Linuxiptables命令详解
iptables 是 Linux 防⽕墙系统的重要组成部分,iptables 的主要功能是实现对⽹络数据包进出设备及转发的控制。当数据包需要进⼊设备、从设备中流出或者由该设备转发、路由时,都可以使⽤ iptables 进⾏控制。下⾯良许⼩编就将从⼏个⽅⾯对于Linux iptables命令进⾏详述,希望对⼤家有所帮助。
iptables简介
iptables 是集成在 Linux 内核中的包过滤防⽕墙系统。使⽤ iptables 可以添加、删除具体的过滤规则,iptables 默认维护着 4 个表和 5个链,所有的防⽕墙策略规则都被分别写⼊这些表与链中。
“四表”是指 iptables 的功能,默认的 iptable s规则表有 filter 表(过滤规则表)、nat 表(地址转换规则表)、mangle(修改数据标记位规则表)、raw(跟踪数据表规则表):
1. filter 表:控制数据包是否允许进出及转发,可以控制的链路有 INPUT、FORWARD 和 OUTPUT。
2. nat 表:控制数据包中地址转换,可以控制的链路有 PREROUTING、INPUT、OUTPUT 和 POSTROUTING。
3. mangle:修改数据包中的原数据,可以控制的链路有 PREROUTING、INPUT、OUTPUT、FORWARD 和 POSTROUTING。
4. raw:控制 nat 表中连接追踪机制的启⽤状况,可以控制的链路有 PREROUTING、OUTPUT。
“五链”是指内核中控制⽹络的 NetFilter 定义的 5 个规则链。每个规则表中包含多个数据链:INPUT(⼊站数据过滤)、OUTPUT(出站数据过滤)、FORWARD(转发数据过滤)、PREROUTING(路由前过滤)和POSTROUTING(路由后过滤),防⽕墙规则需要写⼊到这些具体的数据链中。
Linux 防⽕墙的过滤框架,如图 1 所⽰。
可以看出,如果是外部主机发送数据包给防⽕墙本机,数据将会经过 PREROUTING 链与 INPUT 链;如果是防⽕墙本机发送数据包到外部主机,数据将会经过 OUTPUT 链与 POSTROUTING 链;如果防⽕墙作为路由负责转发数据,则数据将经过 PREROUTING 链、FORWARD 链以及 POSTROUTING 链。
iptables语法格式
iptables 命令的基本语法格式如下:
[root@liangxu ~]# iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
各参数的含义为:
-t:指定需要维护的防⽕墙规则表 filter、nat、mangle或raw。在不使⽤ -t 时则默认使⽤ filter 表。
COMMAND:⼦命令,定义对规则的管理。
chain:指明链表。
CRETIRIA:匹配参数。
ACTION:触发动作。
iptables 命令常⽤的选项及各⾃的功能如表 2 所⽰
选 项功 能
-A添加防⽕墙规则
-D删除防⽕墙规则
-I插⼊防⽕墙规则
-F清空防⽕墙规则
-L列出添加防⽕墙规则
-
R替换防⽕墙规则
-Z清空防⽕墙数据表统计信息
-P设置链默认规则
iptables 命令常⽤匹配参数及各⾃的功能如表 3 所⽰。
参 数功 能
[!]-p匹配协议,! 表⽰取反
[!]-s匹配源地址
[!]-d匹配⽬标地址
[!]-i匹配⼊站⽹卡接⼝
[!]-o匹配出站⽹卡接⼝
[!]--sport匹配源端⼝
[!]--dport匹配⽬标端⼝
[!]--src-range匹配源地址范围
[!]--dst-range匹配⽬标地址范围
[!]--limit四配数据表速率
[!]--mac-source匹配源MAC地址
[!]--sports匹配源端⼝
[!]--dports匹配⽬标端⼝
[!]--stste匹配状态(INVALID、ESTABLISHED、NEW、RELATED)
[!]--string匹配应⽤层字串
iptables 命令触发动作及各⾃的功能如表 4 所⽰。
触发动作功 能
ACCEPT允许数据包通过
触发动作功 能
DROP丢弃数据包
REJECT拒绝数据包通过
LOG将数据包信息记录 syslog ⽈志
DNAT⽬标地址转换
SNAT源地址转换
MASQUERADE地址欺骗
REDIRECT重定向
内核会按照顺序依次检查 iptables 防⽕墙规则,如果发现有匹配的规则⽬录,则⽴刻执⾏相关动作,停⽌继续向下查规则⽬录;如果所有的防⽕墙规则都未能匹配成功,则按照默认策略处理。使⽤ -A 选项添加防⽕墙规则会将该规则追加到整个链的最后,⽽使⽤ -I 选项添加的防⽕墙规则则会默认插⼊
到链中作为第⼀条规则。
注意,在 Linux CentOS 系统中,iptables 是默认安装的,如果系统中没有 iptables ⼯具,可以先进⾏安装。
规则的查看与清除
使⽤ iptables 命令可以对具体的规则进⾏查看、添加、修改和删除
1) 查看规则
对规则的查看需要使⽤如下命令:
[root@liangxu ~]# iptables -nvL
各参数的含义为:
