一个执着于技术的公众号

iptables 命令基本语法

iptables [-t table] command [链名] [条件匹配] [-j 目标动作]

以下是对 iptables 命令的拆分讲解:

-t table

用来指明使用的表,有三种选项: filternatmangle。若未指定,则默认使用filter表

command参数

指定iptables 对我们提交的规则要做什么样的操作,以下是command常用参数:

  • -A

Append,追加一条规则(放到最后)

举例:


iptables -A INPUT -j DROP #拒绝所有人访问服务器(作为最后一条规则)

// 若未 -t 指定表,默认使用filter表

  • -I

Insert,在指定的位置插入规则

 举例:


iptables -I INPUT 2 -s 10.10.10.1 -j ACCEPT #允许10.10.10.1主机访问本机

// 在 filter 表的 INPUT 链插入成第2条规则

  • -L

List,查看规则列表

 具体参数:


n:只显示 IP 地址和端口号码,不显示域名和服务名称

v:显示详细信息,包括每条规则的匹配包数量和匹配字节数

x:在 v 的基础上,禁止自动单位换算(K、M)

--line-number:可以查看到规则号


 举例:


  • -D

Delete,从规则列表中删除规则

 举例:


iptables -D INPUT 2

// 删除 filter 表 INPUT 链中的第 2 条规则

  • -P

Policy,设置某个链的默认规则

举例:


iptables -P INPUT DROP

// 设置 filter 表 INPUT 链的默认规则是 DROP

当数据包没有被任何规则匹配时,则按默认规则处理。

  • -F

Flush,清空规则

  举例:


iptables -F INPUT #清空filter 表中INPUT链上的规则

iptables -F #清空filter 表中所有链上的规则

iptables -t nat -F PREROUTING ##清空NAT表中PREROUTING链上的规则

iptables -t nat -F #清空NAT表中所有链上的规则

注意:-F 是清空链中规则,但并不影响 -P 设置的默认规则。因此在生产环境中,若指定默认规则为DROP,一旦执行iptables -F,很容易导致自己也无法连接服务器(-F 会把配置的明细ACCEPT规则删除,只留下默认规则拒接所有)。

  • -Z

zero,将指定链的所有计数器归零。(如未指定,则认为是所有链)

举例:


iptables -Z INPUT

//清除filter表INPUT链上的计数器

条件匹配参数

按网络接口匹配:

  • -i

匹配数据进入的网络接口,此参数主要应用nat表,例如目标地址转换。

  • -o

匹配数据流出的网络接口

举例:


-i eth0

// 匹配从网络接口eth0进来的数据包

-o eth1

// 匹配从eth1流出的数据包

按源及目的地址匹配

  • -s

匹配源地址,可以是IP、网段、域名,也可空(代表任何地址)

  • -d

匹配目标地址

举例:


-s 参数举例:

iptables -A INPUT -s 10.10.10.10 -j DROP

// 拒绝10.10.10.10主机访问本机

-d 参数举例:

iptables -A OUTPUT -d www.baidu.com -j DROP

// 禁止本机访问百度

按协议类型匹配

  • -p

匹配协议类型,可以是TCP、UDP、ICMP等

  举例:


iptables -A INPUT -s 10.10.10.10 -p icmp -j DROP

// 禁止10.10.10.10主机ping通本机

按源及目的端口匹配

  • --sport

匹配源端口;可以是单个端口,也可以是端口范围

  • --dport

匹配目的端口

举例:


-- sport 23

//匹配源端口是23的数据包

 -- sport 2000:3000

//匹配源端口是 2000-3000 的数据包

-- sport :2000

//匹配2000以下的数据包(包含2000)

- --sport 1000:

//匹配1000以上的数据包(包含1000)

注意:--sport 和 --dport 必须配合 -p 参数使用,例如:

iptables -A INPUT -p tcp –dport 80 -j ACCEPT

//允许外部数据访问我的本地服务器80端口

详细解释:

1、这是一条从外部进入内部本地服务器的数据

2、数据包的目的(dport)地址是22,就是要访问我本地的22端口

3、允许以上的数据行为通过

目的动作

  • -j ACCEPT

允许数据包通过本链而不拦截它

举例:


iptables -A INPUT -j ACCEPT

// 允许所有访问本机的数据包通过

  • -j DROP

丢弃数据包;阻止数据包通过本链

举例:


iptables -A FORWARD -s 10.10.10.10 -j DROP

// 阻止来自10.10.10.10 的数据包通过本机

  • -j SNAT

源地址转换,支持转换为单IP,也支持转换到IP地址池

举例:


