iptables命令的作用是什么
發(fā)布時(shí)間:2021-08-23 15:12
來(lái)源:億速云
閱讀:0
作者:chen
欄目: 網(wǎng)絡(luò )安全
這篇文章主要介紹“iptables命令的作用是什么”��,在日常操作中�����,相信很多人在iptables命令的作用是什么問(wèn)題上存在疑惑���,小編查閱了各式資料�,整理出簡(jiǎn)單好用的操作方法����,希望對大家解答”iptables命令的作用是什么”的疑惑有所幫助����!接下來(lái)���,請跟著(zhù)小編一起來(lái)學(xué)習吧��!
一.Iptables命令參數
命令結構
Iptables (- t 表名) 操作方式 規則條件
注:若取消“- t 表名”�����,默認是filter表���。
表名:filter�、nat����、mangle�����、raw
操作方式: - L ##列出表內容
- F ##清除表內容�,若不指定表名���,默認清除所有表的內容����。
- A ##添加新規則
- P ##設置默認策略
- I ##插入新規則
- R ##取代舊規則
- D ##刪除規則
規則條件:
- p tcp/udp/icmp/all - j ACCEPT/DROP/REJECT
Filter的示例
Filter共有三個(gè)鏈:INPUT FORWARD OUTPUT
示例1:列出filter表的所有內容
# iptables - t filter - L
結果顯示:1.第一部分為INPUT鏈的所有內容����,以下依次為FORWARD和OUTPUT.
2.三條鏈的默認策略均為ACCEPT 示例2:列出filter表中的INOUT鏈的內容
示例2:列出filter表中的INOUT鏈的內容
[root@vm1 ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
示例3:清除filter表中的所有內容
[root@vm1 ~]# iptables -t filter -F
[root@vm1 ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
示例4:將規則添加到filter表中的INPUT鏈中
[root@vm1 ~]# iptables -t filter -A INPUT -p icmp -j ACCEPT
[root@vm1 ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
示例5:將forward鏈的默認策略設置為DROP
[root@vm1 ~]# iptables -t filter -P FORWARD DROP
[root@vm1 ~]# iptables -t filter -L
Chain FORWARD (policy DROP)
target prot opt source destination
注:iptables - F不會(huì )影響到默認策略的狀態(tài)��,默認策略只能通過(guò)- P這個(gè)參數設置
示例6:在INPUT鏈中插入新規則�。
[root@vm1 ~]# iptables -t filter -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT icmp -- anywhere anywhere
2 ACCEPT tcp -- anywhere anywhere
Chain FORWARD (policy DROP)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
[root@vm1 ~]# iptables -t filter -I INPUT 2 -p udp -j ACCEPT
[root@vm1 ~]# iptables -t filter -L --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT icmp -- anywhere anywhere
2 ACCEPT udp -- anywhere anywhere
3 ACCEPT tcp -- anywhere anywhere
Chain FORWARD (policy DROP)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
注:“iptables - t filter - L - - line- number”用于顯示規則內容的行號
示例7:取代INPUT鏈中的已經(jīng)存在的規則
[root@vm1 ~]# iptables -t filter -R INPUT 2 -p tcp -j ACCEPT
[root@vm1 ~]# iptables -t filter -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
示例8:刪除INPUT鏈中已經(jīng)存在的規則
[root@vm1 ~]# iptables -t filter -L INPUT --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- anywhere anywhere
2 ACCEPT tcp -- anywhere anywhere
3 ACCEPT icmp -- anywhere anywhere
[root@vm1 ~]# iptables -t filter -D INPUT 2
[root@vm1 ~]# iptables -t filter -L INPUT --line-number
