iptables的用法
[yjwang@ubuntu:~$]# iptables [-t filter] [-AI INPUT,OUTPUT,FORWARD]
> [-io interface] [-p tcp,udp,icmp,all] [-s IP/network] [--sport ports]
> [-d IP/network] [--dport ports] -j [ACCEPT,DROP]
引數說明:
-A :新增加一條規則,該規則增加在最後面,例如原本已經有四條規則,
使用 -A 就可以加上第五條規則!
-I :插入一條規則,如果沒有設定規則順序,預設是插入變成第一條規則,
例如原本有四條規則,使用 -I 則該規則變成第一條,而原本四條變成 2~5
INPUT :規則設定為 filter table 的 INPUT 鏈
OUTPUT :規則設定為 filter table 的 OUTPUT 鏈
FORWARD:規則設定為 filter table 的 FORWARD 鏈
-i :設定『封包進入』的網路卡介面
-o :設定『封包流出』的網路卡介面
interface :網路卡介面,例如 ppp0, eth0, eth1....
-p :請注意,這是小寫呦!封包的協定啦!
tcp :封包為 TCP 協定的封包;
upd :封包為 UDP 協定的封包;
icmp :封包為 ICMP 協定、
all :表示為所有的封包!
-s :來源封包的 IP 或者是 Network ( 網域 );
--sport:來源封包的 port 號碼,也可以使用 port1:port2 如 21:23
同時透過 21,22,23 的意思
-d :目標主機的 IP 或者是 Network ( 網域 );
--dport:目標主機的 port 號碼;
-j :動作,可以接底下的動作;
ACCEPT :接受該封包
DROP :丟棄封包
LOG :將該封包的資訊記錄下來 (預設記錄到 /var/log/messages 檔案)
範例:
範例一:所有的來自 lo 這個介面的封包,都予以接受
[root@test root]# iptables -A INPUT -i lo -j ACCEPT
# 注意一下,因為 -d, --dport, -s, --sport 等等引數都沒有設定,這表示:
# 不論封包來自何處或去到哪裡,只要是來自 lo 這個介面,就予以接受!
# 這個觀念挺重要的,就是『沒有設定的規定,則表示該規定完全接受』的意思!
# 例如這個案例當中,關於 -s, -d...等等的引數沒有規定時!
範例二:來自 192.168.0.1 這個 IP 的封包都予以接受:
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.0.1 -j ACCEPT
# 新增一條規則,只要是來自於 192.168.0.1 的封包,不論他要去哪裡,
# 使用的是那個協定 (port) 主機都會予以接受的意思~
範例三:來自 192.168.1.0 這個 C Class 的網域的任何一部電腦,就予以接受!
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.0/24 -j ACCEPT
# 這個是網域的寫法喔!稍微注意一下的是,在範例二當中我們僅針對一個 IP ,
# 至於這個範例當中,則是針對整個網域來開放吶!而網域的寫法可以是:
# 192.168.1.0/24 也可以是 192.168.1.0/255.255.255.0 都能夠接受喔!
範例四:來自 192.168.1.25 的封包都給他丟棄去!
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.1.25 -j DROP
範例五:只要是想進入本機的 port 21 的封包就給他丟棄
[root@test root]# iptables -A INPUT -i eth0 -p tcp --dport 21 -j DROP
範例六:來自 192.168.0.24 這個 IP 的封包,想要到我的 137,138,139 埠口時,都接受
[root@test root]# iptables -A INPUT -i eth0 -p tcp -s 192.168.0.24
> --dport 137:139 -j ACCEPT
範例七:只要是接觸到我主機的 port 25 就將該封包記錄 (LOG) 下來
[root@test root]# iptables -A INPUT -p tcp --dport 25 -j LOG
# 還是請特別注意到『規則的順序排列』的問題喔!
iptables 的其他相關引數說明:
[!] --syn :這個設定僅能用於 -p tcp 的規則中,因為 TCP 封包有 syn 的旗標存
在啊!當 TCP 封包存有 syn 旗標,表示這個連線是對方『主動』連過來的!
若於 --syn 之前加上 ! 表示該封包不帶有 syn 的意思~(剛好相反之意!)
--icmp-type:可以管制 ICMP 封包的某些型別!還記得我們在 網路基礎 裡面
談到的 ICMP 的某些型別吧!對啦!如果您不想要讓對方 ping 到您的機器,
就是利用這個專案啦!
範例二:別的主機 ping 我們主機時,我們主機不予以回應
[root@test root]# iptables -A INPUT -p icmp --icmp-type 8 -j DROP
# 當您下達這樣的指令後,就表示未來別人對您使用 ping 的時候,
# 我們的主機將不會回應,所以對方主機就會顯示我們主機『無法連線』的狀態!
-m :表示封包的狀態,狀態有底下數種:
-m mac --mac-source aa:bb:cc:dd:ee:ff
這個就是我們上面提到的可以控制『網路卡卡號, MAC』的設定方法囉!
