Linux之iptables命令用法解读
作者:minh_coo
文章概述了Linux下的netfilter框架与iptables工具,二者协同实现包过滤防火墙,详解四表五链结构、规则配置命令及常用场景,强调规则顺序、匹配条件、方向性考虑和默认策略设置(如白名单采用ACCEPT而非DROP)的重要性
一、netfilter/iptables
netfilter:Linux内核中的一个软件框架,用于处理网络数据包,提供的功能包括:网络地址转换NAT,数据包内容修改、过滤、转发等防火墙的功能iptables:运行在用户空间的应用软件,命令行工具,通过其设置规则,来控制netfilter模块,从而实现网络数据包的管理,从而实现防火墙的配置。
二者组成Linux下的包过滤防火墙。
二、四表五链
1、规则表
filter表:过滤数据包nat表:网络地址转换mangle表:管理mangle包raw表:关闭在nat表启用的连接追踪机制
2、规则链
PREROUTING:对数据包作路由选择前应用此链中的规则INPUT:进来的数据包FORWARD:转发数据包OUTPUT:出去的数据包POSTROUTING:路由选择后
三、规则配置
1、命令格式
iptables [-t table] command chain parameter target
table:指定操作的表,默认filter表
command:操作的命令
- -A:在指定链尾添加一条新的规则(append)
- -D:删除指定链中的一条规则,可以根据序号或内容进行删除(delete)
- -I:在指定链插入一条新的规则,默认在第一行(insert)
- -L:列出所有规则(list)
- -R:修改、替换指定链的某一条规则,可以根据序号和内容进行替换(replace)
- -N:新建一条自定义规则链(new-chain)
- -X:删除自定义的规则链
- -E:重命名自定义链
- -F:清空(flush)
…
chain:规则链(INPUT、OUTPUT、FORWARD…)
parameter:匹配规则
- -s:匹配报文的源地址,可以同时指定多个,每个用逗号进行隔开
- -d:匹配报文的目标地址,可以同时指定多个,每个用逗号进行隔开
- -p:匹配报文的协议类型,如tcp、udp、icmp、sctp、udplite、esp等
- -i:匹配报文从哪个网卡接口流入
- -o:匹配报文将要从哪个网卡接口流出
…
- –sport:匹配源端口,可以用冒号指定一个连续的端口范围
- –dport:匹配目的端口,可以用冒号指定一个连续的端口范围
- -m multiport --sports/dports:匹配多个离散的端口号,用逗号隔开
示例: iptables -t filter -I OUTPUT -s 192.168.1.111 -p tcp -m tcp --dports 22:25 -j DROP
target:处理数据包的方式
-j ACCEPT:允许数据包通过-j DROP:丢弃数据包,不给回应信息-j REJECT:拒绝数据包通过,必要时会给数据发送端一个响应信息
…
四、常用规则示例
1、规则保存
service iptables save
若不保存,待服务器重启时会恢复原先状态。
2、查看规则(带编号)
iptables -L -n --line-number
3、删除OUTPUT第一条规则
iptables -D OUTPUT 1
4、拒绝进入防火墙的所有ICMP协议数据包
iptables -I INPUT -P icmp -j REJECT
5、限制udp53端口只进不出
iptables -I OUTPUT -p udp --dport 53 -j REJECT
6、获取域名服务端口号
grep domain /etc/services
五、注意点
1、规则顺序
若报文已被前面的规则匹配,则会直接执行对应的操作,即使后续规则也能匹配,但不会再执行。
2、匹配条件
若一条规则中有多个匹配条件,则需同时满足所有匹配条件,报文才能被匹配,即"与"的关系。
3、将更容易被匹配的规则放在前面
在没有顺序要求的情况下,不同类别的规则,被匹配次数多、匹配频率高的规则应放在前面。
4、当IPTABLES所在主机作为网络防火 墙时,在配置规则时,应着重考虑方向性,双向都要考虑,从外到内,从内到外。
5、在配置IPTABLES白名单时,往往会将链的默认策略设置为ACCEPT,通过在链的最后设置REJECT规则实现白名单机制,而不是将链的默认策略设置为DROP,如果将链的默认策略设置为DROP,当链中的规则被清空时,管理员的请求也将会被DROP掉。
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。