linuxiptables命令详解

iptables是一种用于Linux操作系统的防火墙工具，用于配置和管理防火墙规则。它允许系统管理员定义网络流量的过滤规则，以便保护系统免受未经授权的访问和攻击。

iptables命令具有丰富的功能和选项，可以用于定义输入、输出和转发流量的规则。以下是一些常用的iptables命令及其用法的详解：

1. iptables -A：向规则链的末尾追加一条规则。例如，iptables -A INPUT -s 192.168.0.1 -j DROP，即拒绝来自IP地址为192.168.0.1的所有输入数据包。

2. iptables -I：向规则链的开头插入一条规则。与-A相似，但插入在开头而非末尾。

3. iptables -D：从规则链中删除一条规则。例如，iptables -D INPUT 3，即从INPUT链的第3条规则开始，删除该规则。

4. iptables -L：列出规则链中的所有规则。可以使用iptables -L CHAIN_NAME来列出特定链的规则。例如，iptables -L INPUT，列出INPUT链中的所有规则。

5. iptables -F：清除规则链中的所有规则。例如，iptables -F INPUT，清除INPUT链中的所有规则。

6. iptables -P：设置默认策略。例如，iptables -P INPUT DROP，将INPUT链的默认策略设置为拒绝所有输入数据包。

7. iptables -s：指定源IP地址。可以与其他选项一起使用，用于过滤特定源IP地址的流量。例如，iptables -A INPUT -s 192.168.0.1 -j DROP，拒绝来自IP地址为192.168.0.1的输入数据包。

8. iptables -d：指定目标IP地址。与-s类似，但用于过滤特定目标IP地址的流量。

9. iptables -p：指定协议。可以与其他选项一起使用，用于过滤特定协议的流量。例如，iptables -A INPUT -p tcp -j DROP，拒绝所有TCP流量。

10. iptables -m：指定扩展模块。用于加载附加功能的插件。例如，iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT，允许所有已建立和相关的连接。

11. iptables -j：指定目标动作。用于确定匹配规则后应采取的操作。例如，iptables -A INPUT -s 192.168.0.1 -j DROP，拒绝来自IP地址为192.168.0.1的输入数据包。

12. iptables -A INPUT -m limit –limit 5/min -j LOG –log-prefix “iptables: “：通过日志记录匹配的数据包，并添加自定义日志前缀。

以上是一些常用的iptables命令及其用法的详解。通过使用这些命令，系统管理员可以配置和管理防火墙规则，保护Linux系统免受恶意访问和网络攻击。

Linux中的iptables命令用于配置Linux内核中的网络包过滤规则和网络地址转换规则。通过使用iptables命令，可以对进出的网络流量进行控制和过滤，从而实现网络安全和网络性能优化。以下是iptables命令的详细介绍：

1. iptables命令基本语法
iptables命令的基本语法如下：
iptables [-t 表名] [-I/A 表名 规则编号] -[AD][规则链] [-p 协议名] [–dport 端口号] [-j 动作]
其中，方括号表示可选参数。

2. 表和链
iptables命令中的表和链是两个重要的概念。表用于组织规则，而链决定了规则的执行顺序。常用的表包括filter表、nat表和mangle表，常用的链包括INPUT链、FORWARD链和OUTPUT链。

– filter表：用于过滤网络流量，常用的链包括INPUT链、FORWARD链和OUTPUT链。
– nat表：用于进行网络地址转换，常用的链包括PREROUTING链、POSTROUTING链和OUTPUT链。
– mangle表：用于修改网络数据包的特定字段，如TTL、TOS等。

3. 规则编号
iptables命令中的规则编号用于指定插入或删除规则的位置。使用”-I 表名 规则编号”可以在指定编号的规则之前插入新规则，使用”-A 表名”可以在规则链末尾添加新规则。

4. -p参数和–dport参数
-p参数用于指定要过滤的协议，常见的协议有tcp、udp和icmp等。
–dport参数用于指定要过滤的端口号，可以是具体的端口号或端口范围。

5. -j参数和动作
-j参数用于指定动作，常见的动作有ACCEPT、DROP、REJECT、LOG等。
ACCEPT动作表示接受该网络流量；
DROP动作表示丢弃该网络流量；
REJECT动作表示拒绝该网络流量，并向发送方发送一个错误响应；
LOG动作将网络流量的信息写入系统日志。

一、iptables简介
iptables是Linux操作系统下的一个防火墙软件，用于配置和管理网络数据包的过滤规则。它可以根据网络包的来源、目标地址、端口号等信息，对进出网络的数据包进行控制和过滤。iptables是Linux内核中的一部分，因此可以与操作系统紧密协作，提供高效的网络安全保护。

二、iptables命令的基本使用
1. 查看iptables规则
“`shell
iptables -L
“`
这个命令可以列出当前系统中所有的iptables规则。默认情况下，iptables规则表被分为三个链：INPUT、OUTPUT和FORWARD。

