10.14 iptables語法
linux防火牆-netfilter
- 查看iptables規則:iptables -nvL
- iptables -F 清空規則
- service iptables save 保存規則
- iptables -t nat 參數-t 指定表
- iptables -Z 能夠把計數器清零
- iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
- iptables -I/-A/-D INPUT -s 1.1.1.1 -j DROP
- iptables -I INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
- iptables -nvL --line-numbers
- iptables -D INPUT 1
- iptables -P INPUT DROP
iptables命令
- iptables -nvL 查看iptables默認規則
[root@hf-01 ~]# iptables -nvL //查看iptables規則
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
357 28956 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
2 184 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
18 1404 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 251 packets, 57368 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
- service iptables restart 重啓iptables規則
[root@hf-01 ~]# service iptables restart Redirecting to /bin/systemctl restart iptables.service [root@hf-01 ~]#
- 存放默認規則的位置
- /etc/sysconfig/iptables
[root@hf-01 ~]# cat /etc/sysconfig/iptables //存放默認規則的位置 # sample configuration for iptables service # you can edit this manually or use system-config-firewall # please do not ask us to add additional ports/services to this default configuration *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT [root@hf-01 ~]#
iptables -F清空規則
- iptables -F清空規則
- 在清空規則後,再去查看,會發現沒有規則了(可是在文件中依舊保存這規則)
[root@hf-01 ~]# iptables -F [root@hf-01 ~]# iptables -nvL Chain INPUT (policy ACCEPT 8 packets, 576 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 5 packets, 636 bytes) pkts bytes target prot opt in out source destination [root@hf-01 ~]#
-
service iptables save 保存規則linux
- 如果在清空規則後,去執行service iptables save保存規則,那存放規則的文件也會變成所保存的規則
-
在iptables -F清空規則後,重啓service restart iptables.service(重啓服務器或者iptables規則),都會加載配置文件裏面的規則服務器
- 在重啓規則後,會看到原先被清空的規則從新加載了
[root@hf-01 ~]# service iptables restart
Redirecting to /bin/systemctl restart iptables.service
[root@hf-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
12 872 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 8 packets, 2048 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
- iptables -t nat -nvL 查看nat表中的規則
- 在不指定表的時候,默認就是 filter 表
iptables -Z 把計數器清零
- iptables -Z 把計數器清零
- 在查看filter表的時候,會看到第一列和第二列都是有數據的
- 第一列,是有多少個包
- 第二列,是數據量,數據大小(單位:bytes字節)
- 在查看filter表的時候,會看到第一列和第二列都是有數據的
[root@hf-01 ~]# iptables -Z; iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
- 這裏會看到數字都清零了,但過一會再來查看,會看到數字又出現了(由於在每時每刻都在通訊)
[root@hf-01 ~]# iptables -t filter -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
52 3592 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 28 packets, 5152 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
iptables新增規則 -A
- 在iptables命令中,沒有-t 指定表的時候,默認就是filter表
- iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP
- -A,就是增長一條規則(這裏針對的是INPUT鏈)
- 新增的規則會在規則的最後面
- -s ,指定來源IP
- -p,指定它的協議,是TCP,仍是UDP,或者是ICMP協議
- -sport,來源的端口
- -d,指目標的IP
- -dport,指目標的端口
- -j,操做
- DROP,扔掉
- REJECT,拒絕
- -A,就是增長一條規則(這裏針對的是INPUT鏈)
- DROP扔掉和REJECT拒絕,最終實現的效果是同樣的,都是爲了讓數據包過不來,至關於把IP給封掉
- DROP和REJECT區別:
- DROP,在這個數據包來了以後,看都不看直接扔掉
- REJECT,在這個數據包來了以後,先看一看,看完以後,在拒絕
[root@hf-01 ~]# iptables -A INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP //新增規則
[root@hf-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
97 7172 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
27 2106 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
0 0 DROP tcp -- * * 192.168.188.1 192.168.188.128 tcp spt:1234 dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 22 packets, 3768 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
