linux中iptables配置文件及命令詳解詳解
iptables配置文件web
直接改iptables配置就能夠了:vim /etc/sysconfig/iptables。vim
一、關閉全部的 INPUT FORWARD OUTPUT 只對某些端口開放。windows
下面是命令實現:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
再用命令 iptables -L -n 查看 是否設置好, 好看到所有 DROP 了
這樣的設置好了,咱們只是臨時的, 重啓服務器仍是會恢復原來沒有設置的狀態
還要使用 service iptables save 進行保存
看到信息 firewall rules 防火牆的規則 其實就是保存在 /etc/sysconfig/iptables
能夠打開文件查看 vi /etc/sysconfig/iptables
二、
下面我只打開22端口,看我是如何操做的,就是下面2個語句(一下爲命令行模式)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
再查看下 iptables -L -n 是否添加上去, 看到添加了
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
如今Linux服務器只打開了22端口,用putty.exe測試一下是否能夠連接上去。
能夠連接上去了,說明沒有問題。
最後別忘記了保存 對防火牆的設置
經過命令:service iptables save 進行保存
重啓iptables
service iptables save && service iptables restart
關閉防火牆
chkconfig iptables off && service iptables stop
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
針對這2條命令進行一些講解吧
-A 參數就當作是添加一條 INPUT 的規則
-p 指定是什麼協議 咱們經常使用的tcp 協議,固然也有udp 例如53端口的DNS
到時咱們要配置DNS用到53端口 你們就會發現使用udp協議的
而 --dport 就是目標端口 當數據從外部進入服務器爲目標端口
反之 數據從服務器出去 則爲數據源端口 使用 --sport
-j 就是指定是 ACCEPT 接收 或者 DROP 不接收
三、禁止某個IP訪問
1臺Linux服務器,2臺windows xp 操做系統進行訪問
Linux服務器ip 192.168.1.99
xp1 ip: 192.168.1.2
xp2 ip: 192.168.1.8
下面看看我2臺xp 均可以訪問的
192.168.1.2 這是 xp1 能夠訪問的,
192.168.1.8 xp2 也是能夠正常訪問的。
那麼如今我要禁止 192.168.1.2 xp1 訪問, xp2 正常訪問,
下面看看演示
經過命令 iptables -A INPUT -p tcp -s 192.168.1.2 -j DROP
這裏意思就是 -A 就是添加新的規則, 怎樣的規則呢? 因爲咱們訪問網站使用tcp的,
咱們就用 -p tcp , 若是是 udp 就寫udp,這裏就用tcp了, -s就是 來源的意思,
ip來源於 192.168.1.2 ,-j 怎麼作 咱們拒絕它 這裏應該是 DROP
好,看看效果。好添加成功。下面進行驗證 一下是否生效
一直出現等待狀態 最後 該頁沒法顯示 ,這是 192.168.1.2 xp1 的訪問被拒絕了。
再看看另一臺 xp 是否能夠訪問, 是能夠正常訪問的 192.168.1.8 是能夠正常訪問的
四、如何刪除規則
首先咱們要知道 這條規則的編號,每條規則都有一個編號
經過 iptables -L -n --line-number 能夠顯示規則和相對應的編號
num target prot opt source destination
1 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:3306
2 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
3 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
多了 num 這一列, 這樣咱們就能夠 看到剛纔的規則對應的是 編號2
那麼咱們就能夠進行刪除了
iptables -D INPUT 2
刪除INPUT鏈編號爲2的規則。
再 iptables -L -n 查看一下 已經被清除了。
五、過濾無效的數據包
假設有人進入了服務器,或者有病毒木馬程序,它能夠經過22,80端口像服務器外傳送數據。
它的這種方式就和咱們正常訪問22,80端口區別。它發向外發的數據不是咱們經過訪問網頁請求
而回應的數據包。
下面咱們要禁止這些沒有經過請求迴應的數據包,通通把它們堵住掉。
iptables 提供了一個參數 是檢查狀態的,下面咱們來配置下 22 和 80 端口,防止無效的數據包。
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
能夠看到和咱們之前使用的:
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
多了一個狀態判斷。
一樣80端口也同樣, 如今刪掉原來的2條規則,