-L 表⽰查看当前表的所有规则,默认查看的是 filter 表,如果要查看 nat 表,可以加上 -t nat 参数。
-n 表⽰不对 IP 地址进⾏反查,加上这个参数显⽰速度将会加快。
-v 表⽰输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的⽹络接⼝。
【例 1】查看规则。 ⾸先需要使⽤ su 命令,切换当前⽤户到 root ⽤户。然后在终端页⾯输⼊命令如下:
[root@liangxu ~]# iptables -L
Chain INPUT (policy ACCEPT)
target    prot opt source              destination
ACCEPT    all  --  anywhere            anywhere            state RELATED,ESTABLISHED
ACCEPT    icmp --  anywhere            anywhere
ACCEPT    all  --  anywhere            anywhere
ACCEPT    tcp  --  anywhere            anywhere            state NEW tcp dpt:ssh
REJECT    all  --  anywhere            anywhere            reject-with icmp-host-prohibited
复制代码
2) 添加规则
添加规则有两个参数分别是 -A 和 -I。其中 -A 是添加到规则的末尾;-I 可以插⼊到指定位置,没有指定位置的话默认插⼊到规则的⾸部。【例 2】查看当前规则。⾸先需要使⽤ su 命令,切换当前⽤户到 root ⽤户,然后在终端页⾯输⼊命令如下:
[root@liangxu ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target    prot opt source              destination
1    ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
2    ACCEPT    icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22
5    REJECT    all  --  0.0.0.0/0            0.0.0.0/0          reject-with icmp-host-prohibited
......
复制代码
【例 3】添加⼀条规则到尾部。 ⾸先需要使⽤ su 命令,切换当前⽤户到 root ⽤户,然后在终端页⾯输⼊如下命令:
[root@liangxu ~]# iptables -A INPUT -s 192.168.1.5 -j DROP
[root@liangxu ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target    prot opt source              destination
1    ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
2    ACCEPT    icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22
5    REJECT    all  --  0.0.0.0/0            0.0.0.0/0          reject-with icmp-host-prohibited
6    DROP      all  --  192.168.1.5          0.0.0.0/0
复制代码
3) 修改规则
在修改规则时需要使⽤-R参数。 【例 4】把添加在第 6 ⾏规则的 DROP 修改为 ACCEPT。⾸先需要使⽤ su 命令,切换当前⽤户到 root ⽤户,然后在终端页⾯输⼊如下命令:
linux重定向[root@liangxu ~]# iptables -R INPUT 6 -s 194.168.1.5 -j ACCEPT
[root@liangxu ~]# iptables -nL --line-number
Chain INPUT (policy ACCEPT)
num  target    prot opt source              destination
1    ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
2    ACCEPT    icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT    all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT    tcp  --  0.0.0.0/0            0.0.0.0/0          state NEW tcp dpt:22
