一、常用命令示例:


1、命令 -A, –append


范例:iptables -A INPUT -p tcp –dport 80 -j ACCEPT


说明 :新增规则到INPUT规则链中,规则时接到所有目的端口为80的数据包的流入连接,该规则将会成为规则链中的最后一条规则。


2、命令 -D, –delete


范例:iptables -D INPUT -p tcp –dport 80 -j ACCEPT


或    : iptables -D INPUT 1


说明: 从INPUT规则链中删除上面建立的规则,可输入完整规则,或直接指定规则编号加以删除。


3、命令 -R, –replace


范例: iptables -R INPUT 1 -s 192.168.0.1 -j DROP


说明 取代现行第一条规则,规则被取代后并不会改变顺序。


4、命令 -I, –insert


范例:iptables -I INPUT 1 -p tcp –dport 80 -j ACCEPT


说明: 在第一条规则前插入一条规则,原本该位置上的规则将会往后移动一个顺位。


5、命令 -L, –list


范例: iptables -L INPUT


说明:列出INPUT规则链中的所有规则。


6、命令 -F, –flush


范例: iptables -F INPUT


说明: 删除INPUT规则链中的所有规则。


7、命令 -Z, –zero


范例:iptables -Z INPUT


说明 将INPUT链中的数据包计数器归零。它是计算同一数据包出现次数,过滤阻断式攻击不可少的工具。


8、命令 -N, –new-chain


范例: iptables -N denied


说明: 定义新的规则链。


9、命令 -X, –delete-chain


范例: iptables -X denied


说明: 删除某个规则链。


10、命令 -P, –policy


范例 :iptables -P INPUT DROP


说明 :定义默认的过滤策略。 数据包没有找到符合的策略,则根据此预设方式处理。


11、命令 -E, –rename-chain


范例: iptables -E denied disallowed


说明: 修改某自订规则链的名称。


二、常用封包比对参数:


1、参数 -p, –protocol


范例:iptables -A INPUT -p tcp


说明:比对通讯协议类型是否相符,可以使用 ! 运算子进行反向比对,例如:-p ! tcp ,意思是指除 tcp 以外的其它类型,包含udp、icmp …等。如果要比对所有类型,则可以使用 all 关键词,例如:-p all。


2、参数 -s, –src, –source


范例: iptables -A INPUT -s 192.168.1.100


说明:用来比对数据包的来源IP,可以比对单机或网络,比对网络时请用数字来表示屏蔽,例如:-s 192.168.0.0/24,比对 IP 时可以使用!运算子进行反向比对,例如:-s ! 192.168.0.0/24。


3、参数 -d, –dst, –destination


范例: iptables -A INPUT -d 192.168.1.100


说明:用来比对封包的目的地 IP,设定方式同上。


4、参数 -i, –in-interface


范例 iptables -A INPUT -i  lo


说明:用来比对数据包是从哪个网卡进入,可以使用通配字符 + 来做大范围比对,如:-i eth+ 表示所有的 ethernet 网卡,也可以使用 ! 运算子进行反向比对,如:-i ! eth0。这里lo指本地换回接口。


5、参数 -o, –out-interface


范例:iptables -A FORWARD -o eth0


说明:用来比对数据包要从哪个网卡流出,设定方式同上。


6、参数 –sport, –source-port


范例:iptables -A INPUT -p tcp –sport 22


说明:用来比对数据的包的来源端口号,可以比对单一端口,或是一个范围,例如:–sport 22:80,表示从 22 到 80 端口之间都算是符合件,如果要比对不连续的多个端口,则必须使用 –multiport 参数,详见后文。比对端口号时,可以使用 ! 运算子进行反向比对。


7、参数 –dport, –destination-port


范例 iptables -A INPUT -p tcp –dport 22

说明 用来比对封包的目的地端口号,设定方式同上。


8、参数 –tcp-flags


范例:iptables -p tcp –tcp-flags SYN,FIN,ACK SYN


说明:比对 TCP 封包的状态标志号,参数分为两个部分,第一个部分列举出想比对的标志号,第二部分则列举前述标志号中哪些有被设,未被列举的标志号必须是空的。TCP 状态标志号包括:SYN(同步)、ACK(应答)、FIN(结束)、RST(重设)、URG(紧急)PSH(强迫推送) 等均可使用于参数中,除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对标志号时,可以使用 ! 运算子行反向比对。