iptables命令 參數 -I
- iptables -I INPUT -p tcp --dport 80 -j DROP
- 這裏是簡寫,不指定來源IP,和目標IP,只寫目標的端口——>但必定要指定tcp/ip
- 如果使用了 dport 或 sport ,那麼前面必須 -p 指定它的協議
[root@hf-01 ~]# iptables -I INPUT -p tcp --dport 80 -j DROP
[root@hf-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
238 18252 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
27 2106 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
0 0 DROP tcp -- * * 192.168.188.1 192.168.188.128 tcp spt:1234 dpt:80
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 8 packets, 2288 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
- -I和-A的區別:
- -I,表示插入
- -A,表示增長
- 如果規則添加到前面,則是優先過濾最前面的規則,而後再去往下一條條的執行
- 如果數據包匹配了第一條規則(同時知足兩條規則),就會先匹配第一條規則。一旦匹配了第一條規則,那麼數據包就會被抓取掉了,就不會再往下執行規則了
- 一旦匹配規則,當即執行
iptables命令參數-d 刪除規則
- iptables -D INPUT -s 1.1.1.1 -j DROP 刪除規則
[root@hf-01 ~]# iptables -D INPUT -p tcp --dport 80 -j DROP //刪除規則
[root@hf-01 ~]# iptables -D INPUT -s 192.168.188.1 -p tcp --sport 1234 -d 192.168.188.128 --dport 80 -j DROP //刪除規則
[root@hf-01 ~]# iptables -nvL
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
401 33844 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
27 2106 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 4 packets, 592 bytes)
pkts bytes target prot opt in out source destination
[root@hf-01 ~]#
根據編號刪除規則
- 刪除規則的另外一種方法
- iptables -nvL --line-numbers 打印出規則的序列號
- 第一列就是number
[root@hf-01 ~]# iptables -nvL --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 2 605 53404 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 5 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 6 27 2106 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 7 0 0 DROP tcp -- * * 192.168.188.1 192.168.188.128 tcp spt:1234 dpt:80 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 47 packets, 7652 bytes) num pkts bytes target prot opt in out source destination [root@hf-01 ~]# iptables -D INPUT 7 //刪除序列7的規則 [root@hf-01 ~]# iptables -nvL --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 2 662 57360 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 5 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 6 27 2106 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 4 packets, 464 bytes) num pkts bytes target prot opt in out source destination [root@hf-01 ~]#
iptables命令 參數 -P
-
iptables -P OUTPUT DROP 默認的規則tcp
- 鏈中,有一個默認的策略policy,policy ACCEPT表示這個鏈不加這些規則的話,那OUTPUT沒有任何的規則,因此對於OUTPUT鏈的數據包來說,policy ACCEPT就是由默認的策略來決定的
- 默認的策略是由ACCEPT來決定,全部的數據包只要是沒有具體的規則來匹配,那麼它就走默認的策略
- 鏈中,有一個默認的策略policy,policy ACCEPT表示這個鏈不加這些規則的話,那OUTPUT沒有任何的規則,因此對於OUTPUT鏈的數據包來說,policy ACCEPT就是由默認的策略來決定的
-
默認的規則最好不要去改變!!!this
相關文章
- 1. iptables語法
- 2. Linux網絡,防火牆,netfilter,iptables語法
- 3. 10.14
- 4. 10.14 c語言基礎
- 5. Iptables的使用語法
- 6. iptables之語法初步
- 7. 十(4)iptables語法、iptables filter表小案例、iptables nat表應用
- 8. 10.14~10.20
- 9. iptables經常使用語法+iptables規則寫法
- 10. 10.11 Linux網絡相關 10.12 firewalld和netfilter 10.13 netfilter5表5鏈介紹 10.14 iptables語法
- 更多相關文章...
- • SQLite 語法 - SQLite教程
- • PHP 語法 - PHP教程
- • Kotlin學習(一)基本語法
- • 算法總結-回溯法
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 升級Gradle後報錯Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地環境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中關鍵字前後幾行的內容
- 5. XXE萌新進階全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通過agent監控winserve12
- 8. IT行業UI前景、潛力如何?
- 9. Mac Swig 3.0.12 安裝
- 10. Windows上FreeRDP-WebConnect是一個開源HTML5代理,它提供對使用RDP的任何Windows服務器和工作站的Web訪問
歡迎關注本站公眾號,獲取更多信息
相關文章