pkts bytes target prot opt in out source destination 5075 589K ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
刪除已新增的iptables規則
將所有iptables以序號標記顯示,執行:
iptables -L -n --line-numbers
比如要刪除INPUT裡序號為8的規則,執行:
iptables -D INPUT 8
原文地址:http://man.linuxde.net/iptables
相關文章
- Iptables 使用
- Linux防火牆之IPtables概念與用法(轉)Linux防火牆
- 使用iptables建置Linux 防火牆(2)(轉)Linux防火牆
- 使用iptables建置Linux 防火牆(3)(轉)Linux防火牆
- linux防火牆iptablesLinux防火牆
- LInux iptables學習Linux
- iptables 使用手冊
- linux中iptables詳解Linux
- Linux下iptables安全配置Linux
- Linux IPTABLES埠轉發Linux
- Linux iptables應用手冊Linux
- linux放火牆------iptables(filter)LinuxFilter
- iptables 配置LINUX防火牆Linux防火牆
- Debian使用iptables-persistent持久化iptables規則持久化
- IPtables 之“四表五鏈”
- Iptables之recent模組小結
- Linux設定防火牆iptablesLinux防火牆
- linux下IPTABLES配置詳解Linux
- Linux 防火牆 學習 iptablesLinux防火牆
- 【Linux學習筆記26-1】Linux的火牆優化策略之iptablesLinux筆記優化
- 使用iptables管控docker容器Docker
- Linux基礎命令---iptables-saveLinux
- Linux基礎命令---iptables防火牆Linux防火牆
- Linux的銅牆鐵壁iptablesLinux
- Linux 核心將用 Nftables 替代 iptablesLinux
- iptables之NAT埠轉發設定
- Linux防火牆iptables學習筆記(三)iptables命令詳解和舉例Linux防火牆筆記
- iptables 常用規則使用例項
- iptables使用詳解(centos7)CentOS
- Iptables防火牆規則使用梳理防火牆
- 25個常用的Linux iptables規則Linux
- 25 個常用的 Linux iptables 規則Linux
- linux+squid+iptables企業方案LinuxUI
- Linux防火牆iptables實用設定Linux防火牆
- Linux 防火牆開放特定埠 (iptables)Linux防火牆
- Linux 自帶防火牆 Iptables 基本配置Linux防火牆
- 網路安全之iptables實驗篇一
- iptables基礎原理和使用簡介