iptables防火墙配置与管理

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

第7讲 iptables防火墙配置

与管理

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

内容

1.

2.

3.

4.iptables简介iptables基础关闭系统防火墙iptables命令格式

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

iptables简介

netfilter/iptables(简称为iptables)组成Linux平台下免费的包过滤防火墙 iptables能够完成封包过滤、封包重定向和网络地址转换NAT等功能 iptables的官方网站为 netfilter/iptables包过滤防火墙的两个组件

netfilter组件：称为内核空间，集成在Linux内核中。主要由信息包过滤表组成，包含了控制IP包处理的规则集 iptables组件：称为用户空间，用户通过它来插入、删除和修改规则链中的规则，这些规则告诉内核中的netfilter组件如何去处理信息包

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

iptables基础（1）

规则（rules）

网络管理员预定义的条件规则的一般定义为：”如果数据包头符合这样的规则，那么就这样处理这个数据包”当一个数据包到达一个链时，iptables则开始检查 链（chains)

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

iptables基础（1）

表（tables）

①

②

③

提供特定的功能iptable内置了3个表，即filter表、nat表和mangle表，分别用filter表主要用于包过滤是iptables的默认表包含了INPUT（处理转发的数据包）和OUTPUT据包）net表：用于网络地址转换managle表：对指定的包进行修改

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

关闭系统防火墙

在进行iptables学习之前，应关闭系统中的防火墙

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

iptables命令格式

一般格式如下

iptables [-t 表] -命令 匹配 操作注意：iptables对所有选项和参数区分大小写

表选项：用于指定哪个iptables表、mangle表）命令选项：用于指定iptables则、删除规则和添加规则等操作，如接受、丢弃等

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

命令选项命令 -P或--policy<链名> -L或--list<链名>选项定义默认策略查看iptables规则列表

-A或--append<链名>在规则列表的最后增加1条规则 -I或--insert<链名> -D或--delete<链名> -R或--replace<链名> -F或--flush<链名> -Z或--zero<链名>在指定的位置插入1条规则从规则列表中删除1条规则替换规则列表中的某条规则删除表中的所有规则将表中的数据包计数器和流量计数器归零

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

匹

配选项匹配 -i<网络接口名> -o<网络接口名> -p<协议类型> -s<源地址或子网> --sport<源端口号> -d<目标地址和子网> --dport<目标端口号>说明指定数据包从哪个网络接口进入，如 eth0指定数据包从哪个网络接口输出，如 eth0指定数据包匹配的协议，如 tcp、udp和icmp等指定数据包匹配的源地址指定数据包匹配的源端口号，可以使用”起始端口号:结束端口号“的格式指定一个端口范围指定数据包匹配的目的地址指定数据包匹配的目标端口号，可以使用”起始端口号:结束端口号“的格式指定一个端口范围

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

动作选项动作 ACCEPT DROP REDIRECT SNAT DNAT说明接受数据包丢弃数据包将数据包重定向到本机或另一台主机的某个端口改变数据包的源地址改变数据包的目的地址

MASQUERADE IP伪装(NAT技术)。只能用于ADSL等拨号上网的IP地址伪装 LOG日志功能。将符合规则的数据包的相关信息记录到日志中

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

定义默认策略（1）

当数据包不符合链中任一条规则时，iptables将根据预先定义的默认策略来处理数据包默认策略的定义方法

iptables [-t 表名] <-P> <链名链名：可以使用INPUT、PREROUTING、iptables -P INPUT ACCEPT

iptables -t nat -P INPUT DROP 将filter表INPUT 将nat表OUTPUT

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

定义默认策略（2）

创建一个具有很好灵活性、可以抵御各种意外事件的规则需要大量的时间对于没有经验和时间的用户而言，最基本的原则是：所以，通常为filter

iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPT

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

查看iptables规则

命令格式

iptables [-t 表名] <-L> [链名]

iptables -t nat -L 例1：查看nat表中的所有链的规则

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

增加、插入、删除和替换规则（1） 语法格式

iptables [-t 表名] <-A | I | D | R> 链名 [规则编号] [-i | o 网卡名称] [-p 协议类型] [-s 源IP地址 | 源子网] [--sport 源端口号] [-d 目标IP地址 | 目标子网] [--dport 目标端口号] <-j 动作>

例1：为filter表的INPUT容是将来自IP地址为都予以丢弃，然后查看filter

iptablesiptables -t filter -L INPUT

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

增加、插入、删除和替换规则（2） 例2：为filter表的INPUT链添加一条规则，规则的内容是接受来自IP地址为192.168.1.200这台主机的数据包，然后查看filter表的INPUT链规则列表

iptablesACCEPTiptables -t filter -L INPUT注意：由于例1法， 192.168.1.200iptables

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

增加、插入、删除和替换规则（3） 例3：在filter表的INPUT链规则列表中的第2条规则前插入一条规则，规则的内容是禁止192.168.2.0这个子网里所有主机访问TCP协议的80端口，然后查看filter表的INPUT链规则列表

iptables -t filter -I INPUT 2 80 -j DROPiptables -t filter -L INPUT

例4：删除filter表的INPUT则，然后查看filter表的INPUT

iptables -t filter -D INPUT 3iptables -t filter -L INPUT

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

增加、插入、删除和替换规则（4） 例5：替换filter表的INPUT链规则列表中的第2条规则为禁止192.168.3.0这个子网里所有主机访问TCP协议的80端口，然后查看filter表的INPUT链规则列表

iptables 80 -j DROPiptables -t filter -L INPUT

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

配置规则的技巧

规则力求简单规则顺序很重要

同样的规则，不同的顺序，可能会完全改变防火墙的运转情况

尽量优化规则 做好笔记

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

清除规则和计数器

格式说明

iptables [-t 表明] <-F | Z]iptables -F

iptables -Z

iptables -t nat -F 例1：删除filter表中的所有规则 例2：将filter 例3：删除nat表中的所有规则

iptables在网络设备中扮演重要的角色,其可以配置数据包过滤规则、转发规则、NAT转发规则等。文档介绍了如何使用iptables的相关知识和命令。

在线生成iptables防火墙脚本的网站 Bifrost

/LinWiz//firewall/gen/ LinWiz GIPTables Easy Firewall Generator for Firewall Builder

本文来源：https://www.bwwdw.com/article/6zg4.html