iptables 工具

参考文档:
 
netfilter/iptabels应用程序,被认为是Linux中实现包过滤功能的第四代应用程序。
netfilter/iptables包含在2.4以后的内核中,它可以实现FirewallNAT(网络地址转换)和数据包的分割等功能。
netfilter工作在内核中,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集;
iptables工作在用户态空间,它使插入、修改和除去信息包过滤表中的规则变得容易。
 
iptables读取流入和流出数据包的报头,将它们与规则集(Rule set)相比较:
1、将可接受的数据包从一个网卡转发至另一个网卡;
2、对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。
 
根据规则所处理的信息包类型,可以将规则分组在链中:
1、处理入站信息包的规则被添加到INPUT链中;
2、处理出站信息包的规则被添加到OUTPUT链中;
3、处理正在转发的信息包的规则被添加到FORWARD链中;
这三个链是基本信息包过滤表中内置的缺省主链。另外,还有其他许多可用的链的类型(如PREROUTING和POSTROUTING),以及提供用户自定义的链。
每个链都可以有一个策略,它定义“缺省目标”,也就是要执行的缺省操作,当信息包与链中的任何规则都不匹配时,执行此操作。
 
 
 
iptables有多张table(如下),每个table又包含若干chains,每条chain是由一组rules构成;
table name
description
operation
filter (default)
用于包过滤,包含 INPUT 、OUTPUT 和 FORWARD链
ACCEPT、DROP、REJECT、LOG
nat
转换包的源或目的地址,包含 PREROUTING 、OUTPUT 和 POSTROUTING链
SNAT、DNAT、MASQUERADE
mangle
包含一些规则来标记用于高级路由的信息包,包含 PREROUTING 、OUTPUT 链
TOS、TTL、MARK
 
 
 
 

以本地为目的的包
step
table
chain
comment
1
 
 
在 Internet线路上传输
2
 
 
进入网卡接口(如 eth0 )
3
mangle
PREROUTING
 
4
nat
PREROUTING
这个链主要做 DNAT
5
 
 
路由判断,包是要转发还是送往本地
6
mangle
INPUT
 
7
filter
INPUT
这里可以加过滤
8
 
 
到达本地的应用程序
  
 
以本地为源的包
step
table
chain
comment
1
 
 
本地的应用程序
2
 
 
路由判断
3
mangle
OUTPUT
 
4
nat
OUTPUT
这个链主要做 DNAT
5
filter
OUTPUT
这里可以加过滤
6
mangle
POSTROUTING
 
7
nat
POSTROUTING
这个链主要做 SNAT
8
 
 
离开网卡接口(如 eth0 )
9
 
 
在 Internet线路上传输
  
 
转发的包
step
table
chain
comment
1
 
 
在 Internet线路上传输
2
 
 
进入网卡接口(如 eth0 )
3
mangle
PRETROUTING
 
4
nat
PRETROUTING
这个链主要做 DNAT
5
 
 
路由判断,包是要转发还是送往本地
6
mangle
FORWARD
特殊情况才使用
7
filter
FORWARD
转发的包会走该链,进行过滤
8
mangle
POSTROUTING
特殊情况才使用
9
nat
POSTROUTING
这个链主要做 SNAT
10
 
 
离开网卡接口(如 eth0 )
11
 
 
在 Internet线路上传输
  
 
 
filter表
INPUT链针对目的是本地的包;
OUTPUT链过滤本地生成的包;
FORWARD链过滤不是本地产生的,且目的地也不是本地的包(即转发的包);
 
nat表
属于一个流的包只会经过nat表一次,如果第一个包被允许做nat,其后的包会自动被做相同的处理;所以nat表不要做任何过滤操作;
PREROUTING链的主要作用是包刚刚到达firewall时改变它的目的地址;
POSTROUTING链的主要作用是包离开firewall时改变其源地址;
OUTPUT链改变本地产生的包的目的地址;
 
mangle表
不建议在mangle表里做任何过滤;
 
 
 
iptables 命令格式
 
对来自某个源地址,到达某个目的地址或具有特定协议类型的信息包要做些什么指令、规则控制信息包的过滤,
可以通过使用iptables系统提供的命令去建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。
 
关于添加、去除、编辑规则的命令,一般语法如下:
iptables [-t table] command [chain] [rules] [-j target]
 