9、参数 –syn


范例:iptables -p tcp –syn


说明:用来比对是否为要求联机之TCP 封包,与 iptables -p tcp –tcp-flags SYN,FIN,ACK SYN 的作用完全相同,如果使用 !运算子,可用来比对非要求联机封包。


10、参数 -m multiport –source-port


范例: iptables -A INPUT -p tcp -m multiport –source-port 22,53,80,110 -j ACCEPT


说明 用来比对不连续的多个来源端口号,一次最多可以比对 15 个端口,可以使用 ! 运算子进行反向比对。


11、参数 -m multiport –destination-port


范例 :iptables -A INPUT -p tcp -m multiport –destination-port 22,53,80,110 -j ACCEPT


说明:用来比对不连续的多个目的地端口号,设定方式同上。


12、参数 -m multiport –port


范例:iptables -A INPUT -p tcp -m multiport –port 22,53,80,110 -j ACCEPT


说明:这个参数比较特殊,用来比对来源端口号和目的端口号相同的数据包,设定方式同上。注意:在本范例中,如果来源端口号为 80,目的地端口号为 110,这种数据包并不算符合条件。


13、参数 –icmp-type


范例:iptables -A INPUT -p icmp –icmp-type 8 -j DROP


说明:用来比对 ICMP 的类型编号,可以使用代码或数字编号来进行比对。请打 iptables -p icmp –help 来查看有哪些代码可用。这里是指禁止ping如,但是可以从该主机ping出。


14、参数 -m limit –limit


范例:iptables -A INPUT -m limit –limit 3/hour


说明:用来比对某段时间内数据包的平均流量,上面的例子是用来比对:每小时平均流量是否超过一次3个数据包。 除了每小时平均次外,也可以每秒钟、每分钟或每天平均一次,默认值为每小时平均一次,参数如后: /second、 /minute、/day。 除了进行数据包数量的比对外,设定这个参数也会在条件达成时,暂停数据包的比对动作,以避免因洪水攻击法,导致服务被阻断。


15、参数 –limit-burst


范例:iptables -A INPUT -m limit –limit-burst 5


说明:用来比对瞬间大量封包的数量,上面的例子是用来比对一次同时涌入的封包是否超过 5 个(这是默认值),超过此上限的封将被直接丢弃。使用效果同上。


16、参数 -m mac –mac-source


范例:iptables -A INPUT -m mac –mac-source 00:00:00:00:00:01 -j ACCEPT


说明:用来比对数据包来源网络接口的硬件地址,这个参数不能用在 OUTPUT 和 Postrouting 规则链上,这是因为封包要送出到网后,才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址,所以 iptables 在进行封包比对时,并不知道封包会送到个网络接口去。linux基础


17、参数 –mark


范例:iptables -t mangle -A INPUT -m mark –mark 1


说明:用来比对封包是否被表示某个号码,当封包被比对成功时,我们可以透过 MARK 处理动作,将该封包标示一个号码,号码最不可以超过 4294967296。linux基础


18、参数 -m owner –uid-owner


范例:iptables -A OUTPUT -m owner –uid-owner 500


说明:用来比对来自本机的封包,是否为某特定使用者所产生的,这样可以避免服务器使用 root 或其它身分将敏感数据传送出,可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。


19、参数 -m owner –gid-owner


范例:iptables -A OUTPUT -m owner –gid-owner 0


说明:用来比对来自本机的数据包,是否为某特定使用者群组所产生的,使用时机同上。


20、参数 -m owner –pid-owner


范例:iptables -A OUTPUT -m owner –pid-owner 78


说明:用来比对来自本机的数据包,是否为某特定行程所产生的,使用时机同上。


21、参数 -m owner –sid-owner


范例: iptables -A OUTPUT -m owner –sid-owner 100


说明: 用来比对来自本机的数据包,是否为某特定联机(Session ID)的响应封包,使用时机同上。


22、参数 -m state –state


范例: iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT


说明 用来比对联机状态,联机状态共有四种:INVALID、ESTABLISHED、NEW 和 RELATED。



———————————–

©著作权归作者所有:来自51CTO博客作者闲人2019的原创作品,请联系作者获取转载授权,否则将追究法律责任

iptables 常用命令示例

https://blog.51cto.com/yyxianren/5720493