5    REJECT    all  --  0.0.0.0/0            0.0.0.0/0          reject-with icmp-host-prohibited
6    ACCEPT    all  --  194.168.1.5          0.0.0.0/0
复制代码
对⽐发现,第 6 ⾏规则的 target 已修改为 ACCEPT。
4) 删除规则
删除规则有两种⽅法,但都必须使⽤ -D 参数。 【例 5】删除添加的第 6 ⾏的规则。⾸先需要使⽤su命令,切换当前⽤户到 root ⽤户,然后在终端页⾯输⼊如下命令:
[root@liangxu ~]# iptables -D INPUT 6 -s 194.168.1.5 -j ACCEPT
[root@liangxu ~]# iptables -D INPUT 6
注意,有时需要删除的规则较长,删除时需要写⼀⼤串的代码,这样⽐较容易写错,这时可以先使⽤ -line-number 出该条规则的⾏号,再通过⾏号删除规则。
防⽕墙的备份与还原
默认的 iptables 防⽕墙规则会⽴刻⽣效,但如果不保存,当计算机重启后所有的规则都会丢失,所以对防⽕墙规则进⾏及时保存的操作是⾮常必要的。
iptables 软件包提供了两个⾮常有⽤的⼯具,我们可以使⽤这两个⼯具处理⼤量的防⽕墙规则。这两个⼯具分别是 iptables-save 和iptables-restore,使⽤该⼯具可以实现防⽕墙规则的保存与还原。这两个⼯具的最⼤优势是处理庞⼤的规则集时速度⾮常快。
CentOS 7 系统中防⽕墙规则默认保存在 /etc/sysconfig/iptables ⽂件中,使⽤ iptables-save 将规则保存⾄该⽂件中可以实现保存防⽕墙规则的作⽤,计算机重启后会⾃动加载该⽂件中的规则。如果使⽤ iptables-save 将规则保存⾄其他位置,可以实现备份防⽕墙规则的作⽤。当防⽕墙规则需要做还原操作时,可以使⽤ iptables-restore 将备份⽂件直接导⼊当前防⽕墙规则。
1、iptables-save命令
iptables-save 命令⽤来批量导出 Linux 防⽕墙规则,语法介绍如下:
保存在默认⽂件夹中(保存防⽕墙规则): [root@liangxu ~]# iptables-save > /etc/sysconfig/iptables
保存在其他位置(备份防⽕墙规则): [root@liangxu ~]# iptables-save > ⽂件名称
1. 直接执⾏ iptables-save 命令:显⽰出当前启⽤的所有规则,按照 raw、mangle、nat、filter 表的顺序依次列出,如下所⽰:
[root@liangxu ~]# iptables-save # Generated by iptables-save v1.4.7 on Thu Aug 27 07:06:36 2020 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [602:39026] ....... COMMIT # Completed on Thu Aug 27 07:06:36 2020
其中:
“#”号开头的表⽰注释;
“*filter”表⽰所在的表;
“:链名默认策略”表⽰相应的链及默认策略,具体的规则部分省略了命令名“iptables”;
在末尾处“COMMIT”表⽰提交前⾯的规则设置。
1. 备份到其他⽂件中。例如⽂件:text,如下所⽰:
[root@liangxu ~]# iptables-save > test [root@liangxu ~]# ls test [root@bogon ~]# cat test # Generated by iptables-save
v1.4.7 on Thu Aug 27 07:09:47 2020 *filter ......
1. 列出nat表的规则内容,命令如下:
[root@liangxu ~]# iptables-save -t nat
“-t表名”:表⽰列出某⼀个表。
2、iptables-restore命令
iptables-restore 命令可以批量导⼊Linux防⽕墙规则,同时也需要结合重定向输⼊来指定备份⽂件的位置。命令如下:
[root@liangxu ~]# iptables-restore < ⽂件名称
注意,导⼊的⽂件必须是使⽤ iptables-save⼯具导出来的才可以。
先使⽤ iptables-restore 命令还原 text ⽂件,然后使⽤ iptables -t nat -nvL 命令查看清空的规则是否已经还原,如下所⽰:
[root@liangxu ~]# iptables-restore < test [root@liangxu ~]# iptables -t nat -nvL Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。