一、常用命令示例:
1、命令 -A, –append
范例:iptables -A INPUT -p tcp –dport 80 -j ACCEPT
说明 :新增规则到INPUT规则链中,规则时接到所有目的端口为80的数据包的流入连接,该规则将会成为规则链中的最后一条规则。
2、命令 -D, –delete
范例:iptables -D INPUT -p tcp –dport 80 -j ACCEPT
或 : iptables -D INPUT 1
说明: 从INPUT规则链中删除上面建立的规则,可输入完整规则,或直接指定规则编号加以删除。
3、命令 -R, –replace
范例: iptables -R INPUT 1 -s 192.168.0.1 -j DROP
说明 取代现行第一条规则,规则被取代后并不会改变顺序。
4、命令 -I, –insert
范例:iptables -I INPUT 1 -p tcp –dport 80 -j ACCEPT
说明: 在第一条规则前插入一条规则,原本该位置上的规则将会往后移动一个顺位。
5、命令 -L, –list
范例: iptables -L INPUT
说明:列出INPUT规则链中的所有规则。
6、命令 -F, –flush
范例: iptables -F INPUT
说明: 删除INPUT规则链中的所有规则。
7、命令 -Z, –zero
范例:iptables -Z INPUT
说明 将INPUT链中的数据包计数器归零。它是计算同一数据包出现次数,过滤阻断式攻击不可少的工具。
8、命令 -N, –new-chain
范例: iptables -N denied
说明: 定义新的规则链。
9、命令 -X, –delete-chain
范例: iptables -X denied
说明: 删除某个规则链。
10、命令 -P, –policy
范例 :iptables -P INPUT DROP
说明 :定义默认的过滤策略。 数据包没有找到符合的策略,则根据此预设方式处理。
11、命令 -E, –rename-chain
范例: iptables -E denied disallowed
说明: 修改某自订规则链的名称。
二、常用封包比对参数:
1、参数 -p, –protocol
范例:iptables -A INPUT -p tcp
说明:比对通讯协议类型是否相符,可以使用 ! 运算子进行反向比对,例如:-p ! tcp ,意思是指除 tcp 以外的其它类型,包含udp、icmp …等。如果要比对所有类型,则可以使用 all 关键词,例如:-p all。
2、参数 -s, –src, –source
范例: iptables -A INPUT -s 192.168.1.100
说明:用来比对数据包的来源IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,例如:-s 192.168.0.0/24,比对 IP 时可以使用!运算子进行反向比对,例如:-s ! 192.168.0.0/24。
3、参数 -d, –dst, –destination
范例: iptables -A INPUT -d 192.168.1.100
说明:用来比对封包的目的地 IP,设定方式同上。
4、参数 -i, –in-interface
范例 iptables -A INPUT -i lo
说明:用来比对数据包是从哪个网卡进入,可以使用通配字符 + 来做大范围比对,如:-i eth+ 表示所有的 ethernet 网卡,也可以使用 ! 运算子进行反向比对,如:-i ! eth0。这里lo指本地换回接口。
5、参数 -o, –out-interface
范例:iptables -A FORWARD -o eth0
说明:用来比对数据包要从哪个网卡流出,设定方式同上。
6、参数 –sport, –source-port
范例:iptables -A INPUT -p tcp –sport 22
说明:用来比对数据的包的来源端口号,可以比对单一端口,或是一个范围,例如:–sport 22:80,表示从 22 到 80 端口之间都算是符合件,如果要比对不连续的多个端口,则必须使用 –multiport 参数,详见后文。比对端口号时,可以使用 ! 运算子进行反向比对。
7、参数 –dport, –destination-port
范例 iptables -A INPUT -p tcp –dport 22
说明 用来比对封包的目的地端口号,设定方式同上。
8、参数 –tcp-flags
范例:iptables -p tcp –tcp-flags SYN,FIN,ACK SYN
说明:比对 TCP 封包的状态标志号,参数分为两个部分,第一个部分列举出想比对的标志号,第二部分则列举前述标志号中哪些有被设,未被列举的标志号必须是空的。TCP 状态标志号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)PSH(强迫推送) 等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对标志号时,可以使用 ! 运算子行反向比对。
9、参数 –syn
范例:iptables -p tcp –syn
说明:用来比对是否为要求联机之TCP 封包,与 iptables -p tcp –tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !运算子,可用来比对非要求联机封包。
10、参数 -m multiport –source-port
范例: iptables -A INPUT -p tcp -m multiport –source-port 22,53,80,110 -j ACCEPT
说明 用来比对不连续的多个来源端口号,一次最多可以比对 15 个端口,可以使用 ! 运算子进行反向比对。
11、参数 -m multiport –destination-port
范例 :iptables -A INPUT -p tcp -m multiport –destination-port 22,53,80,110 -j ACCEPT
说明:用来比对不连续的多个目的地端口号,设定方式同上。
12、参数 -m multiport –port
范例:iptables -A INPUT -p tcp -m multiport –port 22,53,80,110 -j ACCEPT
说明:这个参数比较特殊,用来比对来源端口号和目的端口号相同的数据包,设定方式同上。注意:在本范例中,如果来源端口号为 80,目的地端口号为 110,这种数据包并不算符合条件。
13、参数 –icmp-type
范例:iptables -A INPUT -p icmp –icmp-type 8 -j DROP
说明:用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。请打 iptables -p icmp –help 来查看有哪些代码可用。这里是指禁止ping如,但是可以从该主机ping出。
14、参数 -m limit –limit
范例:iptables -A INPUT -m limit –limit 3/hour
说明:用来比对某段时间内数据包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次3个数据包。 除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行数据包数量的比对外,设定这个参数也会在条件达成时,暂停数据包的比对动作,以避免因洪水攻击法,导致服务被阻断。
15、参数 –limit-burst
范例:iptables -A INPUT -m limit –limit-burst 5
说明:用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过 5 个(这是默认值),超过此上限的封将被直接丢弃。使用效果同上。
16、参数 -m mac –mac-source
范例:iptables -A INPUT -m mac –mac-source 00:00:00:00:00:01 -j ACCEPT
说明:用来比对数据包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting 规则链上,这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables 在进行封包比对时,并不知道封包会送到个网络接口去。linux基础
17、参数 –mark
范例:iptables -t mangle -A INPUT -m mark –mark 1
说明:用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最不可以超过 4294967296。linux基础
18、参数 -m owner –uid-owner
范例:iptables -A OUTPUT -m owner –uid-owner 500
说明:用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。
19、参数 -m owner –gid-owner
范例:iptables -A OUTPUT -m owner –gid-owner 0
说明:用来比对来自本机的数据包,是否为某特定使用者群组所产生的,使用时机同上。
20、参数 -m owner –pid-owner
范例:iptables -A OUTPUT -m owner –pid-owner 78
说明:用来比对来自本机的数据包,是否为某特定行程所产生的,使用时机同上。
21、参数 -m owner –sid-owner
范例: iptables -A OUTPUT -m owner –sid-owner 100
说明: 用来比对来自本机的数据包,是否为某特定联机(Session ID)的响应封包,使用时机同上。
22、参数 -m state –state
范例: iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
说明 用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。
———————————–
©著作权归作者所有:来自51CTO博客作者闲人2019的原创作品,请联系作者获取转载授权,否则将追究法律责任
iptables 常用命令示例
https://blog.51cto.com/yyxianren/5720493