转换到单IP举例:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 18.18.18.18

// 将内网 192.168.1.0/24 转换为公网18.18.18.18地址;SNAT,用于访问互联网

转换到一组地址池:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 18.18.18.18-18.18.18.28

//同上,只不过是转换到一组IP地址池

  • -j DNAT

目的地址转换,支持转换为单IP,也支持转换到IP地址池

举例:


转换到单IP举例:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.1

//把从eth0口进来访问TCP/80端口的数据包目的地址改成192.168.1.1

转换到一组地址池:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.1-192.168.1.10

  • -j MASQUERADE

动态SNAT转换(适用于动态 IP 场景 )

举例:


 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

// 将源地址是 192.168.1.0/24 的数据包进行地址伪装,转换成 eth0 上的 IP 地址

iptables 常用附加模块:

  按包状态匹配 (state)

-m state --state 状态

举例:


iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

// 将目前已运行的服务端口全部放行!无风险,良心推荐使用

  按来源 MAC 匹配(mac)

-m mac --mac-source MAC

举例:


iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j DROP

// 拒绝来自某 MAC 地址的数据包进入本机

  按包速率匹配 (limit)

-m limit --limit 匹配速率

  举例:


iptables -A FORWARD -d 192.168.1.1 -m limit --limit 50/s -j ACCEPT

iptables -A FORWARD -d 192.168.1.1 -j DROP

limit 英语上看是限制的意思,但实际上只是按一定速率去匹配而已,50/s 表示 1 秒中转发 50 个数据包,要想限制的话后面要再跟一条DROP规则

  多端口匹配 (multiport)

-m multiport <--sports|--dports|--ports> 端口 1[,端口 2,..,端口 n]

举例:


iptables -A INPUT -p tcp -m multiport --dports 22,53,80,443 -j ACCEPT

// 允许访问本机TCP/22,53,80,443端口

注意:该参数必须与 -p 参数一起使用

iptables 规则备份和恢复

我们执行 iptables 命令时,规则只是保存在内存中,并没有保存到某一个文件中。因此系统重启之后,之前设定的规则就没有了,所以规则设定完毕,检查无误后要及时保存规则,使用命令:

[root@LB-01 ~]# service iptables save

iptables: Saving firewall rules to /etc/sysconfig/iptables:[  OK  ]

会看到提示,防火墙规则保存在/etc/sysconfig/iptables文件内,这个文件就是iptables的配置文件。所以如果要备份防火墙规则,复制该配置文件即可。例如:

cp /etc/sysconfig/iptables /opt/myipt.rule

如果需要恢复这些规则,使用以下命令:

iptables-restore < /opt/myipt.rule

service iptables save

结语

如果您觉得看完本文后有所收获, 还希望您随手帮忙点个在看 、或者分享转发。您的支持是我坚持分享的最大动力!

往期精彩

◆  必看 | Linux系列学习书籍免费送

◆  利用expect批量修改Linux服务器密码

◆  nginx+Keepalived 实现高可用集群

◆  干货 | LVM快照学习

◆  一文带你读懂nginx反向代理

◆  抓包工具tcpdump用法说明

◆  零成本 | 手把手教你搭建个人博客

◆  实战 | Hadoo大数据集群搭建

【深度好文】终于有人把云计算、大数据和AI讲明白了

◆  亿级web系统负载均衡几种实现方式

◆  一文带你读懂zookeeper在大数据生态的应用

iptables系列教程(二)| iptables语法规则的更多相关文章

  1. webpack4 系列教程(二): 编译 ES6

    今天介绍webpack怎么编译ES6的各种函数和语法.敲黑板:这是webpack4版本哦, 有一些不同于webpack3的地方. >>> 本节课源码 >>> 所有课 ...

  2. CRL快速开发框架系列教程二(基于Lambda表达式查询)

    本系列目录 CRL快速开发框架系列教程一(Code First数据表不需再关心) CRL快速开发框架系列教程二(基于Lambda表达式查询) CRL快速开发框架系列教程三(更新数据) CRL快速开发框 ...

  3. Shell脚本系列教程二: 开始Shell编程

    Shell脚本系列教程二: 开始Shell编程 2.1 如何写shell script? (1) 最常用的是使用vi或者mcedit来编写shell脚本, 但是你也可以使用任何你喜欢的编辑器; (2) ...

  4. C#微信公众号开发系列教程二(新手接入指南)

    http://www.cnblogs.com/zskbll/p/4093954.html 此系列前面已经更新了两篇博文了,都是微信开发的前期准备工作,现在切入正题,本篇讲解新手接入的步骤与方法,大神可 ...

