iptables常用命令和實(shí)例復(fù)習(xí)

 一、IPTABLES的簡(jiǎn)介

1.簡(jiǎn)介

IPTABLES/netfilter(http://www.netfilter.org)其實(shí)大多數(shù)人都認(rèn)為iptables是linux系統(tǒng)上的一個(gè)服務(wù),其實(shí)不是的.我們linux系統(tǒng)上的服務(wù)比如說(shuō)httpd服務(wù)在啟動(dòng)起來(lái)的時(shí)候,是不是在后臺(tái)啟動(dòng)一個(gè)相應(yīng)的服務(wù)進(jìn)程且在網(wǎng)卡上監(jiān)聽(tīng)一個(gè)端口,而iptables卻不然,那么iptables到底是什么呢？其實(shí)iptables只是一個(gè)工具而已.我們的linux系統(tǒng)有用戶空間,和內(nèi)核空間,而iptables有兩個(gè)組件,一是netfilter, netfilter組件只是用來(lái)過(guò)濾防火墻規(guī)則,及作出相應(yīng)的處理機(jī)制的,它是集成在內(nèi)核中的一部分,也就是說(shuō)它是工作在內(nèi)核空間的,那么大家都知道用戶是不可能直接跟內(nèi)核空間打交道的,那么netfilter只是工作在內(nèi)核空間對(duì)規(guī)則進(jìn)行處理的,那么規(guī)則從何而來(lái)呢?是從iptables的第二個(gè)組件iptables而來(lái)的,我們上面說(shuō)了IPTABLES只是一個(gè)工作在用戶空間的一個(gè)工具而已,那么用戶就使用這個(gè)工具的一個(gè)命令來(lái)跟工作在內(nèi)核空間中的netfiter組件打交道的.其實(shí)IPTABLES防火墻就是這樣的.

成都創(chuàng)新互聯(lián)制作網(wǎng)站網(wǎng)頁(yè)找三站合一網(wǎng)站制作公司,專注于網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì),網(wǎng)站設(shè)計(jì),企業(yè)網(wǎng)站搭建,網(wǎng)站開(kāi)發(fā),建網(wǎng)站業(yè)務(wù),680元做網(wǎng)站,已為上千余家服務(wù),成都創(chuàng)新互聯(lián)網(wǎng)站建設(shè)將一如既往的為我們的客戶提供最優(yōu)質(zhì)的網(wǎng)站建設(shè)、網(wǎng)絡(luò)營(yíng)銷推廣服務(wù)!

 

二、IPTABLES的表和鏈

IPTABLES常用的表和鏈有三個(gè)filter表 nat表 mangle表,和五個(gè)鏈 INPUT鏈 OUTPUT鏈 FORWARE鏈 POSTROUTING鏈 PREROUTING鏈,下面來(lái)介紹下它們的各個(gè)功能呢個(gè)功能,

1.filter表

filter表主要是過(guò)濾數(shù)據(jù)包的,IPTABLES幾乎所有的數(shù)據(jù)包過(guò)濾都在此表中實(shí)現(xiàn)的,filter表也是IPTABLES中默認(rèn)的表,此表中還包含三個(gè)鏈如下

1.1 INPUT鏈

過(guò)濾所有的目標(biāo)地址是本機(jī)的數(shù)據(jù)包

1.2 OUTPUT鏈

過(guò)濾所有從本機(jī)出去的數(shù)據(jù)包

1.3 FORWORD鏈

過(guò)濾所有從本機(jī)路過(guò)的數(shù)據(jù)包

 

2.nat表

nat表主要是用于做網(wǎng)絡(luò)地址轉(zhuǎn)換的(NAT)在IPTABLES中可以做SNAT(源地址轉(zhuǎn)換),DNAT(目標(biāo)地址轉(zhuǎn)換),PNAT(即跟SNAT差不多,不一樣的是SNAT的源地址是固定的,而PNAT的源地址是不固定的,當(dāng)使用ppp或pppoe的方式連接互聯(lián)網(wǎng)的時(shí)候一般適應(yīng)這中)。 nat表中包含兩個(gè)鏈如下

2.1 PREROUTING鏈

在數(shù)據(jù)包到達(dá)防火墻的時(shí)候改變目標(biāo)地址 DNAT應(yīng)用于此鏈.