iptables -L -n --line-number 這個是查看規則並且帶上編號。咱們看到編號就能夠
刪除對應的規則了。
iptables -D OUTPUT 1 這裏的1表示第一條規則。
當你刪除了前面的規則, 編號也會隨之改變。看到了吧。
好,咱們刪除了前面2個規則,22端口還能夠正常使用,說明沒問題了
下面進行保存,別忘記了,否則的話重啓就會還原到原來的樣子。
service iptables save 進行保存。
Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
其實就是把剛纔設置的規則寫入到 /etc/sysconfig/iptables 文件中。
六、DNS端口53設置
下面咱們來看看如何設置iptables來打開DNS端口,DNS端口對應的是53
你們看到我如今的狀況了吧,只開放22和80端口, 我如今看看能不能解析域名。
host www.google.com 輸入這個命令後,一直等待,說明DNS不通
出現下面提示 :
;; connection timed out; no servers could be reached
ping 一下域名也是不通
[root@localhost ~ping www.google.com
ping: unknown host www.google.com
我這裏的緣由就是 iptables 限制了53端口。
有些服務器,特別是Web服務器減慢,DNS其實也有關係的,沒法發送包到DNS服務器致使的。
下面演示下如何使用 iptables 來設置DNS 53這個端口,若是你不知道 域名服務端口號,你
能夠用命令 : grep domain /etc/services
[root@localhost ~grep domain /etc/services
domain 53/tcp # name-domain server
domain 53/udp
domaintime 9909/tcp # domaintime
domaintime 9909/udp # domaintime
看到了吧, 咱們通常使用 udp 協議。
好了, 開始設置。。。
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
這是咱們 ping 一個域名,數據就是從本機出去,因此咱們先設置 OUTPUT,
咱們按照ping這個流程來設置。
而後 DNS 服務器收到咱們發出去的包,就回應一個回來
iptables -A INPUT -p udp --sport 53 -j ACCEPT
同時還要設置
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
好了, 下面開始測試下, 能夠用 iptables -L -n 查看設置狀況,肯定沒有問題就能夠測試了
[root@localhost ~iptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22 state ESTABLISHED
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:80 state ESTABLISHED
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp spt:53
能夠測試一下 是否 DNS 能夠經過iptables 了。
[root@localhost ~host www.google.com
www.google.com is an alias for www.l.google.com.
www.l.google.com is an alias for www-china.l.google.com.
www-china.l.google.com has address 64.233.189.104
www-china.l.google.com has address 64.233.189.147
www-china.l.google.com has address 64.233.189.99
正常能夠解析 google 域名。
ping 方面可能還要設置些東西。
用 nslookup 看看吧
[root@localhost ~nslookup
> www.google.com
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
www.google.com canonical name = www.l.google.com.
www.l.google.com canonical name = www-china.l.google.com.
Name: www-china.l.google.com
Address: 64.233.189.147
Name: www-china.l.google.com
Address: 64.233.189.99
Name: www-china.l.google.com
Address: 64.233.189.104
說明本機DNS正常, iptables 容許53這個端口的訪問。
七、iptables對ftp的設置
如今我開始對ftp端口的設置,按照咱們之前的視頻,添加須要開放的端口
ftp鏈接端口有2個 21 和 20 端口,我如今添加對應的規則。