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- anywhere anywhere
2 ACCEPT icmp -- anywhere anywhere
注:以上七個(gè)參數也同樣適用于其他三個(gè)表�。
Nat表的示例
NAT共有三個(gè)鏈:PREROUTING POSTROUTING OUTPUT���。
示例1.列出nat表中的所有規則
[root@vm1 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
示例2:給nat表中的POSTROUTING添加規則�。
[root@vm1 ~]# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 192.168.5.178
[root@vm1 ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.0/24 anywhere to:192.168.5.178
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Mangle表示例
Mangle共有五個(gè)鏈:PREROUTING INPUT FORWARD OUTPUT POSTROUTING
[root@vm1 ~]# iptables -t mangle -A INPUT -p icmp -j ACCEPT
[root@vm1 ~]# iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Raw示例
Raw共有兩個(gè)鏈:PREROUTING OUTPUT
[root@vm1 ~]# iptables -t raw -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@vm1 ~]# iptables -t raw -A OUTPUT -p tcp -j ACCEPT
[root@vm1 ~]# iptables -t raw -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
[root@vm1 ~]# iptables -t raw -A OUTPUT -p tcp -j NOTRACK
[root@vm1 ~]# iptables -t raw -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
NOTRACK tcp -- anywhere anywhere
二. Iptables語(yǔ)法規則
基本語(yǔ)法
iptables -t filter -A INPUT -p icmp -j DROP
高級語(yǔ)法
iptables -t filter -A INPUT -m mac --mac-source 00:E0:18:00:7C:A4 -j DROP
注:基本語(yǔ)法就是iptables只調用ipTable_filter.ko模塊�����,高級語(yǔ)法就是除了ipTable_filter.ko模塊��,還會(huì )調用其他模塊����。上例高級語(yǔ)法中還調用了xt_mac.ko這個(gè)模塊���。
示例1:將192.168.0.200進(jìn)入本機的icmp協(xié)議包丟掉
[root@vm1 ~]# iptables -A INPUT -p icmp -s 192.168.0.200 -j DROP
[root@vm1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
DROP icmp -- 192.168.0.200 anywhere
Chain FORWARD (policy DROP)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
語(yǔ)法解釋?zhuān)?/p>
- A INPUT :INPUT鏈保護的對象是本機����,主要說(shuō)明保護的對象
-p icmp:-p參數用于指定匹配特定協(xié)議的數據包�����,此處為icmp協(xié)議��。
-s 192.268.0.200:-s用于指定匹配數據包中的“來(lái)源“端IP�����,-d用于指定匹配數據包中的“目的”端IP
-j:意為將符合以上條件的數據包做特定處理��。
處理方式:
ACCEPT:允許通過(guò)
DROP:將數據包丟掉�����,這種處理方式將導致來(lái)源端誤認為數據包丟失而不斷發(fā)送數據包����,這個(gè)動(dòng)作將延續到連接超時(shí)�����。
REJECT:將數據包丟掉����,并回送一個(gè)Destination Unreachable的icmp數據包給發(fā)送端�,發(fā)送端的應用程序在收到這個(gè)錯誤信息后���,會(huì )終止連接��。
示例2:不允許192.168.0.200主機通過(guò)本機的服務(wù)來(lái)執行名稱(chēng)解析
[root@vm1 ~]# iptables -A INPUT -p udp -s 192.168.0.200 --dport 53 -j REJECT
[root@vm1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
DROP icmp -- 192.168.0.200 anywhere
REJECT udp -- 192.168.0.200 anywhere udp dpt:domain reject-with icmp-port-unreachable
語(yǔ)法解釋?zhuān)?/p>
-A INPUT:保護主機