那個 aa:bb:cc:dd:ee:ff 就是網路卡的 MAC !
-m state --state
有數種狀態,狀態有:
INVALID:無效的封包,例如資料破損的封包狀態
ESTABLISHED:已經連線成左熙s線狀態;
NEW:想要新建立連線的封包狀態;
RELATED:這個最常用!表示這個封包是與我們主機傳送出去的封包有關,
可能是回應封包或者是連線成奶妨嶊熄e封包!這個狀態很常被設定,
因為設定了他之後,只要未來由本機傳送出去的封包,即使我們沒有設定
封包的 INPUT 規則,該有關的封包還是可以進入我們主機喔!
可以簡化相當多的設定規則啦!
範例三:讓 bb:cc:dd:aa:ee:ff 網路卡無法使用我們主機的資源
[root@test root]# iptables -A INPUT -p all -m mac --mac-source
> 01:01:01:01:02:01 -j DROP
# 這種方式可以用來管制網路卡卡號喔!就不怕別人使用 IP 搞怪了!
範例四:讓已經建立或者是與我們主機有關的回應封包透過,但是讓不合法的,
以及想要嘗試新建立的封包被抵擋在外!
[root@test root]# iptables -A INPUT -p tcp -m state
> --state ESTABLISHED,RELATED -j ACCEPT
[root@test root]# iptables -A INPUT -p tcp -m state
> --state INVALID,NEW -j DROP
# 需要設定兩條喔!至於封包狀態則可以使用逗號隔開!逗號兩邊不要有空格
-j :除了比較常見的 ACCEPT 與 DROP 之外,還有哪些動作?
REDIRECT --to-ports
這個也挺常見的,基本上,就是進行本機上面 port 的轉換就是了!
不過,特別留意的是,這個動作僅能夠在 nat table 的 PREROUTING 以及
OUTPUT 鏈上面實行而已喔!(關於連線流程,請參考圖八)
MASQUERADE:封包偽裝
這個就是 NAT 主機最重要的一個機制啦!進行封包的偽裝!
範例五:將要求與 80 連線的封包轉遞到 8080 這個 port
[root@test root]# iptables -t nat -A PREROUTING -p tcp --dport 80
> -j REDIRECT --to-ports 8080
# 這玩意最容易在您使用了非正規的 port 來進行某些 well known 的協定,
# 例如使用 8080 這個 port 來啟動 WWW ,但是別人都以 port 80 來連線,
# 所以,您就可以使用上面的方式來將對方對您主機的連線傳遞到 8080 囉!
範例六:進行封包的偽裝,將來自 192.168.0.0/24 的封包的來源 IP 偽裝成為
本機的 ppp0 那個介面的 IP
[root@test root]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24
> -o ppp0 -j MASQUERADE
紀錄與回復防火牆規則
[root@test root]# iptables-save > filename
# 將目前的防火牆機制儲存成 filename 那個檔案!該檔案為 ASCII 格式,
# 您可以進入查黎@下喔!
[root@test root]# iptables-restore < filename
# 將 filename 那個防火牆檔案 (注意!並不是 shell scripts 的格式) 的規則
# 讀入目前的 Linux 主機環境中!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/786540/viewspace-1002065/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 20條IPTables防火牆規則用法!防火牆
- Linux防火牆之IPtables概念與用法(轉)Linux防火牆
- iptables詳解及docker的iptables規則Docker
- iptables的問題
- [iptables] 基於iptables實現的跨網路通訊
- ubuntu下iptables的配置Ubuntu
- iptables配置
- Iptables 使用
- iptables重置
- iptables報錯!iptables-restore unable to initialize table 'filterRESTFilter
- iptables和firewalld
- iptables詳解
- Iptables 實操
- iptables應用
- iptables系列五
- iptables系列二
- 防火牆IPTABLES防火牆
- IPtables 詳解
- iptables防火牆防火牆
- iptables筆記筆記
- Debian使用iptables-persistent持久化iptables規則持久化
- IPTABLES-SAVE手冊頁&IPTABLES-RESTORE手冊頁REST
- Iptables入門教程
- Iptables 最佳實踐 !
- iptables 功能詳解
- iptables 使用手冊
- iptables 入門(轉)
- IPTables配置Script(轉)
- Iptables 指南 1.1.19
- iptables設定macMac
- iptables配置詳解
- Linux的銅牆鐵壁iptablesLinux
- centos8 Iptables配置CentOS
- linux之iptables使用Linux
- docker宿主機iptables配置Docker
- Iptables防火牆應用防火牆
- iptables防火牆規則防火牆
- iptables:No chain/target/match by the nameAI