[root@localhost rootiptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@localhost rootiptables -A INPUT -p tcp --dport 20 -j ACCEPT
[root@localhost rootiptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
[root@localhost rootiptables -A OUTPUT -p tcp --sport 20 -j ACCEPT
好,這樣就添加完了,咱們用瀏覽器訪問一下ftp,出現超時。
因此我剛纔說 ftp 是比較特殊的端口,它還有一些端口是 數據傳輸端口,
例如目錄列表, 上傳 ,下載 文件都要用到這些端口。
而這些端口是 任意 端口。。。 這個 任意 真的比較特殊。
若是不指定什麼一個端口範圍, iptables 很難對任意端口開放的,
若是iptables容許任意端口訪問, 那和不設置防火牆沒什麼區別,因此不現實的。
那麼咱們的解決辦法就是 指定這個數據傳輸端口的一個範圍。
下面咱們修改一下ftp配置文件。
我這裏使用vsftpd來修改演示,其餘ftp我不知道哪裏修改,你們能夠找找資料。
[root@localhost rootvi /etc/vsftpd.conf
在配置文件的最下面 加入
pasv_min_port=30001
pasv_max_port=31000
而後保存退出。
這兩句話的意思告訴vsftpd, 要傳輸數據的端口範圍就在30001到31000 這個範圍內傳送。
這樣咱們使用 iptables 就好辦多了,咱們就打開 30001到31000 這些端口。
[root@localhost rootiptables -A INPUT -p tcp --dport 30001:31000 -j ACCEPT
[root@localhost rootiptables -A OUTPUT -p tcp --sport 30001:31000 -j ACCEPT
[root@localhost rootservice iptables save
最後進行保存, 而後咱們再用瀏覽器範圍下 ftp。能夠正常訪問
用個帳號登錄上去,也沒有問題,上傳一些文件上去看看。
看到了吧,上傳和下載都正常。。 再查看下 iptables 的設置
[root@localhost rootiptables -L -n
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:30001:31000
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:22
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:21
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:20
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spts:30001:31000
這是我爲了演示ftp特殊端口作的簡單規則,你們能夠添加一些對數據包的驗證
例如 -m state --state ESTABLISHED,RELATED 等等要求更加高的驗證瀏覽器
例子1:服務器
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT網絡
#如上例,添加一條入站規則:對進來的包的狀態進行檢測。已經創建tcp鏈接的包以及該鏈接相關的包容許經過! app
#ESTABLISHED:已創建的連接狀態。RELATED:該數據包與本機發出的數據包有關。dom
例子2:tcp
iptables -A INPUT -i lo -j ACCEPT工具
#-i 參數是指定接口,這裏的接口是lo ,lo就是Loopback(本地環回接口),意思就容許本地環回接口在INPUT表的全部數據通訊。
例子3:
-A INPUT -j REJECT --reject-with icmp-host-prohibited搜索
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 這兩條的意思是在INPUT表和FORWARD表中拒絕全部其餘不符合上述任何一條規則的數據包。而且發送一條host prohibited的消息給被拒絕的主機。(通常不發送,就不添加這兩條)
如下是iptables相關命令和參數:
ilter 這個規則表是預設規則表,擁有 INPUT、FORWARD 和 OUTPUT 三個規則鏈,這個規則表顧名思義是用來進行封包過濾的理動做(例如:DROP、 LOG、 ACCEPT 或 REJECT),咱們會將基本規則都創建在此規則表中。
主要包含:命令表
用來增長(-A、-I)刪除(-D)修改(-R)查看(-L)規則等;
經常使用參數 用來指定協議(-p)、源地址(-s)、源端口(--sport)、目的地址(-d)、目的端口(--dport)、
進入網卡(-i)、出去網卡(-o)等設定包信息(即什麼樣的包); 用來描述要處理包的信息。
經常使用處理動做 用 -j 來指定對包的處理(ACCEPT、DROP、REJECT、REDIRECT等)。
一、經常使用命令列表: 經常使用命令(-A追加規則、-D刪除規則、-R修改規則、-I插入規則、-L查看規則)
命令 -A, --append
範例 iptables -A INPUT ...