[-t table] :用来指明使用的表, 可以为: filter(缺省表), nat 和 mangle。 
 
command 表明iptables命令要做什么,比如:

-L <CHAIN>, -S <CHAIN>
列出链中的所有规则;输出格式不同

-I <CHAIN>, -A <CHAIN>
插入一条规则,I此规则会作为链的第一条规则;A则会在最后一条

-D <CHAIN> N, -D <CHAIN>
删除一条规则,可以明确指明规则内容,也可以用N指出链中的第N条

-F <CHAIN>, -Z <CHAIN>
F清除链中的所有规则,不指明链,则清除所有链;Z则是只清除计数器,不清除规则

-P <CHAIN>
指定某条链的默认动作,ACCEPT、DROP或REJECT等

 
chain 表明操作的链,例如INPUT、OUTPUT、FORWARD等;
rules 匹配的包规则,同一条规则里的多个条件是“与”的关系,比如:

-p, --protocol
协议匹配,如 -p tcp

-s, --src, --source
来源匹配,如 -s 202.108.37.49

-d, --dst, --destination
目的匹配,如 -d 172.16.115.117

-i, --in-interface
入网卡接口匹配,如 -i eth0

-o, --out-interface
出网卡接口匹配,如 -o eth1

--sport, --source-port
来源端口匹配(tcp或udp),如 --sport 80;也可以用端口范围,如 --sport 135:139

--dport, --destination-port
目的端口匹配(tcp或udp),如 --dport 80;同样支持端口范围

--tcp-flags
tcp状态匹配,如 --tcp-flags RST RST

-m mac --mac-source
mac地址匹配,如 -m mac --mac-source 00:1E:C9:B0:53:D2

-m multiport --source-port , --destination-port
多端口匹配,如-m multiport --destination-port 80,443

-m iprange
简单的指定ip范围。用--src-range或--dst-range匹配,如 -m iprange --src-range 192.168.1.33-192.168.1.50

-m time
指定匹配时间(UTC),可以使用--datestart、--datestop、--timestart或--timestop等参数。如 -m time --datestart 2014-01-01T00:00:00 --datestop 2014-12-31T23:59:59 。注意时间是UTC时间。

 
target: 是由规则指定的操作。 包括下面几种:
-j ACCEPT:
接收信息包(允许它前往目的地),并且将停止遍历chain;
 
-j DROP
默默丢弃包(对方不知道);
 
-j REJECT
拒绝包,会发RST明确通知对方拒绝;
 
-j SNAT

源地址转换,如 -j SNAT --to 61.135.152.194

-j MASQUERADE
类似SNAT,但是根据默认路由转换,适用于动态ip(不需要指明转换后的地址)

-j DNAT
进行目的地址转换,如 -j DNAT --to-destination 192.168.0.254

-j REDIRECT
(对于tcp和udp)进行端口重定向,如 -j REDIRECT --to-ports 8080

此外还有, RETURN, LOG, MARK, MIRROR, MAQUERADE等。 
 

 
 
 
 
应用场景
 
1、查看已添加的规则
iptables -L -n
iptables -t nat -L
 
2、保存
/etc/rc.d/init.d/iptables save
 
3、删除已添加的规则
iptables -L -n --line-numbers
 
4、清除已有的规则
iptables -F          清除filter表的所有规则
iptables -X          清除filter表中用户自定义的规则
iptables -Z          
 
5、开放指定的端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
  
6、阻止一个IP连接本机
iptables -t filter -A INPUT -s 192.168.1.5  -i eth0 -j DROP
  
7、端口转发
iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp -m tcp --dport 81 -j DNAT --to-destination192.168.0.2:8180
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -d 192.168.0.2 -p tcp -m tcp --dport 8180 -j SNAT --to-source 192.168.0.1
 
8、

丢弃RST包

iptables -I INPUT -p tcp --sport 80 --tcp-flags RST RST -j DROP

 

iptables 工具的更多相关文章

  1. iptables工具

    http://www.linuxidc.com/Linux/2012-12/77074.htm iptables 指令 语法: iptables [-t table] command [match]  ...

  2. iptables 工具的使用

    试验建议:关闭CentOS 7 或 CentOS 6的防火墙 (systemctl stop firewalld ; systemctl disable firewalld 或 service ipt ...

