linux系统的Linux iptables 规则详解

最新推荐文章于 2025-08-19 17:11:49 发布
原创 最新推荐文章于 2025-08-19 17:11:49 发布 · 931 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #网络 #运维

iptables 是 Linux 系统的防火墙工具,它通过定义规则来控制网络数据包的流动。理解 iptables 需要掌握几个核心概念:

一、核心概念

  1. 表(Tables)

    • filter:默认表,用于包过滤(允许/拒绝)

    • nat:网络地址转换(端口转发、IP伪装)

    • mangle:修改包内容(TTL、TOS等)

    • raw:连接跟踪前处理

    • security:SELinux相关安全规则

  2. 链(Chains)

    • INPUT:处理进入本机的数据包

    • OUTPUT:处理本机发出的数据包

    • FORWARD:处理经过本机转发的数据包

    • PREROUTING:路由前处理(DNAT)

    • POSTROUTING:路由后处理(SNAT)

  3. 目标(Targets)

    • ACCEPT:允许数据包通过

    • DROP:丢弃数据包(无响应)

    • REJECT:拒绝数据包(发送拒绝响应)

    • LOG:记录日志

    • SNAT:源地址转换

    • DNAT:目的地址转换

二、规则语法格式

iptables [-t 表名] <命令> <链名> [规则号] [匹配条件] -j <目标>

三、常用命令选项

选项说明
-A在链尾添加规则
-I在指定位置插入规则
-D删除规则
-L列出规则
-F清空规则
-P设置链的默认策略
-N创建新链
-X删除自定义链

四、常用匹配条件

匹配条件说明示例
-p协议-p tcp-p udp-p icmp
-s源地址-s 192.168.1.0/24
-d目的地址-d 10.0.0.1
-i输入接口-i eth0
-o输出接口-o wlan0
--sport源端口--sport 80
--dport目的端口--dport 22
-m扩展模块-m state --state RELATED,ESTABLISHED

五、规则编写示例

1. 基础过滤规则
# 允许SSH访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# 阻止特定IP
iptables -A INPUT -s 192.168.1.100 -j DROP

# 允许已建立连接的数据包
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 默认策略(放在最后)
iptables -P INPUT DROP
2. NAT 规则
# 源地址转换(SNAT)
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# 目的地址转换(DNAT)
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:8080

# 端口转发
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j REDIRECT --to-port 22
3. 高级规则
# 限制连接速率
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT

# 记录并丢弃非法包
iptables -A INPUT -m conntrack --ctstate INVALID -j LOG --log-prefix "INVALID: "
iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

# 创建自定义链
iptables -N WEBSERVER
iptables -A WEBSERVER -p tcp --dport 80 -j ACCEPT
iptables -A WEBSERVER -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -j WEBSERVER

六、规则理解技巧

  1. 处理顺序

    数据包 -> PREROUTING -> 路由决策 -> FORWARD -> POSTROUTING
                ↓
             INPUT -> 本地进程 -> OUTPUT

  2. 匹配原则

    • 规则按顺序匹配,第一条匹配的规则生效

    • 没有匹配规则时,使用链的默认策略

    • -j LOG 会继续匹配后续规则

    • -j REJECT/DROP 会终止匹配

  3. 连接跟踪

    # 查看连接跟踪状态
cat /proc/net/nf_conntrack

# 状态类型:
# NEW:新连接
# ESTABLISHED:已建立连接
# RELATED:相关连接(如FTP数据连接)
# INVALID:无效包

七、调试与维护

  1. 规则查看

    iptables -L -n -v  # 查看所有规则(数字格式)
iptables -t nat -L # 查看NAT表规则

  2. 规则保存与恢复

    # 保存规则
iptables-save > /etc/iptables/rules.v4

# 恢复规则
iptables-restore < /etc/iptables/rules.v4

  3. 日志监控

    tail -f /var/log/kern.log | grep 'IN='

八、最佳实践

  1. 安全策略

    # 设置默认拒绝策略
iptables -P INPUT DROP
iptables -P FORWARD DROP

# 允许回环接口
iptables -A INPUT -i lo -j ACCEPT

# 允许已建立连接
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# 按需开放端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT  # SSH

  2. 性能优化

    # 将常用规则放在前面
# 使用ipset管理大IP列表
# 避免复杂规则链嵌套

  3. 防御攻击

    # 防SYN洪水攻击
iptables -A INPUT -p tcp --syn -m limit --limit 1/s -j ACCEPT

# 防端口扫描
iptables -N PORTSCAN
iptables -A PORTSCAN -m limit --limit 1/s -j LOG --log-prefix "Portscan: "
iptables -A PORTSCAN -j DROP
iptables -A INPUT -m recent --name portscan --rcheck --seconds 60 -j PORTSCAN