說明 新增規則(追加方式)到某個規則鏈(這裏是INPUT規則鏈)中,該規則將會成爲規則鏈中的最後一條規則。
命令 -D, --delete
範例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
說明 從某個規則鏈中刪除一條規則,能夠輸入完整規則,或直接指定規則編號加以刪除。
命令 -R, --replace
範例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
說明 取代現行規則,規則被取代後並不會改變順序。(1是位置)
命令 -I, --insert
範例 iptables -I INPUT 1 --dport 80 -j ACCEPT
說明 插入一條規則,本來該位置(這裏是位置1)上的規則將會日後移動一個順位。
命令 -L, --list
範例 iptables -L INPUT
說明 列出某規則鏈中的全部規則。
命令 -F, --flush
範例 iptables -F INPUT
說明 刪除某規則鏈(這裏是INPUT規則鏈)中的全部規則。
命令 -Z, --zero
範例 iptables -Z INPUT
說明 將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具。
命令 -N, --new-chain
範例 iptables -N allowed
說明 定義新的規則鏈。
命令 -X, --delete-chain
範例 iptables -X allowed
說明 刪除某個規則鏈。
命令 -P, --policy
範例 iptables -P INPUT DROP
說明 定義過濾政策。 也就是未符合過濾條件之封包,預設的處理方式。
命令 -E, --rename-chain
範例 iptables -E allowed disallowed
說明 修改某自訂規則鏈的名稱。
二、經常使用封包比對參數:(-p協議、-s源地址、-d目的地址、--sport源端口、--dport目的端口、-i 進入網卡、-o 出去網卡)
參數 -p, --protocol (指定協議)
範例 iptables -A INPUT -p tcp (指定協議) -p all 全部協議, -p !tcp 去除tcp外的全部協議。
說明 比對通信協議類型是否相符,可使用 ! 運算子進行反向比對,例如:-p ! tcp ,
意思是指除 tcp 之外的其它類型,包含udp、icmp ...等。若是要比對全部類型,則可使用 all 關鍵詞,例如:-p all。
參數 -s, --src, --source (指定源地址,指定源端口--sport)
例如: iptables -A INPUT -s 192.168.1.1
說明 用來比對封包的來源 IP,能夠比對單機或網絡,比對網絡時請用數字來表示屏蔽,
例如:-s 192.168.0.0/24,比對 IP 時可使用 ! 運算子進行反向比對,
例如:-s ! 192.168.0.0/24。
參數 -d, --dst, --destination (指定目的地址,指定目的端口--dport)
例如: iptables -A INPUT -d 192.168.1.1
說明 用來比對封包的目的地 IP,設定方式同上。
參數 -i, --in-interface (指定入口網卡) -i eth+ 全部網卡
例如: iptables -A INPUT -i eth0
說明 用來比對封包是從哪片網卡進入,可使用通配字符 + 來作大範圍比對,
例如:-i eth+ 表示全部的 ethernet 網卡,也以使用 ! 運算子進行反向比對,
例如:-i ! eth0。
參數 -o, --out-interface (指定出口網卡)
例如: iptables -A FORWARD -o eth0
說明 用來比對封包要從哪片網卡送出,設定方式同上。
參數 --sport, --source-port (源端口)
例如: iptables -A INPUT -p tcp --sport 22
說明 用來比對封包的來源端口號,能夠比對單一埠,或是一個範圍,
例如:--sport 22:80,表示從 22 到 80 端口之間都算是符合件,
若是要比對不連續的多個埠,則必須使用 --multiport 參數,詳見後文。比對埠號時,可使用 ! 運算子進行反向比對。
參數 --dport, --destination-port (目的端口)
例如: iptables -A INPUT -p tcp --dport 22
說明 用來比對封包的目的端口號,設定方式同上。
參數 --tcp-flags (只過濾TCP中的一些包,好比SYN包,ACK包,FIN包,RST包等等)
例如: iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
說明 比對 TCP 封包的狀態旗號,參數分爲兩個部分,第一個部分列舉出想比對的旗號,
第二部分則列舉前述旗號中哪些有被設,未被列舉的旗號必須是空的。TCP 狀態旗號包括:SYN(同步)、ACK(應答)、
FIN(結束)、RST(重設)、URG(緊急)PSH(強迫推送) 等都可使用於參數中,除此以外還可使用關鍵詞 ALL 和
NONE 進行比對。比對旗號時,可使用 ! 運算子行反向比對。
參數 --syn
例如: iptables -p tcp --syn
說明 用來比對是否爲要求聯機之 TCP 封包,與 iptables -p tcp --tcp-flags SYN,
FIN,ACK SYN 的做用徹底相同,若是使用 !運算子,可用來比對非要求聯機封包。
參數 -m multiport --source-port
例如: iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
說明 用來比對不連續的多個來源埠號,一次最多能夠比對 15 個埠,可使用 !
