iptables
概念名词:
容器: 存放东西
表(table):存放链的容器,防火墙最大的概念
链(chain): 存放规则的容器
规则(policy): 允许或拒绝规则,书写的防火墙条件就是各种防火墙规则。
防火墙四表五链
4表:filter 表、nat表、 raw表、mangle表
filter:过滤规则表、根据预定义的规则过滤符合条件的数据包
nat:地址转换规则表
mangle:修改数据标记为规则表,用于修改IP的头部信息,如修改TTL
raw:关闭启用的连接跟踪机制、加快封包穿越防火墙速度,在大流量对外业务的服务器上使用这个表以避免状态追踪带来的性能问题。
优先级顺序:
raw –> mangle –> nat –> filter
在大多数使用情况下都不会用到 raw,mangle 和 security 表。
5链:INPUT、OUTPUT、FORWARD、PREROUTINGS、POSTROUTING
iptables -nL -t 表名 : 可查看对应表中包含哪些链(不是所有的表都包含上述中的全部链)
每个表的说明
1)filter 表
是iptables的默认表,filter表示过滤
iptables命令参数
参数 | 含义 |
---|---|
-L | 显示表中的所有规则,本选项需后置 |
-n | 不把端口或IP反向解析为名字,以数字格式显示IP和port |
-v | 详细信息, -vv更详细 |
–line-numbers | 显示规则的序号 |
指定表 | |
-t | 指定表,不指定默认是filter表 |
指定连接(加入/追加/删除) | |
-A | append 追加规则写入到链的末尾,加入允许类规则,使用-A |
-I (大写的 i ) | insert插入 把规则加在链的第一条,拒绝类规则放在所有规则的最上面 |
-D | delete删除 -D INPUT 1 (删除INPUT链上的第一条规则) |
-F | 清空规则 iptables -F -t 表名 清空指定的规则链 |
iptables 基本匹配条件
1️⃣ -s:源IP
2️⃣ -d:目的IP
3️⃣ -p :协议
4️⃣ -i : 报文流入的接口,只能应用于数据报文流入环节,只应用于INPUT、FORWARD、PREROUTING链
5️⃣ -o : 报文流出的接口,只能应用于数据报文流出的环节,只应用于FORWARD、OUTPUT、POSTROUTING链
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...