九、学习资源

  1. 可视化工具

    • iptables-apply:测试规则安全

    • shorewall:高级防火墙配置工具

  2. 调试命令

    # 跟踪数据包处理路径
iptables -t raw -A PREROUTING -p tcp --dport 80 -j TRACE
dmesg -w

掌握 iptables 需要实践,建议在测试环境中练习规则编写。理解网络协议和连接状态跟踪机制是成为 iptables 高手的关键。

七月奇迹
关注
Linux系统防火墙之IPTables
没有网络安全就没有国家安全
08-23 925
本篇文章详细讲解Linux防火墙之IPTables,包含基础用法和进阶用法
Linux中的Iptables介绍
LuckyLay的博客
01-19 997
Iptables是一个用于配置Linux内核防火墙的用户空间工具。它能够对进出服务器的网络数据包进行过滤、修改和转发等操作,是构建安全的Linux网络环境的关键组件。它通过一系列规则来决定如何处理数据包,这些规则可以基于源IP地址、目标IP地址、端口号、协议类型等多种条件。
Linux系统安全——iptables相关总结
一坨小橙子的博客
02-13 4079
iptables详解
Linux系统iptables
yangye2424637628的博客
07-31 2850
Linux防火墙是由Netfilter组件提供的,Netfilter工作在内核空间,集成在linux内核中Netfilter 是Linux 2.4.x之后新一代的Linux防火墙机制,是linux内核的一个子系统。Netfilter采用模块化设计,具有良好的可扩充性,提供扩展各种网络服务的结构化底层框架。Netfilter与IP协议栈是无缝契合,并允许对数据报进行过滤、地址转换、处理等操作。
Linux系统安全之iptables防火墙
MONGJUK的博客
02-12 6868
详细介绍iptables防火墙的使用方法以及各类使用案例
Linux 防火墙( iptables
2301_80839375的博客
04-17 1788
定义:防火墙是位于网络边界的安全屏障,通过预定义规则控制进出网络的流量。核心功能访问控制:允许或拒绝特定流量(如 IP、端口、协议)。网络地址转换(NAT):隐藏内部网络结构,实现 IP/端口映射。流量监控:记录网络活动,检测异常行为(如 DDoS 攻击)。防御攻击:阻止恶意流量(如 SYN Flood、ICMP 洪水)。
Linuxiptables 命令详解
热门推荐
言之。
05-16 1万+
## **1. iptables 的作用** `iptables` 是 Linux 系统上最常用的 **防火墙工具**,用于配置内核的 **netfilter** 包过滤框架,主要功能包括: - **包过滤(Packet Filtering)**:允许/拒绝网络数据包(如防火墙规则)。 - **网络地址转换(NAT)**:实现 SNAT(源地址转换)、DNAT(目标地址转换)。 - **端口转发(Port Forwarding)**:将外部请求转发到内部服务器。 - **流量统计(Traffic Accou
Linux iptables使用详解
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
06-13 1768
一、Linux系统下使用iptablesLinux中,常用的防火墙工具是iptables。以下是一些基本的iptables命令,用于配置防火墙规则。查看现有的iptables规则:清除所有现有的规则(慎用,可能导致服务不可用):允许特定端口(例如,允许TCP端口80):拒绝来自特定IP的访问:# 假设要限制的IP段为192.168.1.0/24,你可以使用以下命令:允许特定IP的访问:保存规则,使其在重启后生效(可选,取决于发行版):或者在某些系统中,您可能需要使用。
Linux系统iptables防火墙实战指南
qq_24442273的博客
10-21 794
3、如果所有的规则中没有明确表明是阻止还是通过这个数据包,也就是没有匹配上规则,则继续向下进行匹配,直到匹配默认规则得到明确的阻止还是通过。1、新增规则,使得本机不能ping通其它主机,其它主机可以ping通本机,本机也可以自己ping通自己,命令如下所示:​​​​​​​。2、如果匹配上了相应的规则,即明确表明是阻止还是通过,此时数据包就不再向下匹配新的规则了。1、防火墙是一层层过滤的,就是按照配置规则的顺序从上到下,从前到后进行过滤的。4、防火墙的默认规则是对应链表的所有规则执行完成后,才会执行的规则
Linux系统管理】Iptables防火墙规则详解:四表五链配置与实战案例分析
04-13
