Linux iptables命令详解
Linux iptables命令详解
iptables是Linux防火墙系统的重要组成部分,iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者由该设备转发、路由时,都可以使用iptables进行控制。下面良许小编就将从几个方面对于Linux iptables命令进行详述,希望对大家有所帮助。
iptables是集成在Linux内核中的包过滤防火墙系统。使用iptable可以添加、删除具体的过滤规则,iptables默认维护着4个表和5个链,所有的防火墙策略规则都被分别写入这些表与链中。
“四表”是指iptables的功能,默认的iptables规则表有filter表(过滤规则表)、nat表(地址转换规则表)、mangle(修改数据标记位规则表)、raw(跟踪数据表规则表):
1.filter表:控制数据包是否允许进出及转发,可以控制的链路有INPUT、FORWARD和OUTPUT。
2.nat表:控制数据包中地址转换,可以控制的链路有PREROUTING、INPUT、OUTPUT和POSTROUTING。
3.mangle:修改数据包中的原数据,可以控制的链路有PREROUTING、INPUT、OUTPUT、FORWARD和POSTROUTING。
4.raw:控制 nat 表中连接追踪机制的启用状况,可以控制的链路有 PREROUTING、OUTPUT。
“五链”是指内核中控制网络的NetFilter 定义的 5 个规则链。
每个规则表中包含多个数据链:
1.INPUT(入站数据过滤)。
2.OUTPUT(出站数据过滤)。
3.FORWARD(转发数据过滤)。
4.PREROUTING(路由前过滤)和POSTROUTING(路由后过滤)。
防火墙规则需要写入到这些具体的数据链中。
Linux防火墙的过滤框架,如图 1 所示:
可以看出,如果是外部主机发送数据包给防火墙本机,数据将会经过 PREROUTING链与INPUT链;如果是防火墙本机发送数据包到外部主机,数据将会经过OUTPUT链与POSTROUTING链;如果防火墙作为路由负责转发数据,则数据将经过PREROUTING链、FORWARD链以及POSTROUTING链。
iptables命令的基本语法格式如下:
[root@liangxu ~]# iptables [-t table] COMMAND [chain] CRETIRIA -j ACTION
各参数的含义为:
①-t:指定需要维护的防火墙规则表filter、nat、mangle或raw。在不使用-t 时则默认使用filter表。
②COMMAND:子命令,定义对规则的管理。
③chain:指明链表。
④CRETIRIA:匹配参数。
⑤ACTION:触发动作。
iptables命令常用的选项及各自的功能如表2所示:
选项 | 功能 |
-A | 添加防火墙规则 |
-D | 删除防火墙规则 |
-I | 插入防火墙规则 |
-F | 清空防火墙规则 |
-L | 列出添加防火墙规则 |
-R | 替换防火墙规则 |
-Z | 清空防火墙数据表统计信息 |
-P | 设置链默认规则 |
iptables命令常用匹配参数及各自的功能如表3所示:
参数 | 功能 |
[!]-p | 匹配协议,! 表示取反 |
[!]-s | 匹配源地址 |
[!]-d | 匹配目标地址 |
[!]-i | 匹配入站网卡接口 |
[!]-o | 匹配出站网卡接口 |
[!]--sport | 匹配源端口 |
[!]--dport | 匹配目标端口 |
[!]--src-range | 匹配源地址范围 |
[!]--dst-range | 匹配目标地址范围 |
[!]--limit | 四配数据表速率 |
[!]--mac-source | 匹配源MAC地址 |
[!]--sports | 匹配源端口 |
[!]--dports | 匹配目标端口 |
[!]--stste | 匹配状态(INVALID、ESTABLISHED、NEW、RELATED) |
[!]--string | 匹配应用层字串 |
iptables命令触发动作及各自的功能如表4所示:
触发动作 | 功能 |
ACCEPT | 允许数据包通过 |
DROP | 丢弃数据包 |
REJECT | 拒绝数据包通过 |
LOG | 将数据包信息记录 syslog 曰志 |
DNAT | 目标地址转换 |
SNAT | 源地址转换 |
MASQUERADE | 地址欺骗 |
REDIRECT | 重定向 |
内核会按照顺序依次检查iptables防火墙规则,如果发现有匹配的规则目录,则立刻执行相关动作,停止继续向下查找规则目录;如果所有的防火墙规则都未能匹配成功,则按照默认策略处理。使用-A选项添加防火墙规则会将该规则追加到整个链的最后,而使用-I选项添加的防火墙规则则会默认插入到链中作为第一条规则。
注意,在Linux CentOS系统中,iptables是默认安装的,如果系统中没有 iptables工具,可以先进行安装。
使用iptables命令可以对具体的规则进行查看、添加、修改和删除。
1) 查看规则
对规则的查看需要使用如下命令:
[root@liangxu ~]# iptables -nvL
各参数的含义为:
①-L:表示查看当前表的所有规则,默认查看的是filter表,如果要查看nat 表,可以加上-tnat参数。
②-n: 表示不对IP地址进行反查,加上这个参数显示速度将会加快。
③-v:表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。
【例1】查看规则,首先需要使用su命令,切换当前用户到root用户。然后在终端页面输入命令如下:
[root@liangxu ~]# iptables -LChain INPUT (policy ACCEPT)target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh REJECT all -- anywhere anywhere reject-with icmp-host-prohibited 复制代码
2) 添加规则
添加规则有两个参数分别是-A和-I。其中-A是添加到规则的末尾;-I可以插入到指定位置,没有指定位置的话默认插入到规则的首部。