  5. Android Studio系列教程二--基本设置与运行

    Android Studio系列教程二--基本设置与运行 2014 年 11 月 28 日 DevTools 本文为个人原创,欢迎转载,但请务必在明显位置注明出处! 上面一篇博客,介绍了Studio的 ...

  6. NGUI系列教程二

    接下来我们创建一个Label,NGUI->Open the Widget Wizard,打开widgetTool对话框,在Template中选择Label,确定AddTo右侧选项为panel,点 ...

  7. 黄聪:Microsoft Enterprise Library 5.0 系列教程(二) Cryptography Application Block (高级)

    原文:黄聪:Microsoft Enterprise Library 5.0 系列教程(二) Cryptography Application Block (高级) 本章介绍的是企业库加密应用程序模块 ...

  8. 黄聪:Microsoft Enterprise Library 5.0 系列教程(二) Cryptography Application Block (初级)

    原文:黄聪:Microsoft Enterprise Library 5.0 系列教程(二) Cryptography Application Block (初级) 企业库加密应用程序模块提供了2种方 ...

  9. Fastify 系列教程二 (中间件、钩子函数和装饰器)

    Fastify 系列教程: Fastify 系列教程一 (路由和日志) Fastify 系列教程二 (中间件.钩子函数和装饰器) 中间件 Fastify 提供了与 Express 和 Restify ...

  10. Fastify 系列教程二 (中间件、钩子函数和装饰器)

    Fastify 系列教程: Fastify 系列教程一 (路由和日志) Fastify 系列教程二 (中间件.钩子函数和装饰器) Fastify 系列教程三 (验证.序列化和生命周期) Fastify ...

随机推荐

  1. java-servlet-cookie&sessions

    http协议是无状态协议  无状态协议的意思是服务端与客户端不会记录任何一次通信的信息 服务端"和"客户端",虽然见过很多面,但每次见面仍还是认不出对方,都是陌生人. 但 ...

  2. 你对 Spring Boot 有什么了解?

    事实上,随着新功能的增加,弹簧变得越来越复杂.如果必须启动新的 spring 项 目,则必须添加构建路径或添加 maven 依赖项,配置应用程序服务器,添加 spring 配置.所以一切都必须从头开始 ...

  3. 客户端注册 Watcher 实现?

    1.调用 getData()/getChildren()/exist()三个 API,传入 Watcher 对象 2.标记请求 request,封装 Watcher 到 WatchRegistrati ...

  4. MySQL碎片整理小节--实例演示

    MYSQL之磁盘碎片整理 清澈,细流涓涓的爱 数据库引擎以InnoDB为主 1.磁盘碎片是什么 ​ InnoDB表的数据存储在页中,每个页可以存放多条记录,这些记录以树形结构组织,这棵树称为B+树. ...

  5. asp.net 可视化操作(一)——asp.net安装与使用

    目录 安装 创建网页 设计网页 运行 vs 2019安装asp.net 1.安装 打开vs,选择继续但无需代码 -->工具–>获取工具和功能 勾选如下选项后,点击关闭 点击更新等待安装完成 ...

  6. 使用滑模控制对sin(t)曲线追踪

    结合:[Matlab]简单的滑模控制程序及Simulink仿真本片文章观看,此篇文章是在这篇文章的基础上进行修改的 输出u的推导过程 如果不明白控制量输出u的推到过成请看:[控制理论]滑模控制最强解析 ...

  7. 【译】HTML表单高级样式

    系列文章说明 原文 在本文中,我们将了解如何在HTML表单上使用CSS,为那些难于自定义的表单组件加以样式.如前文所述,文本框和按钮很适合使用CSS,而现在我们得来探索HTML表单样式的那些坑了. 在 ...

  8. 从ES6重新认识JavaScript设计模式(三): 建造者模式

    1 什么是建造者模式? 建造者模式(Builder)是将一个复杂对象的构建层与其表示层相互分离,同样的构建过程可采用不同的表示. 建造者模式的特点是分步构建一个复杂的对象,可以用不同组合或顺序建造出不 ...

  9. DOM节点的使用(常用方法+代码)

    DOM节点的应用 学习总结 1. 什么是 DOM 2. HTMLDOM 3. 元素获取 元素获取方式 元素节点的属性操作 4. Node 对象的属性和方法 常用属性 常用方法 5. 事件处理 事件驱动 ...

  10. 深入理解nodejs的异步IO与事件模块机制

    node为什么要使用异步I/O 异步I/O的技术方案:轮询技术 node的异步I/O nodejs事件环 一.node为什么要使用异步I/O 异步最先诞生于操作系统的底层,在底层系统中,异步通过信号量 ...