-p udp:匹配udp協(xié)議的數據包����,DNS服務(wù)使用的是udp協(xié)議���。
-s:指定“來(lái)源端”IP
--dport 53:--dport指定服務(wù)的目的端口��,DNS服務(wù)使用的端口是udp協(xié)議的53端口�����。--sport意為指定服務(wù)使用源端口�。
注:當使用--dport或者--sport參數時(shí)��,一定要指明是tcp或者udp協(xié)議���。若不指明����。則默認tcp����,udp�,icmp協(xié)議的端口都符合���。
基本語(yǔ)法結構:iptables -A INPUT - p udp/tcp/icmp -s/-d 192.168.0.200 --dport/--sport 53 -j REJECT���。
-j REJECT:符合以上條件的數據包都丟失����,并回送udp的錯誤信息給來(lái)源端�����。
示例3:允許192.168.0.200主機連接到本機的TELNET
[root@vm1 ~]# iptables -A INPUT -p tcp -s 192.168.0.200 --dport 23 -j ACCEPT
[root@vm1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
DROP icmp -- 192.168.0.200 anywhere
REJECT udp -- 192.168.0.200 anywhere udp dpt:domain reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.0.200 anywhere tcp dpt:telnet
語(yǔ)法解釋?zhuān)?/p>
-A INPUT:保護本機
-p tcp:匹配tcp協(xié)議��,telnet服務(wù)使用的是tcp協(xié)議
-s:指定來(lái)源端IP
--dport 23:匹配tcp協(xié)議的23端口�����,此端口為telnet服務(wù)的默認端口����。
-j ACCEPT:允許符合以上條件的數據包通過(guò)��。
示例4:允許192.168.1.0/24網(wǎng)段的主機向本機192.168.0.1提出任何服務(wù)請求
[root@vm1 ~]# iptables -A INPUT -p all -s 192.168.1.0/24 -d 192.168.1.0 -j ACCEPT
[root@vm1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
DROP icmp -- 192.168.0.200 anywhere
REJECT udp -- 192.168.0.200 anywhere udp dpt:domain reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.0.200 anywhere tcp dpt:telnet
ACCEPT all -- 192.168.1.0/24 192.168.1.0
語(yǔ)法解釋?zhuān)?/p>
-A INPUT:保護本機
-p all:匹配u任何協(xié)議的數據包
-s :指定來(lái)源端IP
-d:指定目的端IP
-j ACCETP:允許符合以上條件的數據包通過(guò)���。
示例5:只允許客戶(hù)端從eth2這個(gè)接口訪(fǎng)問(wèn)本機的ssh服務(wù)
[root@vm1 ~]# iptables -A INPUT -p tcp -i eth2 --dport 22 -j ACCEPT
[root@vm1 ~]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere
DROP icmp -- 192.168.0.200 anywhere
REJECT udp -- 192.168.0.200 anywhere udp dpt:domain reject-with icmp-port-unreachable
ACCEPT tcp -- 192.168.0.200 anywhere tcp dpt:telnet
ACCEPT all -- 192.168.1.0/24 192.168.1.0
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
語(yǔ)法解釋?zhuān)?
-A INPUT:保護主機
-p tcp:匹配tcp協(xié)議
-i eth2:匹配從本機eth2端口進(jìn)入的數據包�。-i意為數據包從本機的某個(gè)端口進(jìn)入�,-o意為數據包從本機的某個(gè)端口出去��。
--dport 22:指定ssh服務(wù)所使用的tcp協(xié)議的22端口
-j ACCEPT:意為符合以上條件的數據包均允許通過(guò)
示例6:不允許本機的應用程序從eth0接口發(fā)送數據包去訪(fǎng)問(wèn)edu.uuu.com.tw網(wǎng)站
[root@vm1 ~]# iptables -A OUTPUT -p tcp -o eth0 -d edu.uuu.com.tw --dport 80 -j REJECT
[root@vm1 ~]# iptables -L
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
REJECT tcp -- anywhere vm5.example.com tcp dpt:http reject-with icmp-port-unreachable
語(yǔ)法解釋?zhuān)?