【例2】查看当前规则。首先需要使用su命令,切换当前用户到root用户,然后在终端页面输入命令如下:
[root@liangxu ~]# iptables -nL --line-number Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited ...... 复制代码
【例3】添加一条规则到尾部。首先需要使用su命令,切换当前用户到root用户,然后在终端页面输入如下命令:
[root@liangxu ~]# iptables -A INPUT -s 192.168.1.5 -j DROP [root@liangxu ~]# iptables -nL --line-number Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 6 DROP all -- 192.168.1.5 0.0.0.0/0 复制代码
3) 修改规则
在修改规则时需要使用-R参数。【例4】把添加在第6行规则的DROP修改为 ACCEPT。首先需要使用su命令,切换当前用户到root用户,然后在终端页面输入如下命令:
[root@liangxu ~]# iptables -R INPUT 6 -s 194.168.1.5 -j ACCEPT [root@liangxu ~]# iptables -nL --line-number Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 6 ACCEPT all -- 194.168.1.5 0.0.0.0/0 复制代码
对比发现,第6行规则的target已修改为ACCEPT。
4) 删除规则
删除规则有两种方法,但都必须使用-D参数。【例5】删除添加的第6行的规则。首先需要使用su命令,切换当前用户到root用户,然后在终端页面输入如下命令:
[root@liangxu ~]# iptables -D INPUT 6 -s 194.168.1.5 -j ACCEPT 或 [root@liangxu ~]# iptables -D INPUT 6
注意,有时需要删除的规则较长,删除时需要写一大串的代码,这样比较容易写错,这时可以先使用-line-number找出该条规则的行号,再通过行号删除规则。
默认的iptables防火墙规则会立刻生效,但如果不保存,当计算机重启后所有的规则都会丢失,所以对防火墙规则进行及时保存的操作是非常必要的。
iptables软件包提供了两个非常有用的工具,我们可以使用这两个工具处理大量的防火墙规则。这两个工具分别是iptables-save和iptables-restore,使用该工具可以实现防火墙规则的保存与还原。这两个工具的最大优势是处理庞大的规则集时速度非常快。
CentOS7系统中防火墙规则默认保存在 /etc/sysconfig/iptables文件中,使用iptables-save将规则保存至该文件中可以实现保存防火墙规则的作用,计算机重启后会自动加载该文件中的规则。如果使用iptables-save将规则保存至其他位置,可以实现备份防火墙规则的作用。当防火墙规则需要做还原操作时,可以使用iptables-restore将备份文件直接导入当前防火墙规则。
1、iptables-save命令
iptables-save命令用来批量导出Linux防火墙规则,语法介绍如下:
保存在默认文件夹中(保存防火墙规则):
[root@liangxu ~]# iptables-save > /etc/sysconfig/iptables
保存在其他位置(备份防火墙规则):
[root@liangxu ~]# iptables-save > 文件名称
直接执行iptables-save命令:显示出当前启用的所有规则,按照raw、mangle、nat、filter表的顺序依次列出,如下所示:
[root@liangxu ~]# iptables-save # Generated by iptables-save v1.4.7 on Thu Aug 27 07:06:36 2020 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [602:39026] ....... COMMIT # Completed on Thu Aug 27 07:06:36 2020
其中:
①“#”号开头的表示注释。
②“*filter”表示所在的表。
③“:链名默认策略”表示相应的链及默认策略,具体的规则部分省略了命令名“iptables”。
④在末尾处“COMMIT”表示提交前面的规则设置。
备份到其他文件中,例如文件:text,如下所示:
[root@liangxu ~]# iptables-save > test [root@liangxu ~]# ls test [root@bogon ~]# cat test # Generated by iptables-save v1.4.7 on Thu Aug 27 07:09:47 2020 *filter ......
列出nat表的规则内容,命令如下:
[root@liangxu ~]# iptables-save -t nat
“-t表名”:表示列出某一个表。
2、iptables-restore命令
iptables-restore命令可以批量导入Linux防火墙规则,同时也需要结合重定向输入来指定备份文件的位置。命令如下:
[root@liangxu ~]# iptables-restore < 文件名称
注意,导入的文件必须是使用iptables-save工具导出来的才可以。
先使用iptables-restore命令还原text文件,然后使用iptables-tnat-nvL命令查看清空的规则是否已经还原,如下所示:
[root@liangxu ~]# iptables-restore < test [root@liangxu ~]# iptables -t nat -nvL Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
推荐阅读
>>>新手必备-Linux系统安装配置+Xshell远程连接
运维界升职加薪必备的云计算技术,你学了吗?
学完高级运维云计算课程之后,你可以:
跨越90%企业的招聘硬门槛
增加70%就业机会
拿下BAT全国TOP100大厂敲门砖
体系化得到运维技术硬实力
技术大佬年薪可达30w+