運算子進行反向比對。
參數 -m multiport --destination-port
例如: iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
說明 用來比對不連續的多個目的地埠號,設定方式同上。
參數 -m multiport --port
例如: iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
說明 這個參數比較特殊,用來比對來源埠號和目的埠號相同的封包,設定方式同上。
注意:在本範例中,若是來源端口號爲 80目的地埠號爲 110,這種封包並不算符合條件。
參數 --icmp-type
例如: iptables -A INPUT -p icmp --icmp-type 8
說明 用來比對 ICMP 的類型編號,可使用代碼或數字編號來進行比對。
請打 iptables -p icmp --help 來查看有哪些代碼可用。
參數 -m limit --limit
例如: iptables -A INPUT -m limit --limit 3/hour
說明 用來比對某段時間內封包的平均流量,上面的例子是用來比對:每小時平均流量是
否超過一次 3 個封包。 除了每小時平均次外,也能夠每秒鐘、每分鐘或天天平均一次,
默認值爲每小時平均一次,參數如後: /second、 /minute、/day。 除了進行封數量的
比對外,設定這個參數也會在條件達成時,暫停封包的比對動做,以免因駭客使用洪水
攻擊法,致使服務被阻斷。
參數 --limit-burst
範例 iptables -A INPUT -m limit --limit-burst 5
說明 用來比對瞬間大量封包的數量,上面的例子是用來比對一次同時涌入的封包是否超
過 5 個(這是默認值),超過此上限的封將被直接丟棄。使用效果同上。
參數 -m mac --mac-source
範例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
說明 用來比對封包來源網絡接口的硬件地址,這個參數不能用在 OUTPUT 和 Postrouting規則煉上,這是由於封包要送出到網後,才能由網卡驅動程序透過 ARP 通信協議查出目的地的 MAC 地址,因此 iptables 在進行封包比對時,並不知道封包會送到個網絡接口去。
參數 --mark
範例 iptables -t mangle -A INPUT -m mark --mark 1
說明 用來比對封包是否被表示某個號碼,當封包被比對成功時,咱們能夠透過 MARK 處理動做,將該封包標示一個號碼,號碼最不能夠超過 4294967296。
參數 -m owner --uid-owner
範例 iptables -A OUTPUT -m owner --uid-owner 500
說明 用來比對來自本機的封包,是否爲某特定使用者所產生的,這樣能夠避免服務器使用
root 或其它身分將敏感數據傳送出,能夠下降系統被駭的損失。惋惜這個功能沒法比對出
來自其它主機的封包。
參數 -m owner --gid-owner
範例 iptables -A OUTPUT -m owner --gid-owner 0
說明 用來比對來自本機的封包,是否爲某特定使用者羣組所產生的,使用時機同上。
參數 -m owner --pid-owner
範例 iptables -A OUTPUT -m owner --pid-owner 78
說明 用來比對來自本機的封包,是否爲某特定行程所產生的,使用時機同上。
參數 -m owner --sid-owner
範例 iptables -A OUTPUT -m owner --sid-owner 100
說明 用來比對來自本機的封包,是否爲某特定聯機(Session ID)的響應封包,使用時
機同上。
參數 -m state --state
範例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
說明 用來比對聯機狀態,聯機狀態共有四種:INVALID、ESTABLISHED、NEW 和 RELATED。
INVALID 表示該封包的聯機編號(Session ID)沒法辨識或編號不正確。
ESTABLISHED 表示該封包屬於某個已經創建的聯機。
NEW 表示該封包想要起始一個聯機(重設聯機或將聯機重導向)。
RELATED 表示該封包是屬於某個已經創建的聯機,所創建的新聯機。例如:FTP-DATA 聯機一定是源自某個 FTP 聯機。
三、經常使用的處理動做: (-j 指定對知足條件包的處理,經常使用動做有ACCEPT接受報、DROP丟棄報、REJECT丟棄報並通知對方、REDIRECT重定向包等)
-j 參數用來指定要進行的處理動做,經常使用的處理動做包括:ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK,分別說明以下:
ACCEPT 將封包放行,進行完此處理動做後,將再也不比對其它規則,直接跳往下一個規則鏈(natostrouting)。
REJECT 攔阻該封包,並傳送封包通知對方,能夠傳送的封包有幾個選擇:ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset(這個封包會要求對方關閉聯機),進行完此處理動做後,將再也不比對其它規則,直接中斷過濾程序。
例如:iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP 丟棄封包不予處理,進行完此處理動做後,將再也不比對其它規則,直接中斷過濾程序。