2. 插入和删除规则
– 插入规则：
“`shell
iptables -I [chain] [rule]
“`
– 删除规则：
“`shell
iptables -D [chain] [rule]
“`
其中，[chain]是规则链的名称，[rule]是规则的具体内容。通过插入和删除规则，可以在iptables规则链中添加或删除特定的规则。

3. 设置默认规则
“`shell
iptables -P [chain] [policy]
“`
该命令用于设置指定链的默认规则。其中，[policy]可以为ACCEPT（允许通过）、DROP（丢弃）、REJECT（拒绝）之一。默认情况下，INPUT和FORWARD链的默认规则为ACCEPT，OUTPUT链的默认规则为ACCEPT。

4. 添加和删除规则
– 添加规则：
“`shell
iptables -A [chain] [rule]
“`
– 删除规则：
“`shell
iptables -D [chain] [rule]
“`
通过添加和删除规则，可以在iptables规则链中添加或删除特定的规则。

5. 修改规则
“`shell
iptables -R [chain] [rule] [new-rule]
“`
该命令用于修改规则链中特定规则的内容。

6. 清空规则链
“`shell
iptables -F [chain]
“`
该命令用于清空指定规则链中的所有规则。

7. 保存和载入规则
– 保存规则：
“`shell
iptables-save > [filename]
“`
– 载入规则：
“`shell
iptables-restore < [filename]```这两个命令分别用于将当前iptables规则保存到文件中，以及从文件中载入规则。三、iptables规则的操作流程1. 设置默认规则在配置iptables规则前，可以先设置默认规则，以确定是否允许或拒绝所有未明确匹配的数据包。2. 添加规则可以使用iptables命令添加具体的规则，包括过滤规则和NAT规则。规则可以根据来源IP地址、目标IP地址、端口号等条件进行设置。3. 调整规则顺序当多个规则共同作用于一个数据包时，iptables规则按照从上到下的顺序进行匹配。可以通过修改规则顺序，从而影响规则的优先级。4. 删除规则如果需要删除某个规则，可以使用iptables命令进行删除。删除规则的操作应谨慎进行，以免对安全性造成影响。5. 测试规则在配置完iptables规则后，可以通过测试数据包的传输情况来验证规则的有效性。6. 保存和载入规则在配置完iptables规则后，可以将规则保存到文件中，以便在系统重启后加载。同时，也可以从文件中载入规则，以便在不同系统之间复制规则。四、iptables规则的常用参数1. 源IP地址和目标IP地址指定数据包的源IP地址或目标IP地址时，可以使用以下参数：- `-s`：指定源IP地址，可以是单个IP地址、IP地址范围或子网段。- `-d`：指定目标IP地址，用法与`-s`相同。2. 源端口和目标端口指定数据包的源端口和目标端口时，可以使用以下参数：- `-p`：指定传输协议，可以是TCP、UDP、ICMP等。- `--sport`：指定源端口，可以是单个端口号、端口号范围或所有端口。- `--dport`：指定目标端口，用法与`--sport`相同。3. 动作指定iptables规则的动作时，可以使用以下参数：- `-j`：指定动作，可以是ACCEPT、DROP、REJECT等。4. 额外参数除了上述常用参数外，还有一些其他的额外参数可以用于完善iptables规则，如：- `-m`：指定匹配模块，用于更精确地匹配数据包。- `-i`：指定输入网卡。- `-o`：指定输出网卡。- `-t`：指定表，可以是filter、nat等。- `-A`：添加规则。- `-D`：删除规则。- `-I`：插入规则。- `-R`：修改规则。- `-F`：清空规则链。五、iptables配置实例以下是一些常见的iptables配置实例：1. 允许某个IP地址访问特定端口：```shelliptables -A INPUT -s 192.168.1.100 -p tcp --dport 22 -j ACCEPT```这个命令允许IP地址为192.168.1.100的主机通过22端口访问系统。2. 拒绝某个IP范围访问所有端口：```shelliptables -A INPUT -s 192.168.1.0/24 -j DROP```这个命令拒绝IP地址范围为192.168.1.0/24的所有主机访问系统。3. 允许所有主机访问特定端口：```shelliptables -A INPUT -p tcp --dport 80 -j ACCEPTiptables -A INPUT -p tcp --dport 443 -j ACCEPT```这个命令允许所有主机访问系统的80端口和443端口。4. 允许特定MAC地址访问特定端口：```shelliptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -p tcp --dport 22 -j ACCEPT```这个命令允许MAC地址为00:11:22:33:44:55的设备通过22端口访问系统。5. 对传入的数据包进行连接状态跟踪：```shelliptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT```这个命令允许与已建立连接或相关联的数据包通过系统。