  3. 【Redhat系列linux防火墙工具】firewalld与iptables防火墙工具的激烈碰撞

    前言 iptables与firewalld防火墙管理工具在linux发行版Redhat7系列使用较为广泛. UFW则是在linux发行版Ubuntu下进行管理防火墙的一款管理工具. 在选用防火墙工具的 ...

  4. Linux防火墙简介及iptables的基本使用

    一.防火墙基础知识 iptables/netfilter:网络防火墙,连接追踪(状态检测) netfilter:工作内核中,让规则能够生效的网络框架(framework) iptables:防火墙规则 ...

  5. linux 的iptables防火墙

    .a文件就是*.o文件的集合, 是object文件的归档文件, 所以, 用nm -A  ???.a看到的 symbolic符合名称都是 相应的,  包含的  .o文件.... linux 2.4内核中 ...

  6. iptables和netfilter

    1.iptables和netfilter说明 [1]netfilter/iptables组成Linux平台下的包过滤防火墙,iptables是用户空间的管理工具,netfilter是内核空间的包处理框 ...

  7. Linux iptables 命令

    iptables 是 Linux 管理员用来设置 IPv4 数据包过滤条件和 NAT 的命令行工具.iptables 工具运行在用户态,主要是设置各种规则.而 netfilter 则运行在内核态,执行 ...

  8. iptables 分析(1)

    原文:http://blog.chinaunix.net/uid-24207747-id-2622900.html iptables 是用户空间中用于管理包过滤及NAT 等的工具应用程序.它设置防火墙 ...

  9. iptables四表五链及默认规则使用,

    网络基础 TCP/IP模型: 应用层===传输层===网络层===数据链里层===物理层 数据封装: MAC帧头+IP报头+TCP/UDP报头===HTTP请求 数据帧 TCP/UDP报头: 随机产生 ...

随机推荐

  1. 未能加载文件或程序集“XXXXX”或它的某一个依赖项。试图加载格式不正确的程序。

    未能加载文件或程序集“FastColoredTextBox, Version=2.10.5.0, Culture=neutral, PublicKeyToken=null”或它的某一个依赖项.试图加载 ...

  2. Integrating JAD decompiler into JDeveloper(转)

    原文地址:Integrating JAD decompiler into JDeveloper In JDeveloper, when debugging or otherwise navigatin ...

  3. sqlalchemy 的 raw sql 方式使用示例

    #获取数据库 from sqlalchemy import create_engine db = create_engine("sqlite:///:memory:", echo= ...

  4. 访问 IIS 元数据库失败 的解决方法

    系统是windows xp sp3,vs2010.安装了iis 5.1 ,创建了虚拟目录之后copy进去一个web sercices测试下能不能正常工作. 出现如下问题: 访问 IIS 元数据库失败. ...

  5. 如何清洗 Git Repo 代码仓库

    git prune 如何清洗 Git Repo 代码仓库       在腾讯云上创建您的SQL Cluster>>> »   相信不少团队的代码仓库 Git Repo 变得越来越大. ...

  6. [CareerCup] 10.5 Web Crawler 网络爬虫

    10.5 If you were designing a web crawler, how would you avoid getting into infinite loops? 这道题问如果让我们 ...

  7. PowerCMD——cmd的命令行工具

    之前就想整理一下程序员经常使用的一些工具,最近有时间正好整理一下. 有句话叫做:“工欲善其事必先利其器”,而我就算是搜集工具组装成一个系列——善事利器,来记录一下工作学习中常用的一些工具. 总结起来, ...

  8. JavaScript基础---语言基础(2)

    运算符 1.一元运算符 2.算术运算符 3.关系运算符 4.逻辑运算符 5.*位运算符 6.赋值运算符 7.其他运算符 8.运算符优先级 ECMA-262描述了一组用于操作数据值的运算符,包括一元运算 ...

  9. 这些天自身努力的体会,关于java方面的

    以前也是接触过java,这学期的软件工程课和周围同学各种比赛取得不错的成绩,确实令人倍感压力.为此这几天使劲脑补了一下java的知识,甚至不惜为此翘课,了解了java中的网络编程,对于sokectse ...

  10. qt添加最小化和关闭按钮

    int width = this->width();//获取界面的宽度 //构建最小化.最大化.关闭按钮 QToolButton *minButton = new QToolButton(thi ...