REDIRECT 將封包從新導向到另外一個端口(PNAT),進行完此處理動做後,將會繼續比對其它規則。
這個功能能夠用來實做通透式porxy 或用來保護 web 服務器。
例如:iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改寫封包來源 IP 爲防火牆 NIC IP,能夠指定 port 對應的範圍,進行完此處理動做後,直接跳往下一個規則(mangleostrouting)。這個功能與 SNAT 略有不一樣,當進行 IP 假裝時,不需指定要假裝成哪一個 IP,IP 會從網卡直接讀,當使用撥接連線時,IP 一般是由 ISP 公司的 DHCP 服務器指派的,這個時候 MASQUERADE 特別有用。
例如:iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 將封包相關訊息紀錄在 /var/log 中,詳細位置請查閱 /etc/syslog.conf 組態檔,進行完此處理動做後,將會繼續比對其規則。
例如:iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改寫封包來源 IP 爲某特定 IP 或 IP 範圍,能夠指定 port 對應的範圍,進行完此處理動做後,將直接跳往下一個規則(mangleostrouting)。
例如:iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改寫封包目的地 IP 爲某特定 IP 或 IP 範圍,能夠指定 port 對應的範圍,進行完此處理動做後,將會直接跳往下一個規煉(filter:input 或 filter:forward)。
例如:iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 鏡射封包,也就是未來源 IP 與目的地 IP 對調後,將封包送回,進行完此處理動做後,將會中斷過濾程序。
QUEUE 中斷過濾程序,將封包放入隊列,交給其它程序處理。透過自行開發的處理程序,能夠進行其它應用,
例如:計算聯機費......等。
RETURN 結束在目前規則煉中的過濾程序,返回主規則煉繼續過濾,若是把自訂規則煉當作是一個子程序,那麼這個動做,就至關提前結束子程序並返回到主程序中。
MARK 將封包標上某個代號,以便提供做爲後續過濾的條件判斷依據,進行完此處理動做後,將會繼續比對其它規則。
例如:iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
四.拓展模塊
1.按來源MAC地址匹配
# iptables -t filter -A FORWARD -m --mac-source 00:02:b2:03:a5:f6 -j DROP
拒絕轉發來自該MAC地址的數據包
2.按多端口或連續端口匹配
20: 表示20之後的全部端口
20:100 表示20到100的端口
:20 表示20以前的全部端口
-m multiport [--prots, --sports,--dports]
例子:
# iptables -A INPUT -p tcp -m multiport --dports 21,20,25,53,80 -j ACCEPT 【多端口匹配】
# iptables -A INPUT -p tcp --dport 20: -j ACCEPT
# iptables -A INPUT -p tcp --sport 20:80 -j ACCEPT
# iptables -A INPUT -p tcp --sport :80 -j ACCEPT
3.還能夠按數據包速率和狀態匹配
-m limit --limit 匹配速率 如: -m limit --limit 50/s -j ACCEPT
-m state --state 狀態 如: -m state --state INVALID,RELATED -j ACCEPT
4.還能夠限制連接數
-m connlimit --connlimit-above n 限制爲多少個
相關知識:
Linux 中延時模擬
設置延時 3s :
tc qdisc add dev eth0 root netem delay 3000ms
能夠在 3000ms 後面在加上一個延時,好比 ’3000ms 200ms‘表示 3000ms ± 200ms ,延時範圍 2800 – 3200 之間.
結果顯示以下
Linux 中丟包模擬
設置丟包 50% ,iptables 也能夠模擬這個,但一下不記的命令了,下次放上來:
tc qdisc change dev eth0 root netem loss 50%
- 1. linux中iptables配置文件及命令詳解詳解
- 2. Linux iptables命令詳解
- 3. linux下IPTABLES配置詳解
- 4. Linux 下 iptables 配置詳解
- 5. Linux下的iptables詳解及配置
- 6. linux中iptables詳解
- 7. Linux 防火牆iptables命令詳解
- 8. linux下IPTABLES配置詳解 (防火牆命令)
- 9. YUM倉庫配置及命令詳解
- 10. Telnet詳解及配置命令
- 更多相關文章...
- • MyBatis配置文件詳解 - MyBatis教程
- • *.hbm.xml映射文件詳解 - Hibernate教程
- • Flink 數據傳輸及反壓詳解
- • Docker 清理命令
-
每一个你不满意的现在,都有一个你没有努力的曾经。