您当前的位置： 首页 > 学无止境 > 心得笔记 网站首页心得笔记

马哥linux运维学习笔记-iptables系列之基本应用及显式扩展

发布时间：2019-03-06 18:38:46编辑：雪饮阅读（）

查看iptables过滤表

[root@mail ~]# iptables -t filter -L -n

Chain INPUT (policy ACCEPT)

target     prot opt source               destination

 

Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

 

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

-t指定表，-L显示指定表中规则，-n以数字格式显示主机地址和端口号

使用v参数可以呈现结果列表的详细级别

[root@mail ~]# iptables -t filter -L -n -vvv

Chain INPUT (policy ACCEPT 18 packets, 1177 bytes)

 pkts bytes target     prot opt in     out     source               destination                                                                                                                               

 

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

 pkts bytes target     prot opt in     out     source               destination                                                                                                                               

 

Chain OUTPUT (policy ACCEPT 17 packets, 1436 bytes)

 pkts bytes target     prot opt in     out     source               destination

一个放行ssh服务示例：

[root@mail ~]# iptables -t filter -A INPUT -s 192.168.1.0/24 -d 192.168.1.11 -p tcp --dport 22 -j ACCEPT

[root@mail ~]# iptables -t filter -A OUTPUT -s 192.168.1.11 -d 192.168.1.0/24 -p tcp --sport 22 -j ACCEPT

-A：增加一条规则

INPUT或OUTPUT：方向(链)

-s：来源地址

-d：目标地址

-p:指定协议

--dport:指定目标端口

--sport:指定来源端口

-j:指定处理方法

为什么放行要同时放行入方向和出方向？因为一般有请求就有响应，出方向在这里用作响应客户端的请求

修改过滤表默认策略

[root@mail ~]# iptables -t filter -P INPUT DROP

DROP：委婉的拒绝对方

一个放行web访问示例

[root@mail ~]# iptables -t filter -I INPUT 1 -s 192.168.1.0/24 -d 192.168.1.11 -p tcp --dport 80 -j ACCEPT

[root@mail ~]# iptables -t filter -I OUTPUT 1 -s 192.168.1.11 -d 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT

-I：插入一条规则，插入位置在链的后面指定

一个放行本地回环访问示例

[root@mail ~]# iptables -t filter -A INPUT -s 127.0.0.1 -d 127.0.0.1 -i lo -j ACCEPT

[root@mail ~]# iptables -t filter -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -o lo -j ACCEPT

-i:指定入方向网卡

-o:指定出方向网卡

lo:本地回环接口

一个放行本机ping外部的示例

[root@mail ~]# iptables -t filter -A OUTPUT -s 192.168.1.11 -p icmp --icmp-type 8 -j ACCEPT

[root@mail ~]# iptables -t filter -A INPUT -d 192.168.1.11 -p icmp --icmp-type 0 -j ACCEPT

icmp:ping服务所用协议

--icmp-type:icmp类型值，8表示回显请求，0表示回显应答

iptables过滤规则列表显示行号

[root@mail ~]# iptables -L -n --line-numbers

Chain INPUT (policy ACCEPT)

num  target     prot opt source               destination

1    ACCEPT     tcp  --  0.0.0.0/0            192.168.1.11        tcp dpt:80 state NEW,ESTABLISHED

2    ACCEPT     tcp  --  0.0.0.0/0            192.168.1.11        tcp dpt:22 state NEW,ESTABLISHED

3    ACCEPT     icmp --  0.0.0.0/0            192.168.1.11        icmp type 8 state NEW,ESTABLISHED

 

Chain FORWARD (policy ACCEPT)

num  target     prot opt source               destination

 

Chain OUTPUT (policy ACCEPT)

num  target     prot opt source               destination

1    ACCEPT     tcp  --  192.168.1.11         0.0.0.0/0           tcp spt:80 state ESTABLISHED

2    ACCEPT     tcp  --  192.168.1.11         0.0.0.0/0           tcp spt:22 state ESTABLISHED

3    ACCEPT     icmp --  192.168.1.11         0.0.0.0/0           icmp type 0 state ESTABLISHED