内容概要:本文档深入介绍了Linux系统iptables防火墙的基础知识与应用技巧。首先讲解了iptables的安装步骤,包括关闭selinux和firewalld服务,确保系统环境对iptables的支持。接着阐述了iptables的架构体系,详细...
详解Linux iptables常用防火墙规则
01-20
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和...
【实时Linux实战系列】基于实时Linux的自适应控制系统
望获实时Linux系统
08-19 494
本文介绍了基于实时Linux的自适应控制系统开发技术,重点阐述了其在工业自动化、航空航天等领域的应用价值。文章详细说明了环境准备、案例实现步骤和调试方法,包括温度自适应控制系统的开发过程,涉及实时任务调度、传感器数据采集和PWM控制等关键技术。同时提供了常见问题的解决方案和性能优化建议,为开发者掌握这一技术提供了实用指导。该技术能显著提升系统响应速度和稳定性,适用于需要高精度实时控制的各类场景。
Linux】文件系统
最新发布
关注学习C++领域,感谢陪伴,共同进步!
08-19 1002
简单认识磁盘及其逻辑结构,理解文件系统及其inode,软硬链接,打开文件到写入磁盘的简单流程
从 Windows 到 Linux 服务器的全自动部署教程(免密登录 + 压缩 + 上传 + 启动)
gameatp的专栏
08-16 808
本文详细介绍了如何实现Windows本地开发环境到Linux服务器的全自动化部署流程。主要内容包括:1)准备工作,安装7-Zip和OpenSSH等必要工具;2)配置SSH免密登录,生成密钥对并上传公钥;3)编写自动化部署脚本,包含文件压缩、传输、远程解压、依赖安装和进程管理等功能;4)执行部署和验证结果。该方案通过批处理脚本实现一键部署,适合小型项目的快速迭代,同时提供了常见问题的排查方法,确保部署过程的可靠性和效率。
网络 SSH 访问:借助 cpolar 内网穿透服务实现手机远程管理 Linux
Tiam_cr的博客
08-15 1463
网络技术日新月异的今天,远程访问内网设备的需求日益普遍,但实现这一目标的技术门槛却让许多用户望而却步。传统的动态 DNS 方案需要频繁更新 IP 地址,路由器端口映射则涉及复杂的网络配置,且存在较大的安全风险。对于普通用户而言,这些方案不仅操作繁琐,还可能因配置不当导致网络安全问题。cpolar 内网穿透服务的出现,为解决这一难题提供了全新思路。
almalinux9.6系统:kubeadm部署kubernetes-1.33版本环境-三节点
老徐头子的博客
08-15 936
十五分钟包教包会,almalinux9.6系统下部署最新版本(1.33)kubernetes集群,有售后哦,亲!
27.Linux 使用yum安装lamp,部署wordpress
xie52的博客
08-18 575
实验前需要关闭防火墙和selinux,yum源使用网络yum源(wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo)(除了不允许用户远程登录选n,其他全都是y,密码为redhat)设置wordpress所属者和所属组为apache,权限为775。将wordpress复制到/var/www/html内。配置php文件,将时区改为亚洲/上海。配置wordpress数据库。
Linux -- 文件【下】
2301_80059080的博客
08-17 818
本文讲述了EXT2文件系统的构成,以及文件增删查改背后的原理,及文件时间,还介绍了软硬链接。
如何在rk3588 Linux 主板 中使用 HDMI IN?
Wynter
08-19 215
本文介绍了在Linux ARM64平台上使用ffplay播放HDMI输入信号的方法。通过V4L2设备识别HDMI输入源(/dev/videoX),使用ffplay命令捕获信号,并详细说明了参数配置、常见问题解决方案。内容包括:设备检测、基本播放命令、高级参数调整(帧率控制、硬件加速等)、常见错误处理及完整示例命令。该方法适用于开发调试、监控预览等场景,也可结合ffmpeg进行录制。核心步骤为识别设备、匹配格式和分辨率、参数优化,为Linux系统实现HDMI输入功能提供了实用方案。
Linux入门指南:iptables规则详解系统管理基础
本资源详细介绍了Linux系统中的iptables规则管理和操作,以及Linux的基础知识。首先,章节一深入介绍了Linux的基本概念,包括Linux/UNIX系统的开源特性、多用户和多任务性质,强调了其开放源代码、可靠的安全性和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值