-A OUTPUT:限制本機對方訪(fǎng)問(wèn)
-p tcp :匹配tcp協(xié)議
-o eth0:匹配數據是否時(shí)從eth0接口送出的
-d edu.uuu.com.tw:指定目的網(wǎng)站
--dport 80:匹配的服務(wù)端口為http服務(wù)的80端口
-j REJECT:符合以上 條件的數據包全部丟失�����,并將錯誤信息返回到來(lái)源端
示例7:不允許企業(yè)內部的主機訪(fǎng)問(wèn)企業(yè)意外的網(wǎng)站
[root@vm1 ~]# iptables -A FORWARD -i eth2 -o eth0 -p tcp --dport 80 -j DROP
[root@vm1 ~]# iptables -L
Chain FORWARD (policy DROP)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp dpt:http
注:本例使用的網(wǎng)關(guān)式防火墻����,因此所用的鏈是FORWARD�,假設此防火墻主機上的eth0連接因特網(wǎng)���,eth2連接企業(yè)內網(wǎng)�����。
語(yǔ)法解釋?zhuān)?br/>
-A FORWARD:保護防火墻后面的主機�����。
-i eth2:匹配數據包進(jìn)入的接口進(jìn)入
-o eth0:匹配數據包離開(kāi)的接口
-p tcp:匹配tcp協(xié)議的數據包
--dport 80:匹配目的服務(wù)渡口為80的數據包
-j REJECT:將符合以上條件的數據包都丟棄��,并將錯誤信息返回給來(lái)源端��。
三.Iptables參數整理
1.接口的匹配參數
參數名稱(chēng):-i(進(jìn)入) -o(送出)
參數值: eth0(以太網(wǎng)的接口名稱(chēng))
ppp0(ppp的接口名稱(chēng)���,用于語(yǔ)音撥號)
lo(本地回環(huán)接口)
fddi0(光纖網(wǎng)絡(luò )接口)
使用示例:-i eth0(匹配從eth0接口進(jìn)入的數據包)
-o eth0(匹配從eth0接口送出的數據包)
意義:匹配數據包進(jìn)出的接口
補充:可搭配“��!”來(lái)代表反向�,例如“-i �����! eth0”代表匹配不是從eth0接口進(jìn)入的數據包
2.上層協(xié)議的匹配參數
參數名稱(chēng):-p
參數值: tcp(匹配的上層協(xié)議是tcp協(xié)議)
udp(匹配的上層協(xié)議是udp協(xié)議)
icmp(匹配的上層協(xié)議是icmp協(xié)議)
all(匹配所有的上層協(xié)議)
意義:匹配上層通信協(xié)議
補充:可搭配“!”表示反向���,“-p ���! icmp”意為匹配不是icmp的協(xié)議
3.匹配來(lái)源/目的的IP地址
參數名稱(chēng):-s(源) -d(目的)
參數值:192.168.0.1(匹配單一IP)
172.10.0.0/16(匹配一個(gè)B類(lèi)網(wǎng)段)
192.168.0.0/24(匹配一個(gè)C類(lèi)網(wǎng)段)
www.playboy.com(匹配一個(gè)FQDN�����,但存放的值還是一個(gè)IP)
使用示例:-s 192.168.0.0/24(匹配從192.168.0.0網(wǎng)段法來(lái)的數據包)
-s 192.168.0.1(匹配從192.168.0.1主機法來(lái)的數據包)
-d 192.168.0.10(匹配發(fā)送到192.168.0.10主機的數據包)
意義:匹配數據包的來(lái)源或者目的IP
4.匹配來(lái)源/目的端口
參數名稱(chēng):--sport(源) --dport(目的)
參數值:匹配端口的目的是為了匹配所需訪(fǎng)問(wèn)的服務(wù)
使用示例:--dport 80(匹配要訪(fǎng)問(wèn)web的數據包)
--sport 110(匹配由pop3服務(wù)應答給客戶(hù)端的數據包)
意義:匹配數據的來(lái)源或者目的端口
5.處理方式
參數名稱(chēng):-j
參數值:ACCEPT(允許)
DROP(將數據包丟棄)
REJECT(將數據包丟棄���,并回送發(fā)送端一個(gè)icmp數據包)
使用示例:-j ACCEPT(允許)
-j DROP(將數據包丟棄)
意義:采用特定方式來(lái)處理符合條件的數據包�。