2.2 OUTPUT鏈

可以改變本地產(chǎn)生的數(shù)據(jù)包的目標(biāo)地址

2.3 POSTROUTING鏈

在數(shù)據(jù)包離開(kāi)防火墻的時(shí)候改變?cè)吹刂?SNAT應(yīng)用于次鏈

 

3. mangle表

mangle表主要是修改數(shù)據(jù)包頭部信息的,此表中包含以下5條鏈

3.1 PREROUTING鏈,

在數(shù)據(jù)包進(jìn)入防火墻之后,也稱為路由前,

3.2 POSTROUTING鏈,

在數(shù)據(jù)包確定目標(biāo)地址后,也稱為路由后,

3.3 OUTPUT鏈

從本機(jī)出去的時(shí)間包路由前

3.4 INPUT鏈

數(shù)據(jù)包進(jìn)入本機(jī)后,路由后

3.5 FORWARD鏈

第一次路由判斷之后,最后一次路由判斷之前改變數(shù)據(jù)包

 

三、IPABLES的狀態(tài)

IPTABLES的狀態(tài)跟蹤連接有4種,分別是,NEW,ESTABLISHED,RELATED,INVALID,除了從本機(jī)出去的數(shù)據(jù)包有nat表的OUTPUT鏈處理外,其他說(shuō)有的狀態(tài)跟蹤都在nat表中的PREROUTING鏈中處理,下面來(lái)說(shuō)下4種狀態(tài)是什么,

1,NEW狀態(tài)

NEW狀態(tài)的數(shù)據(jù)包說(shuō)明這個(gè)數(shù)據(jù)包是收到的第一個(gè)數(shù)據(jù)包,

2,ESTABLISHED狀態(tài),

只要發(fā)送并接到應(yīng)答,一個(gè)數(shù)據(jù)包的狀態(tài)就從NEW變?yōu)镋STABLEISHED,而且該狀態(tài)會(huì)繼續(xù)匹配這個(gè)連接后繼數(shù)據(jù)包,

3,RELATED狀態(tài)

當(dāng)一個(gè)數(shù)據(jù)包的狀態(tài)處于ESTABLSHED狀態(tài)的連接有關(guān)系的時(shí)候,就會(huì)被認(rèn)為是RELATED,也就是說(shuō)一個(gè)鏈接想要是RELATED狀態(tài),首先要有一個(gè)ESTABLISHED的連接,

4,INVALID狀態(tài)

不能被識(shí)別屬于哪個(gè)連接狀態(tài)或沒(méi)有任何關(guān)系的狀態(tài),一般這中數(shù)據(jù)包要被拒絕的

 

四、IPTABLES命令的使用詳解

iptables在RHEL的系統(tǒng)上默認(rèn)安裝的, IPTABLES的命令選項(xiàng)主要分為這么幾大類,規(guī)則管理,鏈管理,默認(rèn)管理,查看,匹配條件,處理動(dòng)作,基本應(yīng)該就這些了吧,下面來(lái)一一說(shuō)名,

1.規(guī)則管理類

#iptables -A添加一條新規(guī)則

#iptables -I插入一條新規(guī)則 -I后面加一數(shù)字表示插入到哪行

#iptables -D刪除一條新規(guī)則 -D后面加一數(shù)字表示刪除哪行

#iptables -R替換一條新規(guī)則 -R后面加一數(shù)字表示替換哪行

2.鏈管理類

#iptables -F清空鏈中的所有規(guī)則

#iptables -N新建一個(gè)鏈

#iptables -X刪除一個(gè)自定義鏈,刪除之前要保證次鏈?zhǔn)强盏?而且沒(méi)有被引用

#iptables -E重命名鏈

3.默認(rèn)管理類

#iptables -P設(shè)置默認(rèn)策略

4.查看類

#iptables -L查看規(guī)則 -L還有幾個(gè)子選項(xiàng)如下

#iptables -L -n以數(shù)字的方式顯示

#iptables -L -v顯示詳細(xì)信息

#iptables -L -x顯示精確信息

#iptables -L --line-numbers顯示行號(hào)

5.條件匹配類

5.1基本匹配

條件匹配也可以使用 !取反

-s源地址

-d目標(biāo)地址

-p協(xié)議{tcp|udp|icmp}

-i從哪個(gè)網(wǎng)絡(luò)接口進(jìn)入,比如 -i eth0

-o從哪個(gè)網(wǎng)絡(luò)接口出去,比如 -o eth0

5.2擴(kuò)展匹配

5.2.1隱含擴(kuò)展匹配

-p {tcp|udp} --sport指定源端口

-p {tcp|udp} --dport指定目標(biāo)端口

5.2.2顯示擴(kuò)展匹配

-m state --state匹配狀態(tài)的

-m mutiport --source-port端口匹配 ,指定一組端口

-m limit --limit 3/minute每三分種一次

-m limit --limit-burst 5只匹配5個(gè)數(shù)據(jù)包

-m string --string --algo bm|kmp --string "xxxx"

網(wǎng)頁(yè)名稱：iptables常用命令和實(shí)例復(fù)習(xí)
本文URL：http://muchs.cn/article10/ipgddo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、網(wǎng)站建設(shè)、企業(yè)建站、網(wǎng)站排名、網(wǎng)站營